Hintergrund:
Im Juli 2020 sorgte das sog. „Schrems II Urteil“ des Europäischen Gerichtshofs (EuGH, Urt. v. 16.07.2020 – C‑311/18) für große Verunsicherung und Rechtsunsicherheit bzgl. des Transfers personenbezogener Daten außerhalb des Europäischen Wirtschaftsraums („EWR“) insbesondere in die USA. Der EuGH erklärte in seiner Entscheidung das sog. „EU-US Privacy Shield“ Abkommen für ungültig, welches als Rechtsgrundlage für den Transfer personenbezogener Daten aus dem EWR in die USA diente. Der EuGH stützte seine Entscheidung auf die rechtlichen Befugnisse US-amerikanischer Behörden, umfangreich auf personenbezogene Daten, die in die USA transferiert werden, zugreifen zu können.
Gleichzeitig erachtete der EuGH die sog. Standard-Vertragsklauseln (standard concractual clause, kurz „SCC“) weiterhin für gültig. Allerdings betonte der EuGH, dass es bei der Verwendung der SCC erforderlich sein kann, zusätzliche Schutzmaßnahmen zu ergreifen, um insbesondere einen Zugriff auf die personenbezogenen Daten durch Behörden zu verhindern. Welche Maßnahmen dies sein können, ließ der EuGH offen.
Der Europäische Datenschutzausschuss nahm dies zum Anlass und veröffentlichte Anfang November 2020 seine „Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung desunionsrechtlichen Schutzniveaus für personenbezogene Daten“ (https://edpb.europa.eu/sites/default/files/consultation/edpb_recommendations_202001_supplementarymeasurestransferstools_de.pdf). Diese Empfehlung enthielt eine 6-stufige Prüfung, wie SCC ggf. nach Abschluss der Prüfung unter Einsatz geeigneter technisch-organisatorischer Maßnahmen weiterverwendet werden können.
Die SCC, die auch Gegenstand des „Schrems II Urteils“ waren, stammen aus den Jahren 2001 und 2010. Nach jahrelanger Verhandlung hat nun die Europäische Kommission am 04. Juni 2021 neue zwei Sätze von „Standardvertragsklauseln“ veröffentlicht. Nach Aussage der Europäischen Kommission berücksichtigen diese das „Schrems II-Urteil“ des EuGH.
Standarddatenschutzklauseln
Der neuen Standarddatenschutzklauseln, wie dieser Vertrag entsprechend der Diktion der DS-GVO heißten müsste, unterscheiden sich erheblich von den SCC.
Die Standarddatenschutzklauseln können aufgrund ihres modularen Aufbaus variabel zwischen den beteiligten Akteuren abgeschlossen werden. Die Standarddatenschutzklauseln enthalten nun 4 unterschiedliche Module, die unterschiedliche Verarbeitungsszenarien abbilden: eine Übermittlung vom Verantwortlichen an einen Verantwortlichen, eine Übermittlung vom Verantwortlichen an einen Auftragsverarbeiter, eine Übermittlung vom Auftragsverarbeiter an einen anderen Auftragsverarbeiter sowie eine Übermittlung vom Auftragsverarbeiter an einen Verantwortlichen. Die in den Standarddatenschutzklauseln einhergehenden Pflichten des Datenexporteuers und -importeuers variieren entsprechend des Verarbeitungsszenarios. Hier haben die Standarddatenschutzklauseln einen erheblich weiteren Anwendungsbereich als die SCC, da sie nun insbesondere auch zwischen zwei Auftragsverarbeitern geschlossen werden können.
Auch ist es möglich, dass Dritte bereits bestehenden Standarddatenschutzklauseln beitreten können, wenn die übrigen an der Verarbeitung Beteiligten dem zustimmen. Die Standarddatenschutzklauseln, sofern diese im Rahmen einer Auftragsverarbeitung eingesetzt werden, erfüllen ebenfalls die Erfordernisse nach Art. 28 Abs. 2 und 3 DSGVO, sodass kein zusätzlicher Vertrag zur Auftragsverarbeitung erforderlich ist.
Auch Räumen die Standarddatenschutzklauseln den von der Verarbeitung betroffenen Personen weitgehende Rechte sowohl gegenüber Datenimporteur als auch Datenexporteur ein, wie etwa eine unentgeltliche Kopie der ausgefüllten Anlagen der Standarddatenschutzklauseln. Damit kann die betroffene Person überprüfen, welche Daten exportiert werden. Außerdem gibt es einen direkten Schadensersatzanspruch gegenüber solchen Datenimporteuren, die als Auftragsverarbeiter agieren.
Standarddatenschutzklauseln und technisch organisatorische Maßnahmen
Die Standarddatenschutzklauseln beinhalten hingegen keine Blaupause oder einen „Freifahrtschein“ für den Transfer personenbezogener Daten außerhalb des EWR. Vielmehr nehmen sie inhaltlich Bezug auf die Empfehlung des Europäischen Datenschutzausschusses hinsichtlich zu treffender erforderlicher technisch organisatorischer Maßnahmen, um ein angemessenes Schutzniveau der Daten zu gewährleisten. Die Standarddatenschutzklauseln enthalten beispielhaft zu treffende technisch organisatorische Maßnahmen, wie Verschlüsselung oder Pseudonymisierung, ggf. auch während der Datenübermittlung. Die technisch organisatorischen Maßnahmen hat der Europäische Datenschutzausschuss bereits beispielhaft in seiner Empfehlung aus dem November 2020 aufgeführt. Welche Maßnahmen tatsächlich zu treffen sind bzw. überhaupt getroffen werden können, hängt weiterhin von der jeweiligen Datenverarbeitung ab. Eine Pseudonymisierung ist etwa bei vielen Datentransfers nicht sinnvoll. Diese technisch organisatorischen Maßnahmen müssen zudem, wie sich aus Anlage II der Standarddatenschutzklauseln ergibt, „konkret (nicht allgemein) beschrieben werden“.
Es ist daher davon auszugehen, dass die technisch organisatorischen Maßnahmen in den Fokus bei Datentransfers außerhalb des EWR rücken werden. Es bleibt aber zunächst dabei, dass jeder Datentransfer außerhalb des EWR genau zu prüfen ist, sofern für das jeweilige Drittland kein Angemessenheitsbeschluss vorliegt.
Fazit:
Die neuen SCC stellen einen erheblichen Fortschritt dar. Sie alleine ermöglichen jedoch keinen DS-GVO konformen Datentransfer außerhalb des EWR. Dafür sind weiterhin zusätzliche Maßnahmen erforderlich.