• EU-Standardvertragsklausel: Vier Module – ein Managementansatz.

  2. Business Circle
  3. News
  4. Recht & Steuern
  5. EU-Standardvertragsklausel: Vier Module – ein Managementansatz.

Dr. Helmut Liebel und Mag. Maximilian Kröpfl, E + H Rechtsanwälte: "Internationaler Datentransfer muss mit den SCC 2021 überdacht werden."

Schrems II (EuGH 16.07.2020, C-311/18) und das damit verbundene Ende des Angemessenheitsbeschlusses für die Vereinigten Staaten von Amerika (sog. EU-US Privacy Shield) haben die Zusammenarbeit europäischer Unternehmen mit US-Dienstleistern gehörig durcheinander gebracht.

Mit dem Urteil des EuGH ist die bequeme Grundlage für den kompletten Datentransfer aus der Europäischen Union in die USA weggefallen. Von einer Sekunde auf die andere waren lang gepflegte Beziehungen mit US-Dienstleistern datenschutzrechtlich unzulässig.

Viele US-Dienste reagierten prompt und sattelten quasi über Nacht auf die bestehenden EU-Standardvertragsklauseln um. Diese waren zwar alt, aber nach dem EuGH explizit weiterhin als Garantie für den angemessenen Datenschutz außerhalb des Europäischen Wirtschaftsraums geeignet. Der EuGH verlangte aber zusätzliche geeignete Garantien. Dies rief wiederum den Europäischen Datenschutzausschuss (EDSA) auf den Plan, der entsprechende Empfehlungen verabschiedete. Die Europäische Kommission wollte daraufhin schnellstmöglich einen neuen Angemessenheitsbeschluss mit den USA verhandeln. Als man merkte, dass die europäische Wirtschaft auf diese schwierige politische und diplomatische Einigung nicht warten kann, hat die Europäische Kommission die veralteten Standardvertragsklauseln überarbeitet und im Juni 2021 neue, umfangreichere EU-Standardvertragsklauseln (SCC 2021) veröffentlicht.

Schnelleinstieg in die neuen EU-Standardvertragsklauseln

Die SCC 2021 unterteilen sich in vier Module und ermöglichen die nachfolgenden Datentransfers:

  1. zwischen einem in der EU niedergelassenen Verantwortlichen und einem Nicht-EU-Verantwortlichen (Modul 1),

  2. zwischen einem EU-Verantwortlichen und einem Nicht-EU-Auftragsverarbeiter (Modul 2),

  3. zwischen einem EU-(Sub-)Auftragsverarbeiter und einem Nicht-EU-Sub-Auftragsverarbeiter (Modul 3) und

  4. zwischen einem Nicht-EU-Verantwortlichen und einem EU-Auftragsverarbeiter (Modul 4).

In Zukunft kann man somit nahezu alle denkmöglichen Konstellationen des internationalen Datentransfers mit den SCC 2021 abdecken. Durch die Aufnahme einer Koppelungsklausel können zusätzliche Parteien den SCC 2021 unkompliziert beitreten.

Mit dem Umstieg gibt es auch eine kleine, aber feine Erleichterung im Zusammenhang mit der Auftragsverarbeitung: Werden SCC 2021 mit einem Auftragsverarbeiter abgeschlossen, so decken die Klauseln nun die Mindestanforderungen an den Auftragsverarbeitervertrag nach Art 28 DSGVO ab.

Die SCC 2021 sehen nicht nur an zahlreichen Stellen eine enge Kooperation und einen engagierten Austausch zwischen Datenexporteur und -importeur vor, sondern beinhalten darüber hinaus noch zahlreiche weitere Verpflichtungen.

Garantieerklärung als zentrales Element für den Datentransfer

Zentrales Element der SCC 2021 ist – unabhängig vom einzelnen Modul – die Garantieerklärung des Datenexporteurs, sich überzeugt zu haben, dass der Datenimporteur die Pflichten aus den SCC 2021 einhalten kann. Kurzum: Eine aktive Compliancepflicht für jeden in der EU ansässigen Verantwortlichen oder Auftragsverarbeiter, der personenbezogene Daten in ein Drittland übermittelt.

Diese Garantieerklärung erfasst neben den allgemeinen datenschutzrechtlichen Pflichten aus den SCC 2021 auch die Zusicherung, dass das Recht und die Gepflogenheiten im Drittland dem Europäischen Datenschutz nicht entgegenstehen und der Datenimporteur dadurch nicht am Einhalten der Pflichten aus den SCC 2021 gehindert wird. Die Grundlage ist eine Gesamtbeurteilung, bestehend aus den Verarbeitungsumständen, der Rechtsordnung bzw. den Gepflogenheiten im Drittland sowie den ergriffenen (zusätzlichen) vertraglichen, technischen und organisatorischen Garantien. Für den letzten Punkt hat der EDSA bereits Empfehlungen (hier pdf herunterladen) veröffentlicht.

Das bedeutet uE jedoch nicht zwingend, dass der Datenexporteur in Zukunft für jedes Drittland ein rechtsvergleichendes Gutachten einholen muss. Denn den Datenimporteur trifft hinsichtlich der Rechtsvorschriften und Gepflogenheiten im Drittland eine Informationsbereitstellungspflicht.

