UPDATE vom 23. Juni 2021
Einleitung
Am 4. Juni 2021 veröffentlichte die EU-Kommission die endgültigen Texte der neuen EU-Standardvertragsklauseln (i.F. auch „SCC“ oder „Musterverträge“ genannt) für Datenübertragungen innerhalb von Europa und an Drittländer außerhalb des Geltungsbereichs der europäischen Union. Die Dokumente werden in den nächsten Tagen im Amtsblatt veröffentlicht und treten dann 20 Tage danach in Kraft (wahrscheinlich Anfang/Mitte Juli 2021). Die Dokumente sind hier abrufbar:
- Standardvertragsklauseln für Verantwortliche und Auftragsverarbeiter in der EU / im EWR
- Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer
Ganz wichtig zu verstehen: Es gibt zwei verschiedene Dokumente. Je nach individuellem Anwendungsfall muss das eine oder andere Dokument verwendet werden.
Standardvertragsklauseln für Verantwortliche und Auftragsverarbeiter in der EU / im EWR müssen verwendet werden, wenn sowohl der Verantwortliche (das Unternehmen) als auch der Auftragsverarbeiter innerhalb der europäischen Union ihren Hauptsitz haben.
Beispiel: Soloselbständige Anna aus Deutschland beauftragt einen Webhoster für den geplanten Webshop, der seinen Sitz in Frankreich hat. Hierzu kann sie dieses Muster verwenden.
Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer müssen verwendet werden, wenn der Verantwortliche (das Unternehmen) seinen Sitz innerhalb der europäischen Union hat, der Auftragsverarbeiter aber seinen Hauptsitz außerhalb der europäischen Union hat.
Beispiel: IT-Unternehmer Thomas aus Deutschland möchte Zoom als Videokonferenzlösung für seine Kunden einsetzen. Zoom hat seinen Hauptsitz in den USA. Hierzu kann Thomas dieses Muster verwenden.
Was sind Drittländer?
Dies sind alle Länder außer der europäischen Union und den Ländern, für die ein Angemessenheitsbeschluss besteht (Schweiz, Neuseeland, Andorra, Argentinien, die Färöer Inseln, Guernsey, Japan und im Wesentlichen für Kanada und Israel).
Was sind die EU-Standardvertragsklauseln?
Dies sind Musterverträge im Datenschutz zwischen einem Verantwortlichen und einem Auftragsverarbeiter. In der neuen Fassung 2021 können die Musterverträge deutlich flexibler und umfassender eingesetzt werden als bislang. So gelten diese beispielsweise auch zwischen Verantwortlichen oder zwischen Auftragsverarbeitern (sozusagen auf der 2. und jeder weiteren Stufe der Subunternehmer).
Bin ich davon betroffen?
Jedes Unternehmen ist davon betroffen, das Auftragsverarbeiter einsetzt, die nicht in Deutschland sitzen und auch nicht in einem Land, in dem ein Angemessenheitsbeschluss gilt (Schweiz, Neuseeland, Andorra, Argentinien, die Färöer Inseln, Guernsey, Japan und im Wesentlichen für Kanada und Israel).
Ich selbst bin Auftragsverarbeiter – Was nun?
Wenn Sie selbst Auftragsverarbeiter sind und Ihren Hauptsitz in Deutschland haben, können Sie mit Ihren deutschen Kunden weiterhin wie bisher die normalen AV-Verträge abschließen.
Management Summary
Was müssen Unternehmen nun tun?
Dies hängt davon ab, was im Unternehmen geplant ist:
Neuer Auftragsverarbeiter ab Juli 2021
Möchten Sie ab Juli 2021 einen neuen Auftragsverarbeiter (in einem anderen europäischen Land oder einem Drittland) beauftragen und dort personenbezogene Daten verarbeiten lassen, müssen Sie die neuen EU-Standardvertragsklauseln verwenden, d.h. zusammen mit dem Auftragsverarbeiter anpassen und unterschreiben (Alternativ ist es auch möglich, dass der Auftragsverarbeiter diese in seinen AGB mit aufnimmt und Sie bei elektronische Vertragsabschluss diese automatisch akzeptieren).
