Im Juni 2021 verabschiedete die Europäische Kommission modernisierte und umfangreichere EU-Standardvertragsklauseln (SCC 2021) für den Datentransfer in Länder außerhalb des Europäischen Wirtschaftsraums. Die E+H Datenschutzexperten berichteten.

Die neuen EU-Standardvertragsklauseln können seit 28. Juni 2021 vereinbart werden. Im Falle von Vertragsänderungen und Neuverträgen sind die SCC 2021 ab dem 28. September 2021 anzuwenden. Spätestens mit 27. Dezember 2022 sind alle betroffenen Datenübermittlungen auf die SCC 2021 umzustellen.

 

Wann kann ich SCC 2021 einsetzen?

Sofern personenbezogene Daten die Europäische Union verlassen und in ein sogenanntes Drittland übermittelt werden, können die SCC 2021 verwendet werden, um eine rechtmäßige Datenverarbeitung sicherzustellen.

Zwar existieren für diverse Länder auch gleichwertige Angemessenheitsbeschlüsse, doch sind die SCC 2021 das wichtigste Instrument der Praxis. Denn ganz ohne Datentransfer in die USA, nach Indien oder nach China, funktioniert die europäische Datenwirtschaft nicht.

Die SCC 2021 können immer dann eingesetzt werden, wenn personenbezogene Daten von einem Verantwortlichen oder Auftragsverarbeiter, auf den die DSGVO anwendbar ist, an einen Verantwortlichen oder Auftragsverarbeiter, auf den das nicht zutrifft, übermittelt werden.

 

Was ändert sich im Vergleich zu den alten Standardvertragsklauseln?

Die alten Standardvertragsklauseln bestanden aus Beschlüssen der EU-Kommission und regelten das Verhältnis zwischen zwei Verantwortlichen und das Verhältnis zwischen Verantwortlichen und Auftragsverarbeitern. Völlig unberücksichtigt blieb in den alten Standardvertragsklauseln etwa das Heranziehen von Sub-Auftragsverarbeitern in Drittländern oder das Heranziehen von EU-Auftragsverarbeitern durch Verantwortliche in Drittländern. Diesem Problem konnte in der Praxis nur mühsam begegnet werden.

Mit den SCC 2021 reagierte man auf diese Lücke und stellte das Instrument der EU-Standardvertragsklauseln auf Schrems II angepasste Beine. In Zukunft können mit den SCC 2021 somit Datenübermittlungen mittels nachstehender Module

  • zwischen Verantwortlichen (Modul 1 – C2C),
  • zwischen EU-Verantwortlichen und Auftragsverarbeitern in Drittländern (Modul 2 – C2P),
  • zwischen einem EU-Auftragsverarbeiter und einem Sub-Auftragsverarbeiter im Drittland (Modul 3 – P2P) und
  • im Sinne einer „Rückübermittlung“ personenbezogener Daten von einem EU-Auftragsverarbeiter an einen Verantwortlichen im Drittland (Modul 4 – P2C)

geregelt werden. Diese Module können je nach Verarbeitungssituation auch beliebig kombiniert werden.

Mit dem Umstieg gibt es auch eine kleine, aber feine Erleichterung im Zusammenhang mit der Auftragsverarbeitung: Werden SCC 2021 mit einem (Sub-)Auftragsverarbeiter abgeschlossen, so decken die Klauseln der Module 2 und 3 auch die Mindestanforderungen an den Auftragsverarbeitervertrag nach Art 28 DSGVO ab. Dennoch sind darüber hinausgehende Regelungen empfehlenswert.

 

Wie stelle ich mein Unternehmen auf die SCC 2021 um?