Transfer Impact Assessment als Werkzeug für risikobasierten Datentransfer

Um die mit der Garantieerklärung verbundenen Compliancepflichten im laufenden Betrieb sinnvoll zu managen, wird die Durchführung eines Transfer Impact Assessment (TIA) verlangt. Ein risikobasierter Datenschutz-Managementansatz, der durch Einholen aussagekräftiger Nachweise und eine Plausabilitätsprüfung einen rechtskonformen Datentransfer sicherstellen soll.

Ein Transfer Impact Assessment kann – in Anlehnung an die Empfehlungen des EDSA – etwa nach folgendem Schema ablaufen:

1. Einholen aller relevanten Referenzen und Informationen zum konkreten Datentransfer

Eingangs sind die von den konkreten SCC 2021 umfassten Datenverarbeitungen zu erheben und dabei auch alle Weiterübermittlungen durch den Datenimporteur zu beachten. Ferner ist dabei zu überprüfen, ob die personenbezogenen Daten in Bezug auf den durch die Datenübermittlung verfolgten Zweck adäquat, relevant und auf das notwendige Maß beschränkt sind. Wer über ein vollständiges Verarbeitungsverzeichnis verfügt, wird den ersten Schritt schnell erledigen können.

2. Effektivität der SCC 2021 hinsichtlich des konkreten Datentransfers erheben und bewerten

Hintergrund dieses Schritts ist die Frage, ob der Datenimporteur alleine durch die Vereinbarung der SCC 2021 ein effektives Schutzniveau sicherstellen kann, sodass der Datentransfer an den Datenimporteur dem europäischen Anspruch an den Schutz personenbezogener Daten genügt.

Diese Frage ist vom Datenexporteur insbesondere nach folgenden Gesichtspunkten zu bewerten:

  1. Vorliegen geeigneter, EU-äquivalenter Garantien zum Schutz personenbezogener Daten;

  2. Bestehen von Gesetzen im Drittland, die mit den EU-Grundrechten und Freiheiten zum Datenschutz und zur Privatsphäre vereinbar sind;

  3. Aussagen und Bewertungen über die Verwaltungspraxis im Drittland für den Zugang bzw. die Herausgabe personenbezogener Daten im Drittland;

  4. Relevante Rechtsprechung im Drittland;

  5. Aufbau und Ausstattung relevanter staatlicher Stellen hinsichtlich eingeräumter Kompetenzen und technischer, finanzieller und personeller Ausstattung.

3. Auswahl zusätzlicher geeigneter Garantien

Ergibt die Bewertung, dass die SCC 2021 nicht geeignet sind, ein ausreichendes Datenschutzniveau im Drittland sicherzustellen, so sind zusätzliche geeignete vertragliche, technische und organisatorische Garantien auszuwählen. Aus einer Gesamtschau muss sich ergeben, dass die Summe der gesetzten Garantien geeignet ist, das erforderliche Schutzniveau nachhaltig sicherzustellen.

Drittbegünstigtenklausel als Fallstrick

Mit der Vereinbarung der SCC 2021 wird betroffenen Personen automatisch eine umfassende Drittbegünstigung eingeräumt. Sie können sich damit auf weite Teile der vertraglichen Bestimmungen berufen und gegen alle Parteien der Klauseln gerichtlich oder vor der Datenschutzbehörde vorgehen. Die SCC 2021 sollten daher nicht achtlos unterfertigt werden.

Achtung: Fristen!

Seit 28. Juni 2021 können die neuen, umfangreichen SCC 2021 vereinbart werden. Darüber hinaus sind bei den SCC 2021 aber noch weitere Fristen zu beachten:

  • Bis zum 27. September 2021 bereits vereinbarte alte EU-Standardvertragsklauseln können noch bis 27. Dezember 2022 als Grundlage für den internationalen Datentransfer genutzt werden.

  • Im Falle von Vertragsänderungen und bei Neuverträgen müssen ab dem 27. September 2021 die bisherigen EU-Standardvertragsklauseln durch die SCC 2021 ausgetauscht werden.

  • Spätestens mit Dezember 2022 sind alle betroffenen Datenübermittlungen auf die neuen Standardvertragsklauseln umzustellen.
    Wenn auch die Befassung mit den SCC 2021 auf den ersten Blick nicht besonders dringend erscheint, kann dies für international agierende Unternehmen, welche auch auf das Nicht-EU-Ausland ausgerichtet sind, rasch zu einem erheblichen Termindruck führen.

Unternehmen sollten daher ihre datenschutzrechtlichen Verträge rechtzeitig überprüfen und ggf. aktualisieren. Bei einem Verstoß drohen hier bekanntlich nicht nur zivilrechtliche Schritte durch betroffene Personen, sondern auch die Verhängung massiver Geldbußen iHv bis zu 20 Mio. Euro bzw. 4% des weltweiten Vorjahresumsatzes.

Die Autoren:

Blog euh Liebel 200x200 Blog euh kroepfl2021 200x200

Dr. Helmut Liebel ist Partner und Mag. Maximilian Kröpfl ist Rechtsanwaltsanwärter in der Praxisgruppe Wettbewerbsrecht und IP/IT der E+H Eisenberger + Herzog Rechtsanwalts GmbH in Wien.

Zu unserem Bereich Recht & Steuern

alle neuerungen auf einen blick?

Wir entwickeln unsere Veranstaltungen laufend weiter. Abonnieren Sie unseren Newsletter und verpassen Sie kein Update.
Sie können den Business Circle Newsletter jederzeit abbestellen.

Themen wählen


Themen wählen

unsere veranstaltungsbereiche

X

Right Click

No right click