Die neuen Standardvertragsklauseln der EU – Handlungsbedarf für Unternehmen mit Drittlandtransfer

„Technologische Entwicklungen erleichtern den grenzüberschreitenden Datenverkehr, der für den Ausbau der internationalen Zusammenarbeit und des internationalen Handels erforderlich ist. Gleichzeitig muss bei der Übermittlung personenbezogener Daten an Drittländer, einschließlich im Falle von Weiterübermittlungen, sichergestellt werden, dass das durch die Verordnung (EU) 2016/679 gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird.“

… heißt es so lapidar in dem ersten Erwägungsgrund zu den neuen Standardvertragsklauseln, genauer: Dem Durchführungsbeschluss 2021/914 der Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates, dem als Anhang die neuen Standardvertragsklauseln beigefügt sind.

Und doch stecken dahinter gewaltige Interessen. Worum geht es hier? Und warum gibt es Handlungsbedarf?

Datenschutzbehörden haben mit Prüfung von Drittlandübermittlungen begonnen (Copyright:tete_escape/adobe.stock).

Seit Ende September 2021 dürfen bei Neuverträgen nur noch die neuen Standardvertragsklauseln verwendet werden. Und bis zum 27. Dezember 2022 müssen auch die Altverträge auf die neuen Klauseln umgestellt worden sein.

Es geht in der Praxis um Unternehmen, die mit ihrem Schwester- oder Mutterunternehmen in den USA zumindest teilweise datenmäßig verflochten sind.

Und es geht um Unternehmen, die einen Teil oder ihre gesamten Prozesse softwaregestützt erledigen lassen. Und welches mittelständische Unternehmen kann es sich heutzutage noch leisten, auf den Einsatz einer betriebswirtschaftlichen oder technischen Anwendung zu verzichten?

Es fängt bei Textverarbeitungsprogrammen (u.a. „MS Word“) und Videokonferenzanwendungen (u.a. „Zoom“) an und geht über eine CRM-Software („Customer-Relationship-Management“, Kundenpflege) bis zur Abbildung eines Großteils der Unternehmensprozesse mittels einer komplexen ERP-Anwendung („Enterprise-Resource-Planning“).

Und weil sich viele mittelständische Unternehmen keine eigene, größere IT-Abteilung leisten wollen, werden vorgenannte Softwares zunehmend nicht selbst vorgehalten („On Premises“), sondern „in die Cloud“ ausgelagert. Damit ist gemeint, dass diese auf Rechnern laufen, die der jeweilige Anbieter bestimmt. Dabei kommt man an den amerikanischen Cloudanbietern in der Praxis häufig nicht vorbei. Ohne es darauf abgesehen zu haben, werden auf diese Weise Mitarbeiter- und Kundendaten in die USA übermittelt – der Drittlandtransfer.

Die Datenschutzaufsichtsbehörden Baden-Württemberg, Bayern, Berlin, Bremen, Brandenburg, Hamburg, Niedersachsen, Rheinland-Pfalz und Saarland haben mit der länderübergreifenden Prüfung von Drittlandübermittlungen begonnen.

Die Bestimmungen über Datenübermittlungen in Kapitel V der DSGVO sollen den Fortbestand des hohen Schutzniveaus bei der Übermittlung personenbezogener Daten an ein Drittland gewährleisten. Der Durchführungsbeschluss benennt auch ausdrücklich – wenn auch nur in einer Fußnote -, worum es unter anderem geht:

Es geht u.a. um das sog. „Schrems-II“-Urteil. Und es geht darum, den mit dem internationalen Handel mittlerweile zwingend einhergehenden Datenverkehr mit dem für Deutschland auf vielerlei Märkten wichtigsten IT-Partnerland endlich wieder rechtmäßig gestalten zu können, nämlich den USA.

Der Datenverkehr mit den USA ist nämlich seit dem von vielen als „unpassend“, „störend“, ja vereinzelt auch als „aus der Zeit gefallenen“ „Schrems-II-Urteil“ (des Europäischen Gerichtshofs vom 16. Juli 2020, Data Protection Commissioner/Facebook Ireland Ltd und Maximilian Schrems, Rechtssache C-311/18) zumindest in rechtlicher Hinsicht tatsächlich empfindlich gestört.

Denn die Vereinigten Staaten von Amerika sind seitdem kein Drittland mit einem „angemessenen Schutzniveau“ im Sinne der DSGVO mehr.

Und nach Artikel 45 Abs. 1 Satz 1 DSGVO darf eine Übermittlung personenbezogener Daten an ein Drittland, grob gesagt, nur dann vorgenommen werden, wenn die Kommission beschlossen hat, dass das betreffende Drittland ein angemessenes Schutzniveau bietet.

