Am 4. Juni 2021 hat die EU-Kommission zwei neue Sets von Standardvertragsklauseln (SCC) beschlossen: zum einen für die Übermittlung personenbezogener Daten aus der EU in Drittländer (Cross-Border SCC), und weitere Standardvertragsklauseln für Datenverarbeitungsverträge zwischen Verantwortlichen und Auftragsverarbeitern (DPA-SCC). Der Durchführungsbeschluss erging etwa sieben Monate, nachdem erste Entwürfe für beide SCC von der EU-Kommission zur öffentlichen Stellungnahme vorgelegt worden waren (siehe GT-Blogbeitrag vom 18. November 2020). Dieser GT Alert befasst sich mit den neuen Cross-Border SCC; die DPA-SCC werden in einem weiteren Alert separat besprochen werden.
First Things First: Wann treten die neuen SCC in Kraft und was bedeutet dies?
Die Cross-Border SCC treten am 27. Juni 2021 in Kraft. Bis zum 27. September 2021 können sowohl die "alten", als auch die neuen Cross-Border SCC für Verträge verwendet werden. Danach dürfen die alten SCC für neue Verträge nicht mehr genutzt werden. Sie gelten jedoch noch für weitere 15 Monate als "angemessen", solange der Regelungsgegenstand dieser Verträge unverändert bleibt und die alten SCC zuvor "angemessen" waren. Ab dem 27. Dezember 2022 wird die Verwendung der "alten" SCC nicht mehr die erforderlichen, angemessenen Garantien für eine Datenübermittlung in ein Drittland bieten. Bis dahin müssen sie deshalb durch die neuen Cross-Border SCC (oder andere geeignete Mittel) ersetzt werden.
Das bedeutet, dass (1) ab dem 27. September 2021 nur noch die neuen Cross-Border SCC für Datenübermittlungen in Drittländer in neuen Verträgen verwendet werden dürfen, und (2) ab dem 27. Dezember 2022 alle bestehenden "alten" SCC durch die neuen Cross-Border SCC ersetzt sein müssen.
Was sind grenzüberschreitende SCC und warum sind sie wichtig?
Gemäß der EU-Datenschutzgrundverordnung (DSGVO) dürfen personenbezogene Daten nur dann aus der EU in ein Drittland (d. h. ein Land, das nicht Mitglied des Europäischen Wirtschaftsraums, EWR, ist) übertragen werden, wenn angemessene Schutzmaßnahmen ergriffen wurden. Seit langer Zeit waren die sog. Standardvertragsklauseln für grenzüberschreitende Übertragungen (die "alten" SCC) eine der beliebtesten und einfach umzusetzenden Möglichkeiten, um sicherzustellen, dass diese angemessenen Schutzmaßnahmen ergriffen worden sind.
Die "alten" SCC wurden unter dem Vorgänger der DSGVO, der Datenschutzrichtlinie, erlassen und waren bis heute weiterhin anwendbar. Im Juli 2020 erklärte der Gerichtshof der Europäischen Union (EuGH) in seinem Schrems-II-Urteil, dass nicht näher definierte "zusätzliche Maßnahmen" für Datenübermittlungen auf der Grundlage der alten SCC implementiert werden müssen, jedoch ohne klarzustellen, welche "zusätzlichen Maßnahmen" notwendig sein könnten oder wie diese zu bestimmen sind. Im November 2020 veröffentlichte der Europäische Datenschutzausschuss (EDSA) seinen Entwurf der "Empfehlungen 01/2020 für Maßnahmen, die Übermittlungsinstrumente ergänzen, um die Einhaltung des EU-Schutzniveaus für personenbezogene Daten zu gewährleisten" (Empfehlungen), die Organisationen einen Bewertungsprozess für den Schutz von EU-Datenübermittlungen bieten.
Zwar bieten die Cross-Border SCC hierzu nun eine gewisse Klarheit, es gibt jedoch weiterhin viele Unklarheiten und Herausforderungen, die Datenexporteure und Datenimporteure überwinden müssen, wenn sie in Zukunft Cross-Border SCC für Datentransfers verwenden.
Welche Übermittlungen werden von den Cross-Border SCC erfasst?
Anders als die "alten" SCC verfolgen die neuen Cross-Border SCC einen modularen Ansatz für alle Arten von Übermittlungen zwischen Verantwortlichen und Auftragsverarbeitern, und bieten die Möglichkeit, dass mehr als zwei Parteien die Cross-Border SCC abschließen und nutzen. Am wichtigsten ist jedoch wohl, dass die neue Cross-Border SCC für alle Arten von Datenübermittlungen verwendet werden können, unabhängig von der rechtlichen "Rolle" des Datenexporteurs und Datenimporteurs (d.h. unabhängig davon, ob der Exporteur oder Importeur ein für die Verarbeitung Verantwortlicher oder ein Auftragsverarbeiter ist).
