Das Jahr 2021 ist auf der Zielgeraden. Das neue Jahr steht (fast) schon vor der Tür. Das Thema Datentransfer in Drittstaaten wird uns auch 2022 weiter beschäftigen. Konkreten Handlungsbedarf gibt es, wenn Ihr Unternehmen Standardvertragsklauseln nutzt. Bis Ende 2022 müssen alle Verträge auf die neuen EU-Standardvertragsklauseln umgestellt werden.
Worum geht es
Für den Transfer personenbezogener Daten zu Vertragspartnern außerhalb der EU müssen Datenschutz-Garantien geschaffen werden. Das für die Praxis wichtigste Instrument hierfür sind die sogenannten EU-Standardvertragsklauseln. Bis zum Juni 2021 basierten diese Klauseln noch auf der alten EU-Datenschutzrichtlinie und bedurften der Anpassung an die DSGVO.
Die EU-Kommission hat deshalb am 4. Juni 2021 überarbeitete, neue EU-Standardvertragsklauseln 2021 beschlossen und breiter einsetzbar gemacht sowie praktische Probleme beseitigt. So gab es bisher nur Vertragsklauseln für den Datenexport „Verantwortliche in der EU“ an „Verantwortliche bzw. Auftragsverarbeiter außerhalb der EU“ (Controller-to-Controller bzw. Controller-to-Processor). Die neuen EU-Standardvertragsklauseln 2021 decken zusätzlich die Fälle ab, in denen Auftragsverarbeiter Daten aus der EU exportieren (Processor-to-Controller und Processor-to-Processor). Damit entfällt die bisherige Notwendigkeit, in bestimmten Fällen Direktverträge mit Unterauftragsverarbeitern von EU-Dienstleistern abzuschließen.
Ferner berücksichtigen die neuen EU-Standardvertragsklauseln 2021 die EuGH-Rechtsprechung zum internationalen Datentransfer nach der „Schrems II“-Entscheidung (C-311/18) des EuGH. Das Gericht hatte in der Entscheidung das Privacy-Shield-Abkommen gekippt, den Datenexport auf Basis von EU-Standardvertragsklauseln jedoch grundsätzlich weiter zugelassen. Für Übermittlungen in Länder wie die USA, deren Recht weitgehende behördliche Zugriffsmöglichkeiten und Überwachungsmaßnahmen bei eingeschränkten Rechtsschutzmöglichkeiten vorsieht, hat der EuGH jedoch zusätzliche Garantien vertraglicher, technischer oder organisatorischer Art verlangt. Dem hat die Kommission nun mit einer Klausel Rechnung getragen, die Empfänger zur Information über und ggf. zum rechtlichen Vorgehen gegen staatliche Herausgabeersuchen verpflichtet. Nach Ansicht der EU-Aufsichtsbehörden bleiben für US-Transfers aber im Zweifel weitere Maßnahmen wie etwa eine besondere Verschlüsselung erforderlich.
Verwendung der alten EU-Standardvertragsklauseln nicht mehr erlaubt
Die bisherigen EU-Standardvertragsklauseln dürfen für Neu-Vertragsabschlüsse nach dem 26. September 2021 (Stichtag) nicht mehr verwendet werden. Verträge, die vor dem Stichtag noch mit den alten EU-Standardvertragsklauseln abgeschlossen wurden, können zwar bis zum 27. Dezember 2022 unverändert bleiben, müssen dann aber zwingend angepasst und auf die neuen EU-Standardvertragsklauseln 2021 umgestellt werden (siehe folgender Absatz).
Altverträge müssen angepasst werden (bis 27. Dezember 2022)
Verträge, die die alten EU-Standardvertragsklauseln beinhalten, müssen bis zum 27. Dezember 2022 auf die neuen EU-Standardvertragsklauseln umgestellt werden.
Hier empfehlen wir folgendes Vorgehen:
- Erstellen Sie zunächst eine Übersicht aller Vertragspartner mit denen Sie EU-Standardvertragsklauseln vereinbart haben. Dies betrifft etwa Verträge mit Cloud-Anbietern, die Hosting oder Support außerhalb der EU erbringen (z.B. Microsoft, AWS oder SAP). Berücksichtigen Sie aber auch Verträge mit kleineren Dienstleistern (Controller-to-Processor) sowie mit Verantwortlichen (Controller-to-Controller).
- Erstellen Sie einen Zeitplan für die Aktualisierung der Verträge bis spätestens Dezember 2022. Hier sollten Sie ausreichend Vorlauf einplanen, um die Übergangsfrist einhalten zu können. Wir empfehlen, den Prozess spätestens im Januar 2022 zu starten.
- Schreiben Sie die Vertragspartner an und schlagen Sie eine Umstellung auf die neuen EU-Standardvertragsklauseln vor. Bei größeren Anbietern (wie Hyperscalern) können Sie davon ausgehen, dass diese die Klauseln zunächst prüfen und in den nächsten Monaten in ihre Verträge integrieren und Altverträge aktualisieren werden; insofern können Sie sich hierfür eine Wiedervorlage Anfang 2022 notieren und dann erforderlichenfalls auf diese Anbieter zugehen.
- Zudem sollten Sie prüfen, ob neben dem Abschluss der neuen EU-Standardvertragsklauseln 2021 noch weitere Garantien abzuschließen sind.
Auswirkung auf konzerninterne Verträge
Auch konzerninterne Verträge zum Transfer personenbezogener Daten sind umzustellen. Da die neuen Klauseln noch mehr Fallkonstellationen abbilden als bisher, sind sie ohnehin besser geeignet für die Regelung des gruppeninternen Datenaustausches. Diese Anpassung sollte zeitnah angegangen werden. Auch hier läuft die Frist zum Abschluss der aktualisierten Konzernverträge bis zum 27. Dezember 2022.
Ist „Schrems II“ damit erledigt?
Voraussichtlich nicht. Die EU-Kommission hat sich zwar bemüht, zusätzliche vertragliche Garantien in die neuen EU-Standardvertragsklauseln 2021 einzubauen. Jedoch haben sich die europäischen Datenschutzbehörden im Vorfeld skeptisch dazu geäußert, dass dies für alle Fälle etwa von Transfers in die USA ausreicht. Die neuen EU-Standardvertragsklauseln 2021 sind also hilfreich, beenden aber vermutlich nicht die laufende Diskussion über die Erforderlichkeit zusätzlicher Maßnahmen für Transfers in Länder wie die USA.