Die neuen Standardklauseln zur Rechtfertigung von Datenübermittlungen in Drittländer sind verfügbar. Sie sollen nach der Verunsicherung im Nachgang zum Schrems-II-Urteil wieder Struktur in internationale Datentransfers bringen. Die Anwendung der Klauseln ist nicht banal und Rechtssicherheit garantieren sie auch nicht. Aber sie sind ein Schritt nach vorn – auf mittlere Sicht wohl auch der einzige. Im Folgenden sollen die Hintergründe und Regelungen kurz vorgestellt und eingeordnet werden.
Hintergrund
Das Ziel der DSGVO ist es, ein Datenschutzniveau zu etablieren, das den europäischen Standards in Sachen Grundrechtsschutz und Rechtsstaatlichkeit gerecht wird. Ein hehres Ziel, aber auch eins mit viel Konfliktpotential. Denn internationale Konzerne, die Daten kommerzialisieren, und ausländische Regierungen, die eigene Prioritäten setzen, schießen quer. Die weltweite Durchsetzung des Goldstandards in Sachen Datenschutz wird wohl noch ein wenig dauern. Und da die DSGVO im Endeffekt vor allem Regeln für Unternehmen in der EU setzt, bleibt es häufig an denen hängen, diese Unwucht auszugleichen. Das kann nur gelingen, wenn die DSGVO entsprechende Instrumente zur Verfügung stellt.
Die Ãœbermittlung von personenbezogenen Daten in Drittländer, die kein dem EU-Standard entsprechendes Datenschutzniveau haben – wie etwa die USA –, ist vor diesem Hintergrund immer kompliziert. Es gibt eine Reihe von Rechtfertigungsmöglichkeiten. Deren Grenzen sind meist umstritten, etwa inwieweit Ãœbermittlungen durch die Bezugnahme auf Vertragsleistungen oder Zustimmungen des Betroffenen legitimiert werden können. Bei den Vertragsleistungen muss der Datentransfer erforderlich sein. Eine Einwilligung muss informiert und freiwillig sein (dazu Franz, „Der weiße Schimmel der DSGVO – ein Plädoyer für progressiven Datenschutz“, CRonline Blog v. 2.6.2021). All diese Anforderungen sind bei den komplexen Datenströmen, die digitale Produkte oder Unternehmenskooperationen mit sich bringen, nur schwer zu erfüllen.
Daher ist aus Praxissicht die Vereinbarung vertraglicher Garantien zwischen dem Datenexporteur, der die Daten ins Drittland übermittelt, und dem Datenimporteur, der sie dort weiterverarbeitet, häufig das Mittel der Wahl. Das gilt insbesondere, da die EU-Kommission bereits zu Zeiten der alten Datenschutzrichtlinie Standardklauseln veröffentlicht hatte, die hierfür dienen können – die Standard Contractual Clauses (SCC). Nutzt man sie unverändert, gilt der Datentransfer als legitim. In der Sache bilden die SCC die wesentlichen Datenschutzkonzepte der DSGVO ab, also insbesondere die Zweckbindung der Datenverarbeitung und die Gewährleistung eines risikoadäquaten Sicherheitsniveaus.
Bisherige Situation
Die SCC wurden und werden seit Jahren sehr umfangreich genutzt. Und zwar trotz der Nachteile wie redaktionellen Unstimmigkeiten seit Einführung der DSGVO und vor allem der Schwäche, dass die SCC nur für zwei Konstellationen verfügbar waren: Übermittlung vom Verantwortlichen an einen anderen Verantwortlichen oder an einen Auftragsverarbeiter. Die ebenfalls häufige Konstellation, dass ein EU-Auftragsverarbeiter die Daten an einen Auftragsverarbeiter im Drittland weitergibt, musste durch Umgehungslösungen abgebildet werden.
Die Klauseln waren gleichwohl die anerkannte und einigermaßen praktikable Option im Umgang mit Drittlandtransfers. Gleichzeitig allerdings ein aufwendiger Weg, der viel Papier bzw. umfangreich ergänzte Geschäftsbedingungen produziert. Und dass dann in der Konsequenz alle Datenimporteure die SCC studiert und ihre internen Prozesse daran ausgerichtet haben, wäre wohl eine recht optimistische Einschätzung. Insbesondere gegenüber den US-Dienstleistern, deren lokales Recht mit Zugriffsbefugnissen der US-Behörden den SCC in Teilen potentiell entgegensteht.
