Schrems II (EuGH 16.07.2020, C-311/18) und das damit verbundene Ende des Angemessenheitsbeschlusses für die Vereinigten Staaten von Amerika (sog. EU-US Privacy Shield) hat die Zusammenarbeit europäischer Unternehmen mit US-Dienstleistern gehörig durcheinander gebracht. Mit dem Urteil des Europäischen Gerichtshofs (EuGH) ist die bequeme Grundlage für den kompletten Datentransfer aus der Europäischen Union (EU) in die Vereinigten Staaten (USA) weggefallen – von einer Sekunde auf die andere waren lang gepflegte Beziehungen mit US-Dienstleistern datenschutzrechtlich unzulässig.
Viele US-Dienste reagierten prompt und sattelten quasi über Nacht auf die EU-Standardvertragsklauseln um. Diese waren zwar alt, aber nach dem EuGH explizit weiterhin als Garantie für den angemessenen Datenschutz außerhalb des Europäischen Wirtschaftsraums geeignet. Der EuGH verlangte aber zusätzliche geeignete Garantien. Dies rief wiederum den Europäischen Datenschutzausschuss (EDSA) auf den Plan, der entsprechende Empfehlungen verabschiedete. Die Europäische Kommission letztlich, wollte zunächst schnellstmöglich einen neuen Angemessenheitsbeschluss mit den USA verhandeln. Als man merkte, dass die europäische Wirtschaft auf diese politische und diplomatische Einigung nicht warten kann, hat die Europäische Kommission die veralteten Standardvertragsklauseln überarbeitet und im Juni 2021 neue Standardvertragsklauseln (SCC Neu) veröffentlicht.
Was auf Unternehmen mit den neuen EU-Standardvertragsklauseln zukommt
Die SCC Neu können ab nun zwischen einem Verantwortlichen oder Auftragsverarbeiter in der EU (Datenexporteur) und einem solchen im Drittland (Datenimporteur) vereinbart werden. Und die Uhr tickt. Bis zu den Weihnachtsfeiertagen 2022 müssen alle Datentransfers in Drittländer umgestellt sein – zumindest, wenn Standardvertragsklauseln die Grundlage bilden.
Mit dem Umstieg gibt es auch eine kleine, aber feine Erleichterung: Werden SCC Neu mit einem Auftragsverarbeiter vereinbart, so decken die Klauseln bereits die Mindestanforderungen an den Auftragsverarbeitervertrag (Art 28 DSGVO) ab.
Garantieerklärung als zentrales Element für den Datentransfer
Zentrales Element der Klauseln ist die Garantieerklärung des Datenexporteurs, sich überzeugt zu haben, dass der Datenimporteur die Pflichten aus den SCC Neu einhalten kann. Kurzum: Eine aktive Compliancepflicht für jeden Verantwortlichen oder Auftragsverarbeiter, der personenbezogene Daten in ein Drittland übermittelt. Und die Pflichten sind mannigfaltig.
Ein weiteres Element dieser Garantieerklärung betrifft folgende Zusicherung: „Die Parteien sichern zu, keinen Grund zu der Annahme zu haben, dass die für […] den Datenimporteur geltenden Rechtsvorschriften und Gepflogenheiten im Bestimmungsdrittland […] den Datenimporteur an der Erfüllung seiner Pflichten gemäß diesen Klauseln hindern.“ Vereinfacht: Das Recht im Drittland darf dem Europäischen Datenschutz nicht entgegenstehen. Die Grundlage dieser Annahme ist eine Gesamtbeurteilung, bestehend aus den Übermittlungsumständen, der Verarbeitungskette, dem Wirtschaftszweig und Speicherort sowie der Rechtsordnung im Drittland und den ergriffenen vertraglichen, technischen oder organisatorischen Garantien. Für den letzten Punkt hat wiederum der Europäische Datenschutzausschuss Empfehlungen veröffentlicht.
Transfer Impact Assessment als Werkzeug für risikobasierten Datentransfer
Um die mit der Garantieerklärung verbundenen Compliancepflichten nach den SCC Neu im laufenden Betrieb sinnvoll zu managen, empfehlen wir die regelmäßige Durchführung eines Transfer Impact Assessment (TIA). Ein risikobasierter Datenschutz-Managementansatz, der durch Checks und Plausabilitätsprüfung einen rechtskonformen Datentransfer sicherstellt.
Denn es bleibt nicht bei den bis zu 50 Pflichtaufgaben des Datenimporteurs, die sicherzustellen sind, und der Einschätzung der Situation im Drittland. Die SCC Neu sehen an zahlreichen Stellen eine enge Kooperation und einen engagierten Austausch zwischen Datenexporteur und -importeur vor. Es gilt Fristen sicherzustellen und Prozesse zu etablieren.
Drittbegünstigtenklausel als Fallstrick
Mit Vereinbarung der SCC Neu wird betroffenen Personen automatisch eine umfassende Drittbegünstigung eingeräumt. Sie können sich damit auf weite Teile der vertraglichen Bestimmungen berufen und gegen alle Parteien der Klauseln gerichtlich oder vor der Datenschutzbehörde vorgehen.
Unternehmen sollten daher dringend ihre datenschutzrechtlichen Verträge überprüfen und aktualisieren. Bei einem Verstoß drohen hier bekanntlich nicht nur zivilrechtliche Schritte durch betroffene Personen, sondern auch die Verhängung massiver Geldbußen iHv bis zu 20 Mio. Euro bzw. 4% des weltweiten Vorjahresumsatzes.