Was sind die wichtigsten Neuerungen?
Gegenüber dem ursprünglichen Entwurf vom November 2020 wurden die Cross-Border SCC sowohl sprachlich als auch inhaltlich erheblich geändert. Außerdem hat die EU-Kommission eine Reihe von Empfehlungen des EDSA übernommen (siehe unseren GT Alert vom 12. November 2020).
Zu den wichtigsten Aspekten der neuen Cross-Border SCC gehören folgende:
- In Bezug auf das Schrems-II-Urteil erlauben die Cross-Border SCC den Unternehmen einen risikobasierten Ansatz bei der Beurteilung der Möglichkeit eines Datenzugriffs durch (ausländische) Behörden nach ihrem nationalen Recht. Die Vertragsparteien müssen im Detail versichern, dass sie keinen Grund zu der Annahme haben, dass die örtlichen Gesetze und Praktiken, die auf die Verarbeitung der personenbezogenen Daten durch den Datenimporteur anwendbar sind, den Datenimporteur daran hindern, seine Verpflichtungen aus den Cross-Border SCC zu erfüllen.
- Die Vertragsparteien müssen die allgemeinen Umstände der Übermittlung beurteilen (z. B. hinsichtlich der Zahl der beteiligten Parteien, der Arten von Empfängern, der Zwecke der Verarbeitung und der Kategorien der übermittelten personenbezogenen Daten).
- Die Vertragsparteien müssen die relevanten Rechtsvorschriften und Gepflogenheiten (einschließlich „solcher, die die Offenlegung von Daten gegenüber Behörden vorschreiben oder den Zugang von Behörden zu diesen Daten gestatten“) des Bestimmungslandes beurteilen, die angesichts der besonderen Umstände der Übermittlung und der geltenden Beschränkungen und Garantien relevant sind. Im Gegensatz zum Empfehlungsentwurf des EDSA, der darauf hinweist, dass sich die Bewertung nicht auf subjektive Faktoren stützen darf, sehen die neuen Cross-Border SCC vor, dass diese Analyse die Beurteilung "praktischer Erfahrungen mit früheren Fällen durch Auskunftsersuche von Behörden" umfassen soll.
- Die Beurteilungen der Parteien müssen dokumentiert, gespeichert und der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden.
- Der Datenimporteur muss alle behördlichen Auskunftsersuchen auf ihre Rechtmäßigkeit hin prüfen und den Datenexporteur über solche Ersuchen informieren bzw. diese sogar an den Datenexporteur weiterleiten. In Zweifelsfällen muss er Rechtsmittel in Anspruch nehmen, um die Rechtmäßigkeit der Anfragen überprüfen zu lassen.
- Die Cross-Border SCC müssen die spezifischen (d.h. nicht nur allgemeine) technischen und organisatorischen Maßnahmen beschreiben, die vom Datenimporteur umzusetzen sind. Diese Maßnahmen müssen ein angemessenes Sicherheitsniveau gewährleisten, wobei die Art, der Umfang, der Kontext und der Zweck der Verarbeitung sowie die Risiken für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen sind.
- Viele der Bestimmungen in den Cross-Border SCC räumen natürlichen Personen Rechte ein, die sie geltend machen können, obwohl sie nicht Partei der zugrunde liegenden Vereinbarungen oder der SCC sind.
- Die Cross-Border SCC gewähren dem Datenexporteur ein Kündigungsrecht im Falle bestimmter Verstöße gegen die Cross-Border SCC.
Was sind die nächsten Schritte?
Unternehmen sollten den Status ihrer internationalen Datenübertragungen aus der EU in ein Drittland überprüfen. So bald wie möglich, auf jeden Fall aber ab dem 28. September 2021, sollten sie beim Abschluss neuer Verträge nur noch die neuen Cross-Border SCC verwenden. Darüber hinaus sollten sie alle "alten", bislang implementierten SCC durch die neuen Cross-Border SCC ersetzen, wobei diese Ersetzung bis zum 28. Dezember 2022 abgeschlossen sein muss.
Es ist wichtig zu beachten, dass trotz der neuen Cross-Border SCC "zusätzliche Maßnahmen" erforderlich sein können – abhängig von dem Drittland, in das Daten exportiert werden sollen, dem Geschäftsmodell, dem Datenimporteur, der Art und Weise, wie die Daten im Drittland verarbeitet werden sollen, usw. Es wird erwartet, dass der EDSA Mitte Juni die endgültige Fassung der Empfehlungen veröffentlichen wird, die hoffentlich die Umstände weiter klären werden, unter denen zusätzliche Maßnahmen bei grenzüberschreitenden Übermittlungen personenbezogener Daten aus der EU erforderlich sind.