Bisheriger Auftragsverarbeiter soll bestehen bleiben
Haben Sie aktuell einen Auftragsverarbeiter in einem anderen europäischen Land oder einem Drittland beauftragt und wurde bislang datenschutzrechtlich auf die alten EU-Standardvertragsklauseln Bezug genommen, gibt es zwei verschiedene Varianten:
Alte SCC sind ausreichend
Nach dem EuGH-Urteil Schrems (siehe Blogbeitrag hier), mit dem das sog. Privacy-Shield aufgehoben wurde, hat der EuGH auch gesagt, dass die alten EU-Standardvertragsklauseln in Ordnung sind, wenn zusätzliche Maßnahmen mit dem Auftragsverarbeiter vereinbart werden, die zu einem angemessenen Datenschutzniveau führen. Wenn Sie also bei Ihren bestehenden Verträgen auf Basis der alten EU-Standardvertragsklauseln zusätzliche Maßnahmen mit dem Auftragsverarbeiter vereinbart haben, müssen Sie auf die neuen SCC bis Ende 2022 umstellen (=Übergangsfrist).
Dies bedeutet, dass Sie bis Ende 2022 auf Ihren Auftragsverarbeiter zugehen und ihn bitten, ein Vertragsmuster nach den neuen EU-Standardvertragsklauseln zur Verfügung zu stellen.
Alte SCC sind nicht ausreichend
Wurden keine zusätzlichen Maßnahmen (siehe vorheriger Punkt) mit dem Auftragsverarbeiter vereinbart und umgesetzt, gilt für Sie keine Übergangsfrist. Sie müssen sofort ab Juli 2021 sich darum bemühen, mit dem Auftragsverarbeiter die neuen EU-Standardvertragsklauseln abzuschließen.
Was ist, wenn…?
Was ist, wenn Ihr Auftragsverarbeiter bis Ende 2022 mit Ihnen nicht die neuen EU-Standardvertragsklauseln abschließen möchte? Dann muss er sich entweder in einem Land befinden, welches ein angemessenes Datenschutzniveau hat (z.B. Schweiz, Neuseeland, Andorra, Argentinien, die Färöer Inseln, Guernsey, Japan und im Wesentlichen für Kanada und Israel) oder der Auftragsverarbeiter kann seinerseits BCR (Binding Corporate Rules) vorlegen. Es gibt noch ein paar wenige weitere Alternativen, die jedoch selten vorkommen.
Wenn keine neuen EU-Standardvertragsklauseln abgeschlossen werden, der Auftragsverarbeiter nicht in einem der o.g. Länder sitzt und auch keine BCR hat, darf dieser Auftragsverarbeiter nicht beauftragt werden. Ihre personenbezogenen Daten dürfen Sie nicht dorthin übermitteln. Bereits übermittelte Daten sind unverzüglich zu löschen. Die Fortsetzung der Datenverarbeitung stellt eine grobe Verletzter der Datenschutz-Grundverordnung (DSGVO) dar. Es drohen Sanktionen Ihrer zuständigen Aufsichtsbehörde sowie die Geltendmachung von Rechten Betroffener oder auch Abmahnungen von Mitbewerbern und/oder Betroffenen oder speziellen Verbraucherschutzverbänden.
Benötige ich dann noch einen AV-Vertrag?
In dem Anwendungsfall, dass Sie als Verantwortlicher in Deutschland einen Auftragsverarbeiter in einem anderen europäischen Land oder einem Drittland beauftragen und dabei die neuen EU-Standardvertragsklauseln verwenden, benötigen Sie keinen zusätzlichen Vertrag zur Auftragsverarbeitung (AV-Vertrag).
Wenn Sie als Verantwortlicher in Deutschland einen Auftragsverarbeiter mit Sitz in Deutschland beauftragen möchten, reicht der „normale“ Auftragsverarbeitung (AV-Vertrag) nach Art. 28 DSGVO. Es müssen keine EU-Standardvertragsklauseln abgeschlossen werden.
Einzelfallprüfung erforderlich
Die Datenschutzkonferenz (DSK) veröffentlichte am 21.06.2021 eine Pressemitteilung zu diesem Thema. Darin wird noch einmal klargestellt, dass eine Prüfung des konkreten Schutzniveaus des Drittlands auch mit den neuen EU-Standardvertragsklauseln erforderlich ist.
Welche zusätzlichen Maßnahmen erforderlich sind, wird nicht generell vorgeschrieben. Das European Data Protection Board (edpb) veröffentlichte im November 2020 schon seine Empfehlungen, die nun am 18.06.2021 aktualisiert wurden. Das Dokument steht derzeit nur auf englisch zur Verfügung.
