Für den Transfer personenbezogener Daten zu Vertragspartnern außerhalb der EU müssen Datenschutz-Garantien geschaffen werden. Das für die Praxis wichtigste Instrument hierfür sind die EU-Standardvertragsklauseln. Diese Klauseln hat die EU-Kommission nun an die EU-Datenschutzgrundverordnung (DSGVO) angepasst. Die neuen Klauseln berücksichtigen die EuGH Rechtsprechung zum internationalen Datentransfer („Schrems II) und decken nun auch den Transfer personenbezogener Daten durch EU-Auftragsverarbeiter ab. Unternehmen müssen die neuen Klauseln in ihre Prozesse für internationale Transfers übernehmen und bestehende Vereinbarungen mit Dienstleistern und andern Datenempfängern außerhalb der EU anpassen.

Parallel hat die EU-Kommission auch Standardvertragsklauseln beschlossen, die für die Auftragsverarbeitung innerhalb der EU genutzt werden können. Zukünftig wird sich die Vertragspraxis somit vereinheitlichen und Unternehmen gewinnen an Rechtssicherheit.

Lesen Sie im Folgenden, was nun zu tun ist.

Hintergrund

Kapitel V der DSGVO verlangt für Datentransfers in Nicht-EU-Länder geeignete Garantien zur Sicherstellung eines angemessenen Datenschutzniveaus beim Empfänger. Hierzu werden meist die EU-Standardvertragsklauseln mit dem Empfänger vereinbart. Die bisherigen Klauseln basierten auf der alten EU-Datenschutzrichtlinie und bedurften der Anpassung an die DSGVO. Nach langer Vorbereitung hat die EU-Kommission am 4. Juni 2021 überarbeitete Standardvertragsklauseln beschlossen.

Die Kommission hat die Klauseln breiter einsetzbar gemacht und praktische Probleme beseitigt. So gab es bisher nur Vertragsklauseln für den Datenexport Verantwortliche in der EU an Verantwortliche bzw. Auftragsverarbeiter außerhalb der EU (Controller-to-Controller bzw. Controller-to-Processor). Die neuen Klauseln decken zusätzlich die Fälle ab, in denen Auftragsverarbeiter Daten aus der EU exportieren (Processor-to-Controller und Processor-to-Processor). Damit entfällt die bisherige Notwendigkeit, in bestimmten Fällen Direktverträge mit Unterauftragsverarbeitern von EU-Dienstleistern abzuschließen.

Internationale Datentransfers sind durch die „Schrems II“-Entscheidung (C-311/18) des EuGH in den Fokus geraten. Das Gericht hatte damit das Privacy-Shield-Abkommen gekippt, den Datenexport auf Basis von EU-Standardvertragsklauseln jedoch grundsätzlich weiter zugelassen. Für Übermittlungen in Länder wie die USA, deren Recht weitgehende behördliche Zugriffsmöglichkeiten und Überwachungsmaßnahmen bei eingeschränkten Rechtsschutzmöglichkeiten vorsieht, hat der EuGH jedoch zusätzliche Garantien vertraglicher, technischer oder organisatorischer Art verlangt. Dem hat dieKommission nun mit einer Klausel Rechnung getragen, die Empfänger zur Information über und ggf. zum rechtlichen Vorgehen gegen staatliche Herausgabeersuchen verpflichtet. Nach Ansicht der EU-Aufsichtsbehörden bleiben für US-Transfers