Eingangs sind die umfassten Datenverarbeitungen zu erheben und dabei auch alle Weiterübermittlungen durch den Datenimporteur (also durch den Verantwortlichen oder Auftragsverarbeiter im Drittland) zu beachten. Ferner ist zu überprüfen, ob die personenbezogenen Daten für den durch die Datenübermittlung verfolgten Zweck adäquat, relevant und auf das notwendige Maß beschränkt sind. Wer über ein vollständiges Verarbeitungsverzeichnis verfügt, wird diesen ersten Schritt schnell erledigen können.

Danach ist die Effektivität des verwendeten Moduls der SCC 2021 für den konkreten Datentransfer zu erheben und zu bewerten. Hintergrund dieses Schritts ist die Frage, ob der Datenimporteur alleine durch die Vereinbarung der SCC 2021 ein effektives Schutzniveau sicherstellen kann, sodass der Datentransfer an den Datenimporteur dem europäischen Anspruch an den Schutz personenbezogener Daten genügt.

Diese Frage ist vom Datenexporteur u.a. nach folgenden Gesichtspunkten zu bewerten:

  1. Vorliegen geeigneter, EU-äquivalenter Garantien zum Schutz personenbezogener Daten;
  2. Bestehen von Gesetzen im Drittland, die mit den EU-Grundrechten und Freiheiten zum Datenschutz und zur Privatsphäre (nicht) vereinbar sind;
  3. Aussagen und Bewertungen über die Verwaltungspraxis im Drittland für den Zugang bzw. die Herausgabe personenbezogener Daten im Drittland;
  4. Relevante Rechtsprechung im Drittland;
  5. Aufbau und Ausstattung relevanter staatlicher Stellen hinsichtlich eingeräumter Kompetenzen und technischer, finanzieller und personeller Ausstattung.

Ergibt diese Bewertung, dass die SCC 2021 nicht geeignet sind, ein ausreichendes Datenschutzniveau im Drittland sicherzustellen (wie dies etwa nach Ansicht des EuGH in den USA der Fall ist), so sind zusätzliche vertragliche, technische und organisatorische Garantien auszuwählen. Aus einer Gesamtschau muss sich ergeben, dass die Summe der gesetzten Garantien geeignet ist, das erforderliche Schutzniveau nachhaltig sicherzustellen.

Dieses Vorgehen nennt man aus einer Managementperspektive „Transfer Impact Assessment“ (kurz: TIA). Als EU-Verantwortlicher oder EU-Auftragsverarbeiter (in den SCC 2021 der Datenexporteur) ist sicherzustellen, dass der Datenimporteur sowohl die Regeln der SCC 2021 dauerhaft einhält als auch die Rechtsordnung und die Gepflogenheiten im Drittland den Datenimporteur an der Einhaltung nicht hindern.

 

Gibt es eine Hilfestellung für Unternehmen?

Der Europäische Datenschutzausschuss hat Empfehlungen zur Frage der zusätzlichen vertraglichen, technischen und organisatorischen Garantien veröffentlicht. Ferner haben sich die deutschen Aufsichtsbehörden in der Datenschutzkonferenz zur Notwendigkeit der ergänzenden Prüfung und dem erforderlichen Setzen von Maßnahmen geäußert. Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg aktualisierte erst kürzlich seine Handreichung „Was jetzt in Sachen internationaler Datentransfer?“.

Für die Anwenderpraxis ist nun pünktlich der EU-weit erste Praxiskommentar zu den SCC 2021 als Hilfestellung für Rechtsabteilungen, Datenschutzbeauftrage, –koordinatoren und Datenschutzberater erschienen. Auf 420 Seiten kommentiert E+H Datenschutzexperte Maximilian Kröpfl die einzelnen Klauseln der vier Module und die Anlage zu den SCC 2021. Darüber hinaus bietet das Werk einen klar strukturierten Schnelleinstieg in das Thema Standardvertragsklauseln und eine Anleitung zur Durchführung eines Transfer Impact Assessment (TIA).

Wir freuen uns sehr über diesen Erfolg in der Praxisgruppe Wettbewerbsrecht und IP/IT und gratulieren Maximilian Kröpfl zu diesem Meilenstein.