Neue Standardvertragsklauseln für Drittländer EU publiziert Klauseln zu Datenübermittlung

Autor / Redakteur: Sven Schlotzhauer / Sarah Gandorfer

Vor gut einem Jahr schlug das Urteil des Europäischen Gerichtshofs zur transatlantischen Datenübermittlung („Schrems II“) hohe Wellen. Nun hat die EU-Kommission neue Standardvertragsklauseln verabschiedet, um eine neue vertragliche Grundlage zu schaffen.

Firmen zum Thema

Der Datentransfer in Drittländer ist ein heißes Eisen, dass auch mit den Standardvertragsklauseln nicht einfach aus dem Feuer geholt werden kann.
Der Datentransfer in Drittländer ist ein heißes Eisen, dass auch mit den Standardvertragsklauseln nicht einfach aus dem Feuer geholt werden kann.
(Bild: Michael Stifter - stock.adobe.com)

Der Europäische Gerichtshof am 16. Juli 2020 die Standardvertragsklauseln für Datenübermittlungen in Drittländer, die über kein der EU vergleichbares Datenschutzniveau verfügen (Standard Contractual Clauses, SCC), in Frage gestellt. Dementsprechend sah sich die EU-Kommission veranlasst, diese zu überarbeiten. Die überarbeiteten Klauseln liegen nun seit dem 4. Juni 2021 vor. Sie sollten insbesondere für KMU interessant sein, die nicht über die Ressourcen verfügen, eigene Regelwerke in Form sogenannter Binding Corporate Rules zu schaffen, welche ebenfalls im Drittland für ein angemessenes Datenschutzniveau sorgen könnten.

Denn ein wesentliches Prinzip dieser SCC ist das Erfordernis, sie unverändert abzuschließen. Damit könnte für die beteiligten Parteien der mit einer individuellen Verhandlung verbundene Aufwand entfallen. Um es vorweg zu nehmen: Die Hoffnung erfüllt sich nicht.

Die neuen Standardvertragsklauseln

Anders als die alten SCC können die neuen Klauseln nicht mehr einfach im Wege des Copy & Paste in Verträge integriert werden. Denn die neuen Klauseln sind in einem einzigen Dokument zusammengefasst, welches vier verschiedene Anwendungsfälle modular abhandelt.

Modul 1 behandelt die Übermittlung von personenbezogenen Daten zwischen zwei Verantwortlichen, Modul 2 die Übermittlung von personenbezogenen Daten vom Verantwortlichen an einen Auftragsverarbeiter, Modul 3 die Übermittlung von personenbezogenen Daten zwischen zwei Auftragsverarbeitern und schließlich regelt Modul 4 die Übermittlung von personenbezogenen Daten vom Auftragsverarbeiter an den Verantwortlichen. Das Auswählen dieser Module je nach Anwendungsfall ist die einzige zulässige „Anpassung“ - neben dem Vereinbaren zusätzlicher, verbesserter Garantien.

Einfacher Tausch gegen die alten SCC?

Eine kleine Erleichterung ist, dass bei neu abgeschlossenen Verträgen - anders als nach früherer Rechtslage – neben den SCC kein gesonderter Vertrag über eine Auftragsverarbeitung mehr geschlossen werden muss. Das bedeutet aber gleichzeitig, dass die alten SCC nicht einfach gegen die neuen ausgetauscht werden können – es ist zusätzlich der „alte“ Vertrag über die Auftragsverarbeitung außer Kraft zu setzen.

Darüber hinaus sind die neuen SCC aber noch mit weiteren, erheblichen Nachteilen verbunden: Nun ist zusätzlich eine vertiefte Prüfung der (i) Rechtslage im Drittland und (ii) Notwendigkeit zusätzlicher ergänzender Maßnahmen erforderlich. Anstatt also Unternehmen eine belastbare Lösung an die Hand zu geben, wird diesen eine Einzelfallprüfung aufgebürdet, ob die Rechtslage oder die Praxis (!) in dem jeweiligen Drittland „negativen Einfluss auf das durch die Standardvertragsklauseln gewährleistete Schutzniveau haben können“. Diese Risikoeinschätzung ist seitens des übermittelnden Unternehmens zu dokumentieren.