Zeitliche Geltung
(die Zeitangaben sind vorläufig und unverbindlich, weil das genaue Datum des Inkrafttretens noch unbekannt ist. Sobald die genauen Daten feststehen, werden sie hier veröffentlicht)
Historie
Die bisherigen EU-Standardvertragsklauseln basierten auf der Entscheidung der EU Kommission vom 15. Juni 2001 (2001/497/EG), der Entscheidung der EU-Kommission vom 27. Dezember 2004 – Controller to Controller (2004/915/EG) und dem Beschluss der EU Kommission vom 5. Februar 2010 – Controller to Processor (2020/87/EU).
Diese beiden Rechtsakte werden nun 3 Monate nach Inkrafttreten des neuen Beschlusses aufgehoben (wahrscheinlich Ende September 2021).
Die neuen EU-Standardvertragsklauseln basieren auf einem Entwurf vom 12. November 2020. Eine Überarbeitung war notwendig aus drei Gründen:
- Fortschreitende Digitalisierung, die Datentransfers in diversen Konstellationen mit sich bringt
- Anpassung an die DSGVO von 2018
- Umsetzung der Anforderungen von EuGH und EDSA, die eine fallbezogene Bewertung des Rechts im Drittland voraussetzen.
Der Entwurf stand bis zum 10. Dezember 2020 zur öffentlichen Diskussion. Nun, ca. 6 Monate später, wurde der finale Text veröffentlicht.
Konzept, Aufbau und Inhalte der SCC für Drittländer
Konzept und Aufbau
Die neuen EU-Standardvertragsklauseln für Drittländer sind in Abschnitte, Module und der Anlage aufgeteilt:
- Abschnitt I: Allgemeine Regelungen
- Abschnitt II: Pflichten der Parteien
- Abschnitt III: Lokale Rechtsvorschriften und Pflichten im Falle des Zugangs von Behörden zu den Daten
- Abschnitt IV: Schlussbestimmungen
- Anlage, bestehend aus Anhang I (Parteien, Beschreibung der Datenübermittlungen und zuständige Aufsichtsbehörden) und Anhang II (Technische und organisatorische Maßnahmen)
Die Module:
- Modul EINS: Übermittlung von Verantwortlichen an Verantwortliche
- Modul ZWEI: Übermittlung von Verantwortlichen an Auftragsverarbeiter
- Modul DREI: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter
- Modul VIER: Übermittlung von Auftragsverarbeitern an Verantwortliche
Wann gelten welche Module?
Modul EINS gilt, wenn zwischen den beiden Unternehmen keine Auftragsverarbeitung und keine gemeinsame Verantwortlichkeit vorliegt.
Modul ZWEI gilt für die meisten Standardfälle deutscher Unternehmungen, die einen Auftragsverarbeiter in einem Drittland beauftragen, z.B. in den USA.
Modul DREI gilt für einen deutschen oder europäischen Auftragsverarbeiter, der die Daten an einen Subunternehmer in einem Drittland weiterleiten möchte (z.B. deutsches Hostingunternehmen möchte AWS in den USA mit Plattformleistungen beauftragen).
Modul VIER gilt für einen deutschen oder europäischen Auftragsverarbeiter, der die Daten an ein Unternehmen in einem Drittland weiterleiten möchte, der weder Auftragsverarbeiter ist noch eine gemeinsame Verantwortlichkeit vorliegt.
Inhalte und TIA-Dokumentation
Der Abschluss der neuen EU-Standardvertragsklauseln ist leider nicht trivial. Es reicht nicht aus, einfach ein bestimmtes Muster zu unterschreiben oder einen Zusatz in den AGB des Auftragsverarbeiters zu akzeptieren.
Die EU-Standardvertragsklauseln sind in den Abschnitten I – IV auf die jeweils passenden Module anzupassen. Außerdem ist eine Rechtswahl in Klausel 17 zu treffen (welches Recht soll gelten? In Klausel 18 ist eine Gerichtsstandsklausel anzupassen (ein Mitgliedsstaat einzutragen).
In der Anlage – Anhang I fängt die eigentliche Arbeit dann an. Es sind unter A. die Parteien einzutragen und unter B. die Datenübermittlungen zu beschreiben (ähnlich in einem AV-Vertrag). Unter C. ist die zuständige Aufsichtsbehörde einzutragen.
Die Anlage – Anhang II muss hauptsächlich vom Auftragsverarbeiter ausgefüllt werden, weil nur dieser über die Informationen verfügt. Heikel dabei ist, dass auch die technischen und organisatorischen Maßnahmen der Unterauftragnehmer anzugeben sind. Eine Liste der Unterauftragnehmer muss dann in Anlage – Anhang III angefügt werden.
Wenn diese Arbeit getan ist, fällt die Fleißaufgabe allerdings erst an: Nach Klausel 14 haben die Parteien (es fehlt hier eine klare Zuweisung, wer das machen soll – der Datenexporteur oder der Datenimporteur; wahrscheinlich beide zusammen) eine Dokumentation eines Transfer Impact Assessments (TIA) anzufertigen. Die Problemvorschrift ist Klausel 14 d), denn dort werden die Parteien verpflichtet, diese TIA-Dokumentation auf Anfrage der zuständigen Aufsichtsbehörde vorzulegen. Was muss in dieser TIA-Dokumentation nun drinstehen?
- Umstände der Übermittlung (Länge der Verarbeitungskette, Anzahl der Unterauftragnehmer oder anderer beteiligten Akteure, verwendete Übertragungskanäle, beabsichtigte Datenweiterleitungen, Art des Empfängers, Zweck der Verarbeitung, Kategorien und das Format der Daten, Wirtschaftszweig, Speicherort der Daten);
- Rechtslage im Drittland;
- Zusätzliche technische und organisatorische Garantien (Maßnahmen), die umgesetzt wurden (z.B. Verschlüsselung, Pseudonymisierung, etc.)
Zusammenfassend muss dies also als große Risikoabschätzung gesehen werden. Die o.g. Punkte werden aufgelistet und einzeln bewertet. Kommt die Risikoabschätzung zu einem negativen Ergebnis, müsste die Datenübertragung unterlassen werden, weil die Parteien in Klausel 14 a) zusichern, dass sie „keinen Grund zu der Annahme“ haben, dass der Datenimporteur gehindert werden könnte, seine Pflichten zu erfüllen.
Mit anderen Worten: Kommt die TIA-Dokumentation zu einem negativen Ergebnis, bedeutet dies, dass man wusste, dass es Probleme geben könnte. Man kann also später nicht mehr sagen „Ich hatte keinen Grund zu der Annahme, dass es Probleme geben könnte.„. Würde diese „negative“ TIA-Dokumentation später der zuständigen Aufsichtsbehörde vorgelegt würde diese mit großer Wahrscheinlichkeit feststellen, dass die Datenübertragung an den Auftragsverarbeiter unzulässig ist/war.
Ergo: Nur wenn die TIA-Dokumentation zu einem positiven Ergebnis kommt, dürfen Daten an den Auftragsverarbeiter übermittelt werden.
Wer macht so eine TIA?
Es ist davon auszugehen, dass es in den nächsten Monaten entsprechende Tools geben wird bzw. Handlungsanleitungen oder Muster-Dokumentationen geben wird, die verwendet werden können. Sobald so etwas verfügbar ist, werde ich es an dieser Stelle veröffentlichen.
Primär ist der Verantwortliche selbst in der Pflicht, eine solche TIA-Dokumentation durchzuführen. Ist ein Datenschutzbeauftragter bestellt, wird dieser die Anfertigung der Dokumentation begleiten.
Transparenzpflichten
Neu in die EU-Standardvertragsklauseln ist auch eine Transparenzpflicht aufgenommen worden. Demnach muss der Verantwortliche seine Betroffenen darüber informieren,
- dass seine Daten bei einem Auftragsverarbeiter verarbeitet werden;
- wie das Unternehmen heißt und wo es seinen Sitz hat;
- wie der Betroffene eine (ggf. in Teilen geschwärzte) Kopie des Vertrags (der konkreten EU-Standardvertragsklauseln) bekommt;
Üblicherweise sind hierzu die entsprechenden Datenschutzerklärungen zu ergänzen, die den Betroffenen ohnehin nach Art. 13 DSGVO zur Verfügung gestellt werden müssen.
Konzept, Aufbau und Inhalte der SCC für EU/EWR
Konzept und Aufbau
Die neuen EU-Standardvertragsklauseln für EU/EWR sind in Abschnitte und den Anhängen aufgeteilt:
- Abschnitt I: Allgemeine Regelungen
- Abschnitt II: Pflichten der Parteien
- Abschnitt III: Schlussbestimmungen
- Anhang I (Parteien), Anhang II (Beschreibung der Datenverarbeitung), Anhang III (Technische und organisatorische Maßnahmen) und Anhang IV (Liste der Unterauftragnehmer)
Inhalte
folgt…
Bildquelle: Bild von mohamed Hassan auf Pixabay