Kurz vor dem Jahreswechsel weist die Landesbeauftragte für den Datenschutz Niedersachsen darauf hin, dass eine wichtige Frist personenbezogene Daten in Länder außerhalb des europäischen Wirtschaftsraums oder an internationale Organisationen zu übermitteln für Unternehmen und andere Stellen zum 27.12.2022 endet. Datenexporteure stützen diese Transfers häufig auf sogenannte Standardvertragsklauseln (eng. Standard Contractual Clauses – SCC) im Sinne von Art. 46 Abs. 2 Buchstabe c Datenschutz-Grundverordnung (DSGVO).
Dabei handelt es sich um von der Europäischen Kommission verabschiedete Vertragsmuster, mit denen europäische Datenschutzstandards vertraglich zwischen Datenexporteuren und -importeuren vereinbart werden. Bei der Verwendung von Standardvertragsklauseln können personenbezogene Daten in Drittländer oder an internationale Organisationen ohne weitere Genehmigung der Aufsichtsbehörden exportiert werden.
Neue Standardvertragsklauseln seit 2021
Bereits auf Grundlage der EU-Datenschutzrichtlinie hatte die Europäische Kommission Standardvertragsklauseln erlassen, die auch unter Geltung der DSGVO weitergenutzt werden konnten. Mitte des vergangenen Jahres legte die Kommission dann einen Durchführungsbeschluss über neue Klauseln vor, die an die DSGVO angepasst waren. Der Beschluss sieht eine stufenweise Ablösung der bisherigen Standardvertragsklauseln vor.
Seit dem 27. September 2021 müssen für Neuverträge zwingend die neuen Standardvertragsklauseln verwendet werden. Für Altverträge, die vor dem 27. September 2021 abgeschlossen worden sind, hat die Kommission einen Übergangszeitraum zur Umstellung auf die neuen Klauseln vorgesehen, der nun bald endet. Spätestens bis zum 27. Dezember 2022 müssen alle Altverträge umgestellt worden sein. Nach diesem Datum gelten die früheren Standardvertragsklauseln nicht mehr als „geeignete Garantie" im Sinne von Art. 46 Abs. 2 Buchstabe b DSGVO für den Export personenbezogener Daten.
Kurz zur Vorgeschichte:
Bis zum 16. Juli 2020 konnten personenbezogene Daten auf Grundlage des Privacy Shield-Abkommens in die USA übermittelt werden. Im sogenannten Schrems II-Urteil hat der EuGH dieses Abkommen für unwirksam erklärt. Somit wurde der bis dato existierende Angemessenheitsbeschluss „EU-US Privacy Shield“ für die Datenübermittlung in die USA gekippt. Gleichzeitig konkretisierte der EuGH auch die Anforderungen an eine sichere Datenübermittlung in Drittländer, welche sich aus den Art. 44 ff. DSGVO ergeben.
Dadurch wurden Anfang Juni 2021 durch die EU-Kommission neue Standardvertragsklauseln veröffentlicht. Doch welche Konsequenzen ergeben sich daraus für europäische Unternehmen mit Vertragspartnern in Drittstaaten wie den USA?
Welche Fristen gilt es für die neuen Standardvertragsklauseln einzuhalten?
Durch die Verabschiedung der neuen Standardvertragsklauseln im vergangenen Jahr, dürfen seitdem nur noch Verträge auf Grundlage der neuen Muster der SCC geschlossen werden. Daraus ergab sich, dass die bisherigen Standardvertragsklauseln nicht mehr verwendet werden durften. Außerdem gewährte die Kommission Verantwortlichen und Auftragsverarbeitern auf Grund des Organisationsaufwands eine Umstellungsfrist der Altverträge bis zum 27.12.2022.
Die neuen SCC sollen kleinen und mittelgroßen Unternehmen dabei helfen, sichere Datenübermittlungen in Drittländer zu gewährleisten. Außerdem bieten die SCC den europäischen Unternehmen größere rechtliche Vorhersehbarkeit, um ungehindert grenzüberschreitende Datenübermittlungen ohne weitere rechtliche Schranken zu ermöglichen.
Zusätzlich darf aber nicht vergessen werden, dass nicht nur die neuen Standarddatenschutzklauseln abgeschlossen werden müssen, sondern auch zusätzliche Maßnahmen (wie z. B. eine Risikoeinschätzung) ergriffen werden müssen, um ein angemessenes Schutzniveau zu gewährleisten. Eine Risikoeinschätzung kann mit einem sogenannten „Transfer Impact Assessment (TIA)“ vorgenommen werden. Hierbei müssen der Exporteur und Importeur beurteilen, ob in dem betroffenen Drittland ein angemessener Schutz der personenbezogenen Daten gewährleistet ist.
Was passiert mit Altverträgen? Können sie angepasst werden?
Die von der Kommission gesetzte Frist zur Umsetzung der neuen SCC ist bindend und kann unternehmensseitig nicht verlängert werden. Das bedeutet also, dass bis Ende Dezember alle Altverträge durch die neuen SCC ersetzt werden müssen, da die Altverträge kein angemessenes Schutzniveau mehr beim Datentransfer in Drittländer gewährleisten.
Natürlich wäre es auch möglich, dass alte Verträge angepasst werden können, jedoch ist dessen Prüfung und Überarbeitung voraussichtlich arbeitsintensiver und umfangreicher als der Abschluss eines neuen Vertrages.
Welche neuen Standardvertragsklauseln gibt es konkret?