Eine Situation, wie gemalt für Max Schrems. Auf dessen Klage wegen der Facebook-Umtriebe hat der EuGH im vergangenen Jahr dann nicht nur das Privacy Shield für US-Transfers abgeräumt, sondern sich auch den SCC gewidmet. Mit kompliziertem Ergebnis: Die SCC gelten weiter, aber es muss im Einzelfall verifiziert werden, dass sie auch praktisch eingehalten werden können. Oder es müssen ergänzende Maßnahmen umgesetzt werden, um die Schutzlücken für die Betroffenen zu kompensieren.
Ein typisches DSGVO-Zwischenergebnis. Alles ist kompliziert, aber das niedrigschwellige Verbot mit Erlaubnisvorbehalt und die weitreichende Rechenschaftspflicht zwingen die Akteure zur Wahl, entweder zu kapitulieren oder die Herausforderung anzunehmen. Die Kapitulation wäre aus Sicht von europäischen Datenschutzapologeten durchaus wünschenswert. Sie würde die Lokalisierung der Datenverarbeitung allein im gelobten Land der EU bedeuten. Faktisch wird aber eher internationaler Kooperation und leistungsstarken IT-Dienstleistungen der Vorzug gegeben.
Die nachfolgenden Monate waren daher geprägt von der Frage, wie die mit dem EuGH nun notwendigen Einzelfallbewertungen – im DSGVO-Sprech Transfer Impact Assessment (TIA) genannt – durchgeführt und im Fall der Fälle ergänzende Maßnahmen im Sinne von „SCC plus“ umzusetzen sind (siehe dazu Grages, „Steine statt Brot: Empfehlungen des EDSA zu Datentransfers nach Schrems II“, CRonline Blog v. 12.11.2020). Die EU-Kommission sah endlich den latenten und nun dringenden Anpassungsbedarf bei den SCC und kündigte an, die Klauseln neu zu fassen – insbesondere um den Anforderungen des EuGH zu entsprechen.
Konzept der neuen SCC
Nach einer Entwurfsfassung aus dem Winter sind die neuen SCC nun da (Commission Implementing Decision (EU) 2021/914, 4 June 2021, vgl. bereits „Datentransfers innerhalb und außerhalb der EU: Kommission gibt Unternehmen Standardvertragsklauseln an die Hand“, CRonline News v. 4.6.2021). Sie werden einstweilen kontrovers bewertet. Einerseits als zeitgemäßes Update der alten SCC, um endlich alle praxisrelevanten Ãœbermittlungskonstellationen abbilden zu können. Andererseits als direkter Weg in ein Schrems-III-Urteil, weil es auch ihnen nicht gelingen kann, Widersprüche zwischen US- und EU-Recht aufzulösen.
Hier ein Überblick über die wesentlichen Regelungen der neuen SCC mit Handlungsempfehlungen:
Die neuen SCC sind modular aufgebaut. Einige Regelungen gelten allgemein. Darüber hinaus gibt es spezifische Regelungen für die folgenden Konstellationen:
# Controller-to-Controller (Übermittlung an einen eigenständigen Kooperationspartner)
# Controller-to-Processor (Ãœbermittlung an einen weisungsgebundenen Dienstleister)
# Processor-to-Processor (Ãœbermittlung vom EU-Dienstleister an einen Subdienstleister im Drittland)
# Processor-to-Controller (Ãœbermittlung vom EU-Dienstleister an den Auftraggeber im Drittland)
Es können dabei auch mehr als zwei Parteien beteiligt sein. Soweit die Übermittlung eine Auftragsverarbeitung beinhaltet, sind deren Regelungen direkt in den SCC enthalten. Es ist keine gesonderte Vereinbarung nach Art. 28 DSGVO mehr erforderlich.
Empfehlung:
Der modulare Ansatz ist als Baukasten für Profis gut zu verwenden. In der Praxis sollten daraus aber spezifische Musterunterlagen für die relevanten Konstellationen erstellt werden, da das Vertragswerk sonst recht unübersichtlich ist. Insofern sind auch noch Anlagen zu befüllen, um die konkrete Übermittlung und die Sicherheitsmaßnahmen zu dokumentieren.
