24. November 2021
Standardvertragsklauseln Schutzniveau
Datenschutzrecht

Schrems II: Neue Standardvertragsklauseln, neue Empfehlungen und neue Fragen

Unternehmen müssen bei Datentransfers in Drittländer zusätzliche Pflichten beachten und ihre Verträge erneut überarbeiten.

Seit der vieldiskutierten Schrems II-Entscheidung des Europäischen Gerichtshof (EuGH, Urteil vom 16. Juni 2020, C-311/18) müssen Unternehmen bei Datenübermittlungen in Drittländer für jeden Einzelfall prüfen, ob ein der DSGVO entsprechendes Schutzniveau im Drittland gewährleistet ist. Falls das nicht der Fall ist, müssen sie zusätzliche Schutzmaßnahmen sicherstellen. 

Im Nachgang zur Entscheidung des EuGH hat die Europäische Kommission am 4. Juni 2021 neue Standardvertragsklauseln („Standard Contractual Clauses“, SCCs) verabschiedet. Auch der Europäische Datenschutzausschuss (EDSA, EDPB) hat daraufhin am 18. Juni 2021 neue Empfehlungen veröffentlicht, mit denen er den Unternehmen bei der „komplexen Aufgabe, Drittländer zu bewerten und geeignete zusätzliche Maßnahmen zu ermitteln“, helfen will. Daneben hat die Kommission auch Klauseln als Vorlage für eine Auftragsverarbeitungsvereinbarung für Datentransfers innerhalb der EU veröffentlicht, die freiwillig genutzt werden können. 

Unternehmen müssen ihre bestehenden Verträge für Datenübermittlungen in Drittländer spätestens bis zum 27. Dezember 2022 anpassen. Ab diesem Datum verlieren die alten SCC ihre Wirksamkeit. Transfers, die auf die alten SCC gestützt werden, sind dann nicht mehr möglich. Bei neuen Datentransfers müssen die aktuellen SCC bereits heute berücksichtigt werden. 

Die neuen SCCs sind modular aufgebaut und enthalten neue Pflichten für Unternehmen 

Die Kommission hat mit den neuen SCCs einen modularen Aufbau für die jeweiligen Parteienkonstellationen gewählt. Die allgemeinen Regelungen der Abschnitte I, III und IV sind dadurch (mit Ausnahme einzelner gekennzeichneten Änderungen) für verschiedene Konstellationen identisch:

  • Modul 1 (C2C): Die Konstellation zwischen Verantwortlichen und Verantwortlichen war bereits bei den bisherigen SCCs vorhanden. 
  • Modul 2 (C2P): Die ebenfalls bekannte Konstellation zwischen Verantwortlichen und Auftragsverarbeitern hat den Vorteil, dass neben den SCCs kein weiterer Auftragsverarbeitungsvertrag (Art. 28 Abs. 7 DSGVO) erforderlich ist. 
  • Modul 3 (P2P): Die Kommission hat endlich die Konstellation zwischen Auftragsverarbeitern und (Unter-)Auftragsverarbeitern aufgenommen. Diese ähneln denen des C2P-Moduls, sodass auch hier zukünftig kein separater Auftragsverarbeitungsvertrag notwendig sein wird.
  • Modul 4 (P2C): Ebenfalls neu ist die Konstellation zwischen Auftragsverarbeitern und Verantwortlichen. Sie war notwendig, weil die Art. 44 ff. DSGVO auch für Auftragsverarbeiter gelten, welche Daten von Unternehmen aus Drittländern verarbeiten. Ob diese Konstellation Relevanz in der Praxis haben wird, ob auch die Rückübertragung der Daten von Art. 44 DSGVO erfasst ist und ob sie von einer Partei genutzt werden können, wenn diese ohnehin der DSGVO unterfällt (vgl. Erwägungsgrund 7 S. 2), wird derzeit juristisch diskutiert.  

