Einführung 

Die Europäische Kommission hat am 4.6.2021 zwei neue Pakete
von Standardvertragsklauseln (SVK), häufig auch SCCs (Standard Contractual
Clauses) genannt, veröffentlicht (Standardvertragsklauseln-EU und Standardvertragsklauseln-Drittländer). Die SCCs sind nun auf die DS-GVO aktualisiert und sollen helfen, das Vakuum zu schließen, das seit dem Schrems II-Urteil des Europäischen Gerichtshofs vom 16.07.2020 (Schrems II-Urteil) insbesondere beim transatlantischen Datenaustausch herrscht.

Die Wahrscheinlichkeit, dass die neuen SCCs für Ihr Unternehmen relevant sind, ist groß, so dass Sie diesem Thema Aufmerksamkeit schenken sollten.

Hintergrund

Wann immer personenbezogene Daten in ein Drittland übertragen werden, sind die Vorgaben der Art. 44 ff. DS-GVO zu beachten, damit das durch die DS-GVO gewährleistete Schutzniveau nicht untergraben wird.

Eines der Werkzeuge, mit denen Drittlandtransfers rechtlich abgesichert werden können, sind SCCs. Die Bedeutung der SCCs wurde größer, nachdem der Europäische Gerichtshof zunächst in einer ersten Entscheidung (Safe Harbour-Urteil) das Safe Harbour Regime für nichtig erklärte, mit dem Datentransfers zwischen den USA und der EU legitimiert werden konnten. Maßgeblich für diese Entscheidung war unter anderem das Fehlen hinreichender Rechtsschutzmöglichkeiten für Europäer in den USA, wenn diese gegen Datenverarbeitungen vorgehen wollten.

Wenige Monate nach der Entscheidung wurde das politisch und wirtschaftlich
gewünschte, rechtlich aber umstrittene EU-U.S.-Privacy Shield als Nachfolger
für Safe Harbour verkündet. Umstritten war das Privacy Shield insbesondere deshalb, weil es das Problem des mangelnden Rechtsschutzes nicht löste. In seiner viel beachteten Entscheidung erklärte der Europäische Gerichtshof
(Schrems II) sodann das Privacy Shield für unwirksam. 

Das Gericht stellte zudem fest, dass die bisherigen SCCs bei Datentransfers in
Länder ohne Angemessenheitsbeschluss durchaus weiterverwendet werden können, allerdings zusätzliche Garantien verabredet werden müssen, um hinreichenden Schutz zu gewährleisten. Dies stellte Unternehmen vor eine kaum lösbare Aufgabe. 

Warum ist dies für Sie relevant? 

Wissen Sie im Einzelfall, wann Sie oder die von Ihnen genutzten Softwareprodukte oder Systeme personenbezogenen Daten übermitteln? Wissen Sie auch, wohin die Daten von dort gegebenenfalls übermittelt werden? Unter Umständen finden in Ihrem Unternehmen Datenexporte statt, von denen Sie bislang nichts wussten und die, sofern möglich, neben den Ihnen bekannten Datentransfers auf eine rechtlich solide Basis gebracht werden müssen. 

Die neuen SCCs

Datenexporteure können je nach Vertragsverhältnis mit den
neuen SCCs aus vier Modulen für unterschiedliche Szenarien wählen:

1. Übermittlung
   von Verantwortlichen an Verantwortliche (C2C)
2. Übermittlung
   von Verantwortlichen an Auftragsverarbeiter (C2P)
3. Übermittlung
   von Auftragsverarbeitern an Auftragsverarbeiter (P2P)
4. Datentransfer
   von Auftragsverarbeitern an Verantwortliche (P2C)

Die Regelungen zwischen zwei Auftragsverarbeitern und von Auftragsverarbeitern an Verantwortliche stellen eine sinnvolle Ergänzung zu den bislang angebotenen SCCs dar. 

Die SCCs enthalten verschiedene Anhänge, mit denen die konkret vorliegende Situation transparent erfasst werden kann. Besonders interessant ist auch, dass die Klauseln regeln, wie mit Ersuchen von Behörden im Drittland nach einer Weitergabe der übermittelten personenbezogenen Daten umzugehen ist.