Um mit den neuen Standardvertragsklauseln mehr Rechtssicherheit und Flexibilität beim Datentransfer in Drittländer zu schaffen, können nun Module abgeschlossen und somit mehrere Datentransferkonstellationen abgedeckt werden. Die Module existieren in folgenden Konstellationen:
Modul 1: C2C (Verantwortlicher – Verantwortlicher)
Modul 2: C2P (Verantwortlicher und Auftragsverarbeiter)
Modul 3: P2P (Auftragsverarbeiter und (Unter-)Auftragsverarbeiter)
Modul 4: P2C (Auftragsverarbeiter und Verantwortlicher)
Ein Vorteil bei den neuen SCC ist beispielsweise, dass bei Modul 2 kein weiterer Auftragsverarbeitungsvertrag nach Art. 28 DSGVO zwischen Verantwortlichen und geschlossen werden muss.
Was droht, wenn nicht rechtzeitig auf die neuen Standardvertragsklauseln umgestellt wird?
Bereits jetzt haben schon einige Datenschutzbehörden angekündigt, vermehrte Prüfungen zu internationalen Datentransfers in diesen Bereichen Anfang bis Mitte des nächsten Jahres durchzuführen. Diese Prüfungen sind uns bereits durch die Vergangenheit bekannt. Beispielsweise prüften mehrere Landesbeauftragte für Datenschutz ein Jahr nach dem Ende des Privacy Shields, ob Unternehmen die Anforderungen aus dem Schrems II Urteil bei internationalen Datentransfers umgesetzt hatten. Die Behörden schrieben dabei gezielt Unternehmen an und kontrollierten sie anhand eines Fragenbogens. „Im Rahmen einer länderübergreifenden Kontrolle werden Datenübermittlungen durch Unternehmen in Staaten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums (Drittstaaten) überprüft. Das Ziel ist die breite Durchsetzung der Anforderungen des Europäischen Gerichtshofs in seiner Schrems-II-Entscheidung vom 16. Juli 2020 (Rs. C-311/18).“ „Dabei wird es unter anderem um den Einsatz von Dienstleistern zum E-Mail-Versand, zum Hosting von Internetseiten, zum Webtracking, zur Verwaltung von Bewerberdaten und um den konzerninternen Austausch von Kundendaten und Daten der Beschäftigten gehen. Jede Aufsichtsbehörde entscheidet individuell, in welchen dieser Themenfelder sie tätig wird.“ Die Landesbehörde für Datenschutz Niedersachsen kündigte auch in ihrer aktuellen Pressemitteilung Prüfungen zum Ende der Frist für die Umstellung von Altverträgen an: „Stellt eine Aufsichtsbehörde eine Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen ohne geeignete Garantien fest, kann sie anordnen, dass diese Übermittlungen ausgesetzt werden. Außerdem kommt die Verhängung eines Bußgeldes in Betracht.“
Welche Maßnahmen sind bis zum Ende der Frist zu treffen?
Was die vom Europäischen Gerichtshof im Schrems II-Urteil entwickelten zusätzlichen Anforderungen an die Verwendung von Standardvertragsklauseln betrifft, hat sich aufgrund der neuen Klauseln nichts geändert. Das heißt, auch bei Verwendung der neuen Klauseln muss der Datenexporteur die Rechtslage und -praxis des Drittlands prüfen, gegebenenfalls zusätzliche Maßnahmen ergreifen oder notfalls sogar die Übermittlung einstellen.
Im besten Fall haben die Unternehmen bereits in der Vergangenheit ein Verzeichnis angelegt und dort alle Verträge aufgeführt, um den Überblick nicht zu verlieren. Jedoch spätestens mit Abschluss der neuen SCCs, trifft sowohl die Datenexporteure als auch die Datenimporteure eine umfangreichere Dokumentationspflicht, die sich u. a. in den Klauseln 14.d, 15.1.d und 15.2.b sowie in den Anhängen der neuen Standardvertragsklauseln wiederfinden.
Konkret können Sie nun folgende Maßnahmen einleiten, damit nicht erst schlimmstenfalls bei der Kontrolle durch eine Behörde unangenehme Überraschungen aufkommen:
Bereits geschlossene neue SCCs sollten mit in das Verzeichnis der Verarbeitungstätigkeiten aufgenommen werden – sofern dies noch nicht geschehen ist, da hier zwischen den Vertragspartnern ein Austausch von personenbezogene Daten stattfindet.
Bei allen anderen Verträgen: Hier muss festgestellt werden, ob bzw. welche Datentransfers in Drittländer ohne gültigen Angemessenheitsbeschluss stattfinden.
Anhand der bestehenden Verträge muss geprüft werden, welche Konstellationen von Datenübermittlungen vorliegen und welche Module der neuen EU-Standard-Datenschutzklauseln angewendet werden können.
Anschließend sollten die entsprechenden Vertragspartner kontaktiert und mit ihnen die neuen SCCs geschlossen werden.
Die neu abgeschlossenen Verträge sollten auch wieder mit in das Verzeichnis der Verarbeitungstätigkeiten aufgenommen werden.
Im Anschluss daran sollte das „Transfer Impact Assessment“ (TIA) durchgeführt und das Ergebnis des TIA dokumentiert werden.
Sofern Sie unsicher sind, inwieweit die Neuerung auf Ihr Unternehmen und den von Ihnen verwendeten Vertragsklauseln Anwendung finden oder auch wenn Sie Fragen haben sollten bzw. Hilfe bei der Umsetzung benötigen, stehen wir Ihnen gerne zur Verfügung - sprechen Sie uns an!
Ihr Team der RKM Data GmbH