Die neuen SCCs können entweder durch individuellen Vertragsschluss oder als Bestandteil zu Hauptverträgen (z.B. AGB) geschlossen werden. Erfreulicher Weise wurde eine (fakultative) Kopplungsklausel (Klausel 7, „docking clause“) aufgenommen, sodass weitere Unternehmen den Verträgen beitreten können, indem diese den Anhang I.A. unterzeichnen. Unternehmen können den Beitritt in der Praxis also beschleunigen, wenn sie die Anlagen entsprechend vorbereiten. 

Die neuen SCCs bedeuten für viele Unternehmen aber weitere Pflichten:

  • Verpflichtende Daten-Transfer-Folgenabschätzung („Transfer-Impact-Assessment“, TIA): Die Parteien müssen nunmehr zusichern, dass sie keinen Grund zu der Annahme haben, das Gesetze aus dem Drittland (u.a. durch Zugang öffentlicher Behörden; bspw. Sec. 702 FISA in den USA) den Datenimporteur an der Erfüllung seiner Pflichten hindern (Klausel 14 lit. a und b). 
    • Datenexporteure müssen, wie bereits aus dem Schrems II-Urteil bekannt, eine Bewertung des Schutzniveaus im Drittland durchführen und – sofern erforderlich – zusätzliche Schutzmaßnahmen prüfen. Hierzu können sich Unternehmen an den schon bekannten und nunmehr aktualisierten sechs Schritten der EDSA-Empfehlungen richten. 
    • Datenimporteure müssen sich „nach besten Kräften bemühen“ („best effort“), die für die Bewertung erforderlichen sachdienlichen Informationen bereitzustellen (Klausel 15 lit. c). Daneben müssen sie den Datenexporteur „unverzüglich“ benachrichtigen, wenn sie „Grund zu der Annahme“ haben, dass sich das Schutzniveau (z.B. durch Gesetzesänderungen) ändert (Klausel 15 lit. e).    
  • Schrems II-Pflichten zur Sicherung des Schutzniveaus: Die Anpassung der SCCs an die Anforderungen des Schrems II-Urteils beinhaltet auch die Pflicht zur Sicherung des Schutzniveaus.
    • Datenexporteure sind verpflichtet, Maßnahmen zur Sicherung des Schutzniveaus (z.B. technische oder organisatorische Maßnahmen, TOM) zu treffen, wenn sie „Grund zu der Annahme haben, dass der Datenimporteur seinen Pflichten“ aus den SCCs nicht mehr nachkommen kann (Klausel 14 lit. f S. 1). Dazu gehört auch, dass derartige Übermittlungen ganz ausgesetzt werden müssen, wenn das Schutzniveau nicht gewährleistet werden kann (S. 2). Hierzu wird dem Datenexporteur nach den SCCs ein Kündigungsrecht, aber keine Kündigungspflicht, gegenüber dem Datenimporteur eingeräumt (S. 3).
    • Datenimporteure müssen Datenexporteure und Betroffene informieren, wenn Behörden die Offenlegung der Daten ersuchen (Klausel 15.1). Sollte eine Mitteilung an Betroffene nach den Gesetzen des Drittlandes verboten sein, sollen sich Unternehmen sogar „nach besten Kräften um eine Aufhebung des Verbotes bemühen“. Zudem sind sie verpflichtet, die Rechtmäßigkeit des Ersuchens zu überprüfen und „bei hinreichenden Gründen zur Annahme“ der Rechtswidrigkeit gerichtlich gegen dieses vorzugehen (Klausel 15.2).    
  • Umfangreiche Dokumentationspflichten: Sowohl für Datenexporteure als auch Datenimporteure beinhalten die neuen SCCs umfangreiche Dokumentationspflichten (u.a. in den Klauseln 14.d, 15.1.d und 15.2.b sowie in den Anhängen).

Nach Art. 4 des Beschlusses zu den SCCs müssen neu abzuschließende Verträge die neuen SCCs ab dem 27. September 2021 berücksichtigen. Für bereits abgeschlossene Verträge gilt eine Frist von 18 Monaten, sodass Unternehmen die bestehenden SCCs bis zum 27. Dezember 2022 durch die neuen SCCs ersetzen müssen. 