Haben Behörden des Drittlands in der Praxis „übermäßige“ Zugriffsrechte auf Daten, muss der Verantwortliche „zusätzliche Maßnahmen“ ergreifen, um wieder ein Schutzniveau zu gewährleisten, das dem in der EU garantierten Niveau der Sache nach gleichwertig ist. Ist dies nicht möglich, müssen nach Auffassung der Aufsichtsbehörden die Übermittlungen unterbleiben.

Für die Prüfung der Rechtslage im Drittland und der ergänzenden Maßnahmen können Verantwortliche die Empfehlungen des Europäischen Datenschutzausschusses heranziehen. Allerdings hat die Deutsche Datenschutzkonferenz bereits kurz nach Veröffentlichung der Standardvertragsklauseln in einer Pressemitteilung mitgeteilt, dass im Fall von Datenübermittlungen in die USA „regelmäßig“ ergänzende Maßnahmen erforderlich seien, die einen „Zugriff der US-Behörden auf die verarbeiteten Daten verhindern“. Solche Maßnahmen, so die DSK, seien „allerdings nur für wenige Fälle denkbar“. Für die USA ist die Bewertung damit eigentlich schon vorweggenommen; wirklich herausfordernd wird die Einzelfallprüfung der geübten Praxis in dem jeweiligen Drittland, wenn hierüber nur Vermutungen existieren. Das wird insbesondere Datenübermittlungen nach China oder Russland betreffen.

Regelungen realitätsfern

Selbst wenn man nach dokumentierter Einzelfallprüfung und Entwurf zusätzlicher Garantien zur Zulässigkeit der Übermittlung gelangt, enden die Probleme nicht: Wie realitätsfern die Regelungen der SCC tatsächlich sind, zeigt sich an der Pflicht des Datenimporteurs zur Benachrichtigung des Auftraggebers, wenn er von einer Behörde ein „rechtlich bindendes Ersuchen um Offenlegung personenbezogener Daten erhält“. Ist ihm die Benachrichtigung untersagt, soll er sich „nach besten Kräften“ um eine Aufhebung des Verbots bemühen und dies dokumentieren. Der Betreiber eines Call Centers auf den Philippinen wird dann also zukünftig den Rechtsweg beschreiten und seinem Auftraggeber in der EU hierüber Bericht erstatten müssen.

Fazit

In der juristischen Literatur ist teilweise von einer „erfreulichen datenschutzrechtlichen Weiterentwicklung“ die Rede. Das Gegenteil ist der Fall: Es fehlt weiterhin an einer praktikablen Lösung für eine standardisierte Übermittlung von personenbezogenen Daten z.B. in die USA: Zunächst sollen sich Unternehmen aus einem unübersichtlichen Klauselbaukasten die richtigen Regelungen heraussuchen. Anschließend müssen sie das tun, was die Erfinder der SCC eigentlich vermeiden wollten: Es muss geprüft und dokumentiert werden, ob Anlass gegeben ist für „zusätzliche Maßnahmen“. Diese Maßnahmen sind dann individuell zu verhandeln.

Es ist kaum zu erklären, warum die EU durch offiziellen Beschluss pauschal das Datenschutzniveau in Argentinien und Uruguay dem der EU gleichstellt, im Fall der USA jedoch solche Hürden aufstellt und die Unternehmen mit derartigen Rechtsunsicherheiten belastet. Vorstößen der Biden-Administration zur schnellen Vereinbarung eines neuen Datenschutzabkommens erteilte der zuständige EU-Justizkommissar bereits eine Absage: Kurz- oder mittelfristig sei damit nicht zu rechnen – man wolle keine „Schrems III“-Entscheidung.

So merkwürdig es zunächst klingen mag: Unternehmen sollten nach Wegen suchen, die Datenübermittlungen z.B. über eine Einwilligung abzusichern. Das Beispiel der Cookie-Banner zeigt, wie die Nutzung und Übermittlung personenbezogene Daten in die USA abgesichert wird. Ob diese Lösung im Sinne der Anwender ist, muss bezweifelt werden.

Sven Schlotzhauer
Sven Schlotzhauer, LL.M. (Univ. of Bristol) ist Fachanwalt für IT-Recht und Partner der Sozietät von Boettocher in München. Er berät regelmäßig US-amerikanische Cloud Computing Anbieter oder Plattform-Betreiber in allen Fragen des IT-Rechts und des Datenschutzrechts.

Bildquelle: Kubinska & Hofmann. Fotografen. München.

(ID:47551489)