Der zentrale Mechanismus, um den Anforderungen des EuGH zu entsprechen, ist das TIA. Hier ergeben sich Parallelen zu einer Datenschutzfolgenabschätzung. Die Dokumentation ist auf Anfrage auch der Aufsichtsbehörde vorzulegen. Die Partien sollen sich zusichern, dass sie keine Anhaltspunkte haben, dass die Umstände im Drittland den Datenimporteur an der Erfüllung seiner Pflichten gemäß SCC hindern. In die entsprechende Bewertung sollen folgende Aspekte einbezogen werden:
# Umstände der Übermittlung (z.B. Anzahl der beteiligten Akteure, beabsichtigte Datenweiterleitungen, Zweck der Verarbeitung, Kategorien und Format der Daten)
# Vorschriften und Gepflogenheiten im Drittland (auf Grundlage praktischer Erfahrungen, etwa ob es behördliche Zugriffsersuchen gab, unter Berücksichtigung der Einschätzungen von Rechtsprechung und Aufsichtsgremien)
# Vertragliche, technische oder organisatorische Garantien, die zur Ergänzung bzw. zum Schutz der Betroffenen eingerichtet wurden
Die neuen SCC enthalten damit im Endeffekt einen risikobasierten Ansatz, da auch die Wahrscheinlichkeit eines Drittzugriffs und die Sensibilität der Daten berücksichtigt werden sollen. Dies wird teilweise kritisiert, da Art. 44 ff. DSGVO eigentlich gerade keine abwägungsbasierte Rechtfertigungsoption bieten. Der Europäische Datenschutzausschuss (EDSA) hatte daher die Streichung dieses Konzepts gefordert („EDPB-EDPS Joint Opinion 2/2021 on standard contractual clauses for the transfer of personal data to third countries„, 14.1.2021) und die Organisation noyb hat bereits angekündigt, dagegen klagen zu wollen („noyb’s comments on the proposed SCC for the transfer of personal data to third countries„).
Gleichzeitig ist das TIA die direkte Umsetzung der Vorgabe des EuGH, im Einzelfall zu prüfen, ob die vertraglichen Garantien eingehalten werden können. Kritiker konstatieren, dass das etwa bei US-Transfers angesichts der dortigen Rechtslage per se nicht möglich sei. Dass die neuen SCC hier gleichwohl eine eigenständige Bewertung ermöglichen, ist praktisch sehr wichtig. Denn so wird immerhin ein Weg aus der Blockade seit dem Schrems-II-Urteil gewiesen. Da nach dem Scheitern von Safe Harbour und Privacy Shield eine alternative Rechtfertigung von US-Transfers in weiter Ferne scheint, ist dies ein positives Signal für internationale Datenflüsse.
Empfehlung:
Unternehmen sollten einen standardisierten Ansatz zur Durchführung des TIA entwickeln, um die Bewertungen konsistent durchführen zu können. Ein Bewertungsschema sollte neben den oben angesprochenen Aspekten auch die Unternehmensinteressen konkretisieren und bewerten, da diese in die letztlich entscheidende Abwägung der Grundrechtspositionen eingestellt werden können. Im Endeffekt kann eine solche Bewertung auch in ein verlässliches Scoringverfahren führen. Um die Rechtslage in bestimmten Drittländern durch Rückfrage beim Vertragspartner zu ermitteln, sollte ein Fragebogen entwickelt werden. Die Rechtslage in häufig relevanten Drittländern sollte grundsätzlich bewertet werden, um ggf. eine Whitelist erstellen zu können.
Auch geeignete Ergänzungsmaßnahmen zur Begegnung von Gefahren für die Einhaltung der Klauseln sollten grundsätzlich identifiziert werden, da eine Risikorelativierung häufig erforderlich sein mag, z.B. durch die Verschlüsselung bestimmter Daten (vgl. die aktuellen Empfehlungen des EDSA: EDPB, „Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data, 10.11.2020“).
Die neuen SCC stärken noch einmal die Mitwirkungspflichten des Datenimporteurs im Drittland. Er muss sich im Endeffekt der EU-Aufsicht unterwerfen und Betroffenenrechte im Sinne der DSGVO gewährleisten. Zudem muss auch er im Sinne des TIA die Rechtslage dokumentieren und überwachen. Wenn er den Datenexporteur darüber informiert, dass sich die Vorzeichen geändert haben und die SCC nicht mehr eingehalten werden können, ist der Datentransfer auszusetzen. Zudem ist der Datenimporteur verpflichtet, Offenlegungsanfragen durch Behörden im Drittland zu prüfen und ggf. abzuwehren und den Datenexporteur sowie ggf. die Betroffenen hierüber möglichst umfassend zu unterrichten. Insofern kann es zu Kollisionen mit dem Recht im Drittland kommen, die auch die neuen SCC nicht endgültig beseitigen können.
Empfehlung:
Die Verhandlung der Einbeziehung von SCC war immer schon manchmal herausfordernd, da Änderungen deren Rechtfertigungswirkung gefährden. Zudem müssen durch das TIA nun auch Abstimmungen mit dem Empfänger im Drittland erfolgen. Bei Vertragspartnern ohne große Expertise kann das viel Aufklärung erfordern. Bei Vertragspartnern mit viel Marktmacht verlagert sich das Problem dahin, beurteilen zu müssen, ob deren Vorgaben bei der Anwendung der SCC noch im Sinne der DSGVO und des EuGH sind. Hier wird sich im Zweifel in den kommenden Monaten aber ein Marktstandard herausbilden.
Die bisherigen SCC dürfen nur noch bis zum 27. September 2021 eingesetzt werden. Bis dahin gilt es, den Baukasten der neuen SCC in handhabbare Musterdokumente zu überführen, die im Alltag eingesetzt werden können. Soweit der Datenimporteur seinerseits die SCC stellt, etwa im Rahmen seiner Geschäftsbedingungen, ist darauf zu achten, dass die neue Version bereits implementiert wurde.
Bis zum 27. Dezember 2022 müssen dann auch die bisherigen Vereinbarungen auf Grundlage der alten SCC durch eine Vereinbarung zum Wechsel auf die neuen SCC umgestellt werden. Dies kann recht aufwendige Projekte notwendig machen, da erst einmal verifiziert werden muss, wo bislang überall SCC geschlossen wurden.
Empfehlung:
Neben der Vorbereitung neuer Musterunterlagen und Bewertungsprozesse ist also auch eine Recherche der bestehenden SCC erforderlich, um diese abzulösen. Die entsprechenden Rolloutprojekte können genutzt werden, um die Verteidigungslinien in Bezug auf Drittlandtransfers noch einmal zu stärken und die erforderlichen Monitoringprozesse zu implementieren. Dies ist empfehlenswert, da die Aufsichtsbehörden gerade eine koordinierte Ermittlung gestartet haben, um hier die DSGVO-Vorgaben durchzusetzen („Koordinierte Prüfung internationaler Datentransfer“, 1.6.2021).
Schließlich muss man den Überblick behalten in Bezug auf die verschiedenen Begrifflichkeiten. Die neuen SCC müssten nach den Vorgaben der DSGVO eigentlich Standard Data Protection Clauses (SDPC) heißen. Die EU-Kommission nennt sie weiter SCC. Und so nennt sie auch die Vertragsklauseln, die sie parallel als Mustervertrag für eine Auftragsverarbeitung nach Art. 28 Abs. 7 DSGVO veröffentlicht hat (Commission Implementing Decision (EU) 2021/915, 4 June 2021). Nur die sollen gemäß DSGVO wirklich so heißen, haben indes mit Drittlandtransfers nichts zu tun.
Fazit
Im Ergebnis sind die neuen SCC positiv zu bewerten. Mit ihnen gibt es wieder einen klaren Fahrplan zur Rechtfertigung von Drittlandtransfers. Werden die SCC ordnungsgemäß umgesetzt, folgt die Rechtfertigung des Datentransfers direkt aus Art. 46 Abs. 2 lit. c) DSGVO.
Risikofrei ist die Anwendung dabei für die Anwender nicht; sie verlangt ihnen zudem viel Aufwand ab. Insbesondere die Bewertung, ob die Regelungen zum angemessenen Schutz der Betroffenen faktisch eingehalten werden können, ist komplex. Angriffsflächen verbleiben hier zwangsläufig. Aber das ist typisch für das Datenschutzrecht. Die Rechtfertigung von Verarbeitungen jenseits eines Drittlandtransfers mit berechtigten Interessen kann ebenfalls angreifbar sein. Zudem könnten die SCC einen weiteren Hebel für Datenschutzklagen und massenhafte Privacy Litigation bringen. Denn die meisten Regelungen sind drittbegünstigend ausgestaltet und Betroffene haben das Recht, eine Kopie der Unterlagen anzufordern.
Entscheidend ist zur Risikosteuerung aus Anwendersicht, dass das TIA mit klaren und plausiblen Bewertungsparametern durchgeführt wird. In Verbindung mit der Einhaltung der Fristen zur Umsetzung und Überführung von Altverträgen bringen die neuen SCC dann durchaus wieder Verlässlichkeit in internationale Datenflüsse. Zumindest nach DSGVO-Maßstäben.