Daten-Transfer-Folgenabschätzung ist erforderlich, risikobasiertes Vorgehen ist möglich

Es gibt auch eine erfreuliche Neuerung: Zwingend durchzuführende Folgenabschätzungen sind nunmehr nicht nur auf Grundlage der rein objektiven Zugriffsmöglichkeit für Behörden durchzuführen, es können vielmehr auch praktische Erfahrungen berücksichtigt werden.

Dieser risikobasierte Ansatz ist sowohl in den neuen SCCs (Fußnote 12 zu Klausel 14 lit. b) als auch in den aktualisierten EDSA-Empfehlungen (Rn. 47) enthalten, wonach die „Erfahrungen des Datenimporteurs als zusätzliche Quelle für Informationen“ herangezogen werden können. Diese finden sich zumeist in den Transparenzberichten („transparency report“) der Unternehmen. Der EDSA betont allerdings, dass das Fehlen vorheriger (Regierungs-)Anfragen „niemals“ allein für das Ergebnis der Gesamtschau herangezogen werden könne. Vielmehr habe die Bewertung anhand einer Gesamtschau aller zu berücksichtigenden Aspekte (z.B. Informationen anderer Anbieter im gleichen Sektor, Gerichtsurteile) zu erfolgen. 

Besonderen Wert legt der EDSA in seinen Empfehlungen auf die TOM, die in Anhang 2 auf 19 Seiten erörtert und mit konkreten Beispielen („use cases“) dargestellt werden. So können insb. eine effektive Verschlüsselung (Rn. 84) und eine durchgängige Pseudonymisierung (Rn. 84) wirksame zusätzliche Maßnahmen zur Sicherung des Schutzniveaus darstellen. Sofern der Datenimporteur sich allerdings im Besitz des kryptografischen Schlüssels befinde, sei eine Wirksamkeit explizit nicht gegeben. Der EDSA sei z.B. bei Cloud-Diensten (Rn. 96) 

nicht in der Lage, sich nach dem derzeitigen Stand der Technik eine wirksame Maßnahme zur Verhinderung von Eingriffen in die Betroffenenrechte vorzustellen.

Die neuen SCCs und Empfehlungen werfen auch neue Fragen auf: 

Prüfungsmaßstab: Geben die SCCs einen engeren Prüfungsmaßstab als Schrems II auf?

Zumindest aus juristischer Sicht scheint fraglich, ob in den SCC ein anderer Prüfungsmaßstab als der des EuGH zugrunde gelegt ist. So ist in Klausel 14 lit. a festgehalten (Hervorhebung durch die Bearbeiter):

Die Parteien sichern zu, keinen Grund zu der Annahme zu haben, dass die für die Verarbeitung […] geltenden Rechtsvorschriften […] den Datenimporteur an der Erfüllung seiner Pflichten gemäß diesen Klauseln hindern. Dies geschieht in dem Verständnis, […] um eines der in Art. 23 Abs. 1 [DSGVO] aufgeführten Ziele sicherzustellen.

Demgegenüber bestimmt der EuGH einen umfassenden Maßstab, wonach Verantwortliche

in jedem Einzelfall – gegebenenfalls in Zusammenarbeit mit dem Empfänger der Übermittlung – prüfen, ob das Recht des Bestimmungsdrittlands nach Maßgabe des Unionsrechts einen angemessenen Schutz der auf der Grundlage von Standarddatenschutzklauseln übermittelten personenbezogenen Daten gewährleistet.

So wären Fälle denkbar, in denen ein Datenimporteur zwar die Einhaltung seiner Pflichten garantieren kann, aber bereits vor Empfang durch den Datenimporteur ein Zugriff durch staatliche Stellen erfolgt, mithin ein Schutz durch den Importeur nicht gewährleistet werden kann.   

Haftung: Kann die Haftung zwischen den Vertragsparteien weiterhin begrenzt werden?

Problematisch könnte für Unternehmen zudem die Frage sein, ob sie auch nach den neuen SCCs die Haftung inter partes begrenzen können. Nach Erwägungsgrund 3 steht es den Parteien frei, 

weitere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese weder unmittelbar noch mittelbar im Widerspruch zu den Standardvertragsklauseln stehen. 

Die SCCs enthalten jedoch selbst nach Erwägungsgrund 14 „Vorschriften über die Haftung zwischen den Parteien“, die in Klausel 12 zu finden sind:

Jede Partei haftet gegenüber der/den anderen Partei(en) für Schäden, die sie der/den anderen Partei(en) durch einen Verstoß gegen diese Klauseln verursacht.

Eine Haftungsbegrenzung ist demnach nicht ausdrücklich vorgesehen, sodass sich aus dem Umkehrschluss ergeben könnte, dass jede andere Vereinbarung der Parteien zur Begrenzung dieser Haftung dem Regelungsinhalt der SCCs widersprechen würde. Dies dürfte jedoch nur dann gelten, wenn die fehlende Begrenzung von der Kommission beabsichtigt gewesen wäre, worauf sich zumindest aus den öffentlich verfügbaren Beratungsunterlagen und Entwürfen kein Hinweis finden lässt. 

Drittbegünstigung: Könnten Betroffene ein vollständiges Verbot der Datenübermittlung erwirken?

Nach Erwägungsgrund 12 sollen Betroffene,

von einigen Ausnahmen abgesehen, insb. in Bezug auf bestimmte Pflichten, die ausschließlich die Beziehungen zwischen dem Datenexporteur und Datenimporteur betreffen, […] die Standardvertragsklauseln als Drittbegünstige geltend machen und erforderlichenfalls durchsetzen können.

Diese Drittbegünstigung – aus deutscher Sicht wohl als echter Vertrag zugunsten Dritter zu verstehen – wird sodann in Klausel 3 der SCCs normiert. Im Grundsatz können die betroffenen Personen alle Klausel der SCC als eigene Rechte gegenüber den Parteien der SCC durchsetzen, soweit nicht ausnahmsweise eine der in Klausel 3 geregelten Ausnahmen eingreift. Die oben erwähnte Verpflichtung des Datenexporteurs aus Klausel 14 lit. f), wonach der Datenexporteur 

die Datenübermittlung aus[setzt], wenn er der Auffassung ist, dass keine geeigneten Garantien für eine derartige Übermittlung gewährleistet werden können,

kann von der betroffenen Person ebenfalls durchgesetzt werden. Gleiches gilt für Klausel 16 lit. b, welche die Aussetzung der Übermittlung im Falle von (allen sonstigen) Verstößen gegen die Klauseln regelt. Ob die betroffene Person nur verlangen kann, dass der Transfer „eigener Daten“ ausgesetzt wird oder aber alle auf die SCC gestützten Übertragungen suspendiert werden, ist in den SCC nicht klar geregelt und wird in der Praxis zu klären sein.  

Handlungsbedarf: Pflichten prüfen und neue SCC nutzen

Trotz der bereits geltenden Anforderungen der Schrems II-Entscheidung besteht aufgrund der oben erwähnten Frist spätestens zum 27. Dezember 2022 Handlungsbedarf. Gerade in Anbetracht der umfangreichen Prüfungen und der oftmals beteiligten Vielzahl von Parteien, sollten Unternehmen jedoch nicht zu lange mit der Umsetzung der notwendigen Schritte warten.

Die deutschen Datenschutzbehörden haben bereits angekündigt, an ihrer koordinierten Prüfung internationaler Datentransfers vom 1. Juni 2021 festzuhalten. Unternehmen sollten daher in der Lage sein, die notwendigen Vertragsdokumente sowie weitere Dokumentationen bereitstellen zu können. 

Stellungnahmen der Aufsichtsbehörden zu Schrems II finden Sie in unserem laufend aktualisierten Blog-Beitrag zu Schrems II.

Tags: Daten-Transfer-Folgenabschätzung Dokumentationspflicht SCC Schrems II Schutzniveau Standardvertragsklauseln