So wie in der DS-GVO werden auch die Betroffenenrechte in
den modernisierten SCCs besonders gestärkt. Beispielsweise muss der Datenimporteur Betroffene benachrichtigen, wenn ein rechtsverbindlicher Antrag der Behörde auf Herausgabe seiner personenbezogenen Daten vorliegt. Wird dem Datenimporteur eine Benachrichtigung behördlich untersagt, soll er sich bestmöglich um eine Aufhebung der Untersagung bemühen.

Durch die Standardvertragsklauseln werden die Voraussetzungen des Art. 28 Abs. 3 und 4 DS-GVO erfüllt, sodass die Ansicht einzelner deutscher Datenschutzbehörden, dass gegebenenfalls zusätzliche Klauseln im Falle von Übermittlungen an Auftragsverarbeiter benötigt werden, keinen Bestand mehr hat.

In den neuen SCCs sind nunmehr Haftungsregelungen enthalten für den Fall, dass eine unberechtigte Herausgabe von Daten vorgenommen wird. Diese waren zuvor optional.

Chance und Risiko gleichzeitig ist die Flexibilität der SCCs. Sie basieren wie die DS-GVO auf einem risikobasierten Ansatz. Das bedeutet aber auch, dass es den Parteien obliegt, die Risiken für etwaige Betroffene abzuschätzen. Sie müssen mit Ihrem Vertragspartner prüfen und abwägen, ob die Rechtslage und der Umgang mit Herausgabeansprüchen vor Ort einen angemessenen Schutz der personenbezogenen Daten gewährleistet. Ist dies nicht der Fall, dürfen keine Daten transferiert werden oder es sind zusätzliche Schutzmaßnahmen zu ergreifen. Dies können technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit der Daten wie Pseudonymisierung oder Verschlüsselung sind.  

Drei wichtige Daten

Folgende Zeitpunkte sind für Ihre Planungen relevant:

• 27.06.2021: Die neuen SCCs treten in Kraft.

• 27.09.2021: Die alten SCCs werden aufgehoben.

• 27.12.2022: Ab dem 27.09.2021 gilt eine 15-monatige Umsetzungsfrist: Mit Ablauf des 27.12.2022 müssen alle alten Verträge, die vor dem 27.09.2021 geschlossen wurden, die neuen SCCs einbeziehen, d.h. bis dahin dürfen bestehende Verträge die alten SCCs noch verwenden. Danach dürfen die alten SCCs nicht mehr verwendet werden.

• Neuverträge: Ab dem 27.09.2021 können nur noch die neuen SCCs verwendet werden.

Was ist zu tun? 

Im Rahmen der zeitlichen Vorgaben sind Ihre Vertragsbeziehungen gegebenenfalls anzupassen. Exportieren Sie personenbezogene Daten oder arbeiten Sie mit Datenexporteuren zusammen? Sind die bisherigen Regelungen ausreichend? Sind Sie überhaupt schon auf „Schrems II“ hin aktiv geworden? Liegen bei Ihnen die bisher nicht geregelten Situationen 3 oder 4 vor? Beachten Sie, dass im Hinblick auf Bestandsverträge zu prüfen ist, ob zusätzliche Garantien vereinbart wurden und diese ausreichend sind. Rechtzeitig vor Ablauf der Übergangsfrist sind neue Verträge zu verhandeln.

Bei Neuverträgen ist wichtig, dass Sie mit der Auswahl der zur Verfügung stehenden Handlungsoptionen für ein ausreichendes Schutzniveau sorgen und aktiv werden, wenn Anlass zu Zweifeln daran besteht, dass (weiterhin) ein ausreichendes Schutzniveau gewährleistet ist.

Als spezialisierte Datenschutz- und IT-Kanzlei stehen wir Ihnen in allen diesen Fragen gerne zur Verfügung. Wir begleiten und unterstützen Sie in der Lösungsfindung für einen rechtssicheren Umgang mit personenbezogenen Daten!