Nachdem bereits im Jahr 2015 der Europäische Gerichtshof die „Safe-Harbour-Entscheidung“ für ungültig erklärt hatte (EuGH, Urteil vom 06.10.2015 – C-362/14 („Schrems-I“)), sprach derselbe im Sommer 2020 auch dem Nachfolger, dem „Privacy-Shield“, die Gültigkeit ab (EuGH, Urteil vom 16.07.2020 – C-311/18 („Schrems-II“)).

Auf die erste Nachricht vom Wegfall des „Privacy-Shield“ bestand noch Hoffnung, diesen dadurch kitten zu können, dass man schlicht einen Satz von „EU-Standarddatenschutzklauseln“ hinter den Cloudvertrag mit Microsoft und Co. hängt.

Nach Art. 46 Absatz 1 und 2 Buchstabe c) DSGVO gelten diese eigentlich als passable Alternative, wenn kein Angemessenheitsbeschluss für ein Drittland vorliegt.

Dieses Spiel hatte der EuGH aber vorsorglich und ausdrücklich verdorben, indem er im „Schrems-II“-Urteil auch noch bemerkte, dass die Standardvertragsklauseln zwar eine gute Sache seien, der Datenexporteur aber verpflichtet sei, darüber hinaus ergänzende Garantien durch zusätzliche Maßnahmen vorzusehen.

Mit anderen Worten: Allein mit der zusätzlichen Vereinbarung der neuen Musterverträge für internationale Datentransfers in Drittländer – neben dem ERP-Cloudvertrag mit Microsoft – ist es nicht getan.

Mit der Verpflichtung des Datenexporteurs, zusätzlich noch zu prüfen, ob der Schutz der übermittelten Daten nicht noch weiterer Maßnahmen in einem betreffenden Land bedarf, hat der EuGH aber fast jedes Unternehmen überfordert. Und diese Überforderung hält noch an.

In der Tat ist es seitdem insbesondere für kleine und mittelgroße Unternehmen mehr als lästig, sich mit den Folgen des Wegfalls von datenschutzrechtlichen Angemessenheitsbeschlüssen in Bezug auf die USA auseinandersetzen zu müssen, sei es, weil sie ihre gesamte Unternehmensorganisation an US-Unternehmen ausgelagert haben, sei es, weil sie US-Videokonferenzanwendungen nutzen wollen und/oder dem Sog erliegen, ihre Internetpräsenzen auch mit amerikanischen Sozialen Netzwerken (Facebook, Instagram u.a.) verknüpfen zu wollen oder, um am Markt bestehen zu können, zu müssen.

Dem derzeitigen Verhalten vieler Unternehmen zum Trotz muss nochmals darauf hingewiesen werden: Der EuGH hat unmissverständlich festgestellt:

Die Aufsichtsbehörden müssen gemäß Art. 58 (2) (f) und (j) DSGVO die Datenübermittlung verbieten oder ihre Aussetzung anordnen, wenn

• keine gültige Angemessenheitsentscheidung der EU Kommission vorliegt,
• weder die geeignete Garantie noch zusätzliche Maßnahmen den Schutz der in ein Drittland übermittelten Daten hinreichend sicherstellen
• und der Datenexporteur die Datenübermittlung nicht selbst aussetzt oder beendet

Abhilfe sollten eigentlich die neuen Standardvertragsklauseln schaffen.

Und in der Tat wurden mit den Klauseln 14 und 15 „Schrems-II“-Verpflichtungen aufgenommen. Diese zwingen die Beteiligten eines Drittlandtransfers aber u.a. zu einer gemeinsamen Risikobewertung.

Erwägungsgrund 19 führt aus, dass die Übermittlung und Verarbeitung personenbezogener Daten im Rahmen von Standardvertragsklauseln nicht erfolgen sollten, wenn die Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes den Datenimporteur an der Einhaltung der Klauseln hindern.

Und Erwägungsgrund 20 spricht von

„etwaigen Garantien zur Ergänzung der Garantien gemäß den Standardvertragsklauseln“

Mit anderen Worten: Mit dem „Hintanklemmen“ der neuen Standardvertragsklauseln dürfte es in Bezug auf den Cloudvertrag mit Microsoft für deutsche Unternehmen in rechtlicher Hinsicht nicht getan sein. Die „Schrems-II-Verpflichtungen“ (Klauseln 14 und 15) der neuen Standardvertragsklauseln zwingen die Beteiligten eines Drittlandtransfers u.a. zu einer gemeinsamen Risikobewertung.

Die neuen Standardvertragsklauseln entlasten die Unternehmen daher nicht von erheblicher Mehrarbeit.

Darüber hinaus bleibt abzuwarten, ob die aktuellen Datenverarbeitungsrealitäten – heutzutage finden sich gerade im Cloudumfeld mehr und längere Vertragsketten und Unter- und Unterunterauftragnehmerverhältnisse – mit den neuen Standardvertragsklauseln praktikabler dargestellt werden können.

Tatsächlich werden in der mit „Datenschutzgarantien“ betitelten Klausel 8 vier Module eingeführt, die den typischen Gegebenheiten und Verarbeitungsrealitäten entsprechen sollen:

• MODUL EINS: Für Situationen, in denen eine Übermittlung personenbezogener Daten von Verantwortlichen in der EU an Verantwortliche im Drittland erfolgt
• MODUL ZWEI: Für den Fall, dass es um die Übermittlung personenbezogener Daten von Verantwortlichen in der EU an Auftragsverarbeiter im Drittland geht
• MODUL DREI: Passend für die Situation, dass ein Auftragsverarbeiter in der EU personenbezogene Daten an Auftragsverarbeiter im Drittland übermittelt
• MODUL VIER: Gedacht für den Fall, dass der Auftragsverarbeiter in der EU personenbezogene Daten an Verantwortliche im Drittland übermittelt

In den folgenden Klauseln werden dann diese Situationen (Module) jeweils in Bezug auf den „Einsatz von Unterauftragsverarbeitern“ (Klausel 9), die „Rechte betroffener Personen“ (Klausel 10), den „Rechtsbehelf“ (Klausel 11), die „Haftung“ (Klausel 12), die „Aufsicht“ (Klausel 13), die „Lokalen Rechtsvorschriften und die Gepflogenheiten, die sich auf die Einhaltung der Klauseln auswirken“ (Klausel 14), die „Pflichten des Datenimporteurs im Falle des Zugangs von Behörden zu den Daten“ (Klausel 15), die „Verstöße gegen die Klauseln und Beendigung des Vertrags“ (Klausel 16), das „Anwendbare Recht“ (Klausel 17) und den „Gerichtsstand und die Zuständigkeit“ (Klausel 18) durchdekliniert.

Fazit

Sichern Sie den Drittlandtransfer so bald wie möglich ab!

Sollte die EU-Kommission nicht einen weiteren Angemessenheitsbeschluss in Bezug auf die USA auf den Weg bringen – davon darf zur Zeit nicht ausgegangen werden – bleibt für Übermittlungen personenbezogener Daten in die USA derzeit in den meisten Fällen nur

• der Abschluss der neuen Standardvertragsklauseln. Dabei werden Sie als mittelständisches Unternehmen mit Ihrem US-Cloudanbieter oder mit ihrem Schwester- oder Mutterunternehmen in den USA u.a. gemeinsam Risikobewertungen durchzuführen haben, um den erforderlichen Schutz der Daten sicherzustellen
• und die Hoffnung, dass die nationalen und europäischen Aufsichtsbehörden es schaffen, sich auf einheitliche Leitlinien zur Risikobeurteilung für die relevantesten Drittländer, insbesondere die USA, zu einigen, anhand derer auch kleine und mittelgroße Unternehmen –mit verhältnismäßigem Aufwand und vertretbarem Risiko Drittlandtransfers, gerade in die USA, vornehmen können.

Seit Ende September 2021 dürfen bei Neuverträgen nur noch die neuen Standardvertragsklauseln verwendet werden. Und bis zum 27. Dezember 2022 müssen auch Altverträge auf die neuen Klauseln umgestellt worden sein.

Mit anderen Worten: Für neue Verträge mit Datentransfers in Drittstaaten sind ausschließlich noch die neuen Standardvertragsklauseln anzuwenden. Altverträge mit Drittlandtransfer müssen bis zum 27.12.2022 auf die neuen Standardvertragsklauseln angepasst worden sein.

Unser Rat ist, die Umstellung der Altverträge rechtzeitig, also sofort, anzugehen. Es ist nämlich von längeren Verhandlungen wegen der gemeinsamen Risikobewertungen auszugehen. Es sollte auch ein ausreichender Zeitpuffer eingeplant werden, denn im Falle des Misslingens einer Einigung mit dem Altanbieter auf der Grundlage der neuen Standardvertragsklauseln muss noch ein neuer Anbieter gesucht und die Migration geplant und durchgeführt werden.

Diese Pflichten sollten ernst genommen werden: Seit Mitte 2021 haben die Datenschutzbehörden Baden-Württemberg, Bayern, Berlin, Bremen, Brandenburg, Hamburg, Niedersachsen, Rheinland-Pfalz und Saarland damit begonnen, eine länderübergreifende Prüfung von Drittlandübermittlungen vorzunehmen mit dem Ziel einer koordinierten Kontrolle zur „breiten Durchsetzung“ der Anforderungen, die der EuGH in der Schrems-II-Entscheidung aufgestellt hat.