Die neuen EU-Standardvertragsklauseln - Was müssen Unternehmen jetzt beachten?
Zum 27.09.2021 werden die bisherigen EU-Standardvertragsklauseln zur Übermittlung personenbezogener Daten in ein Drittland aufgehoben. Zugleich stehen neue EU-Standardvertragsklauseln zur Verwendung bereit. Was Unternehmen jetzt beachten müssen, erklären wir in diesem Artikel.
Was sind EU-Standardvertragsklauseln und wozu braucht man diese?
Nach der Datenschutz-Grundverordnung (DS-GVO) gilt der Grundsatz, dass jede Übermittlung personenbezogener Daten in ein Drittland, also ein Land, in welchem die DS-GVO keine Anwendung findet, nur unter besonderen Voraussetzungen zulässig ist.
Ein Weg zur rechtmäßigen Übermittlung personenbezogener Daten in ein Drittland ist beispielsweise ein sogenannter Angemessenheitsbeschluss der EU-Kommission. Ein solcher liegt unter anderem für Länder wie Kanada, die Schweiz oder seit neuestem auch für das Vereinigte Königreich vor.
Für die Übermittlung personenbezogener Daten in die USA liegt ein solcher Angemessenheitsbeschluss allerdings nicht vor. Dies stellt europäische Unternehmen vor gewaltige Probleme - haben doch die meisten Tech-Giganten ihren Sitz in den USA. Und genau an diesem Punkt kommen die EU-Standardvertragsklauseln ins Spiel. Denn diese stellen ein weiteres Mittel zur Legitimierung einer Übermittlung personenbezogener Daten in ein Drittland dar.
Bei den EU-Standardvertragsklauseln handelt es sich um sogenannte geeignete Garantien i. S. d. Art. 46 DS-GVO in Form von Mustervertragstexten. Sie werden zwischen den jeweils an der Übermittlung beteiligten Parteien abgeschlossen, wobei die konkrete Ausgestaltung davon abhängt, in welchem Verhältnis die Parteien stehen.
Wie war die Rechtslage bisher?
Anfang der 2000er-Jahre wurde für die Übermittlung personenbezogener Daten in die USA zunächst das sogenannte Safe-Harbor-Abkommen geschlossen. Dieses wurde im Jahre 2015 durch das Schrems-I-Urteil des Europäischen Gerichtshofs für ungültig erklärt und ab dem 01.08.2016 quasi durch den EU-US Privacy-Shield ersetzt. Dabei handelte es sich um eine Mehrzahl von Regelungen, die hauptsächlich aus einem Abkommen zwischen der EU und der USA sowie einem Angemessenheitsbeschluss der EU-Kommission bestand.
Nachdem mit dem Schrems-II-Urteil vom 16.07.2020 aber auch dieser Beschluss der EU-Kommission durch den Europäischen Gerichtshof für unzulässig erklärt wurde, standen erneut alle Übermittlungen von personenbezogenen Daten in die USA auf dem Prüfstand. Es stellte sich die Frage, ob und wie Übermittlungen von personenbezogenen Daten in die USA überhaupt noch rechtskonform möglich war.
Eine verbliebene Möglichkeit war, wie auch der Europäische Gerichtshof anerkannte, die Verwendung der EU-Standardvertragsklauseln. Doch allein deren Abschluss reichte nicht aus. Zusätzlich zum Abschluss der EU-Standardvertragsklauseln hatte das übermittelnde Unternehmen gewisse Prüfpflichten zu erfüllen. Die wichtigste davon war die Pflicht, zu überprüfen, ob das Datenschutzniveau beim Empfänger aus rechtlicher und tatsächlicher Sicht beeinträchtigt wird. In diesem Fall waren geeignete Maßnahmen zu finden und vorzunehmen, um ein angemessenes Datenschutzniveau zu gewährleisten. Und an dieser Prüfpflicht - so viel sei vorweggenommen - ändert sich auch durch die neuen EU-Standardvertragsklauseln nichts.
Aber was ist denn dann neu?
Zunächst wurde im Zuge der Modernisierung der EU-Standardvertragsklauseln ein komplett neuer Grundaufbau des Vertragstextes gewählt. Die alten EU-Standardvertragsklauseln gab es in zwei unterschiedlichen Versionen, die in sich aber abgeschlossen und unveränderbar waren. Diese behandelten zum einen die Übermittlung zwischen zwei Verantwortlichen, zum anderen die Übermittlung von einem Verantwortlichen an einen Auftragsverarbeiter.
Bereits an diesem Punkt gibt es eine wesentliche Änderung, da nunmehr nicht nur die vorgenannten zwei, sondern die vier nachfolgenden, unterschiedlichen Konstellationen (im Vertragstext „Module“ genannt) mit den neuen EU-Standardvertragsklauseln abgedeckt werden können:
- Modul 1: Übermittlung von Verantwortlichen an Verantwortliche
- Modul 2: Übermittlung von Verantwortlichen an Auftragsverarbeiter
- Modul 3: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter
- Modul 4: Übermittlung von Auftragsverarbeitern an Verantwortliche
Der Aufbau des Vertragstextes sieht dabei zunächst einen für alle Konstellationen geltenden allgemeinen Teil vor, dem dann je nach Konstellation bestimmte ausgewählte Modultexte folgen. Durch diesen flexibleren Ansatz trägt die EU-Kommission dem Umstand Rechnung, dass in der sich rasant entwickelnden digitalen Wirtschaft immer komplexere Datenverarbeitungen mit mehreren Beteiligten stattfinden.
Deshalb können sich nun auch mehr als zwei Parteien durch die EU-Standardvertragsklauseln verpflichten, sogar ein späterer Eintritt in zwischen zwei anderen Parteien abgeschlossene EU-Standardvertragsklauseln ist möglich.
Aufgrund des Schrems-II-Urteils wurden die EU-Standardvertragsklauseln für die meisten Unternehmen zur einzig verbliebenen Möglichkeit, personenbezogene Daten rechtskonform an Empfänger in einem Drittland zu übermitteln. Die bereits oben genannte Problematik, dass allein der Abschluss der EU-Standardvertragsklauseln nicht ausreicht, um eine Übermittlung zu legitimieren, wurde von der EU-Kommission berücksichtigt und in einem eigenen Artikel in die EU-Standardvertragsklauseln eingepflegt. Dieser Artikel soll sicherstellen, dass das Datenschutzniveau beim Empfänger aus rechtlicher und tatsächlicher Sicht nicht beeinträchtigt wird. Zudem sollen die Parteien in diesem Zusammenhang vorzunehmende Prüfungen dokumentieren und auf Anfrage der zuständigen Aufsichtsbehörde zur Verfügung stellen.
Wann können die neuen EU-Standardvertragsklauseln genutzt werden? Wie lange dürfen die alten EU-Standardvertragsklauseln noch verwendet werden?
Der Beschluss mit den neuen EU-Standardvertragsklauseln ist seit dem 27.06.2021 in Kraft, sodass die neuen EU-Standardvertragsklauseln bereits seitdem genutzt werden können. Die alten EU-Standardvertragsklauseln dürfen ab dem 27.09.2021 nicht mehr verwendet werden. Alle bis dahin auf Grundlage der alten EU-Standardvertragsklauseln geschlossenen Verträge müssen bis zum 27.12.2022 auf die neuen EU-Standardvertragsklauseln umgestellt werden.
Was müssen Unternehmen jetzt beachten?
Unternehmen sollten die bereits abgeschlossenen EU-Standardvertragsklauseln zeitnah durch die neuen EU-Standardvertragsklauseln ersetzen.
Der Aufwand für Unternehmen, die personenbezogene Daten in ein Drittland übermitteln möchten, ist durch die neuen EU-Standardvertragsklauseln nicht geringer geworden. Im Gegenteil, er wurde durch die Dokumentationspflicht sogar noch erhöht. Dieser Pflicht sollten Unternehmen in jedem Fall ausreichend Beachtung schenken.
Schließlich gilt für Unternehmen auch weiterhin, dass auf die angemessenen Garantien, also unter anderem die EU-Standardvertragsklauseln, sowie die Möglichkeit, wie eine Kopie von ihnen eingeholt werden kann, in der Datenschutzerklärung hingewiesen werden muss.
Sie brauchen Hilfe beim Thema Datenschutz? Wir beraten Sie im Datenschutz und übernehmen die Aufgaben des betrieblichen Datenschutzbeauftragten - lösungsorientiert und nach Ihrem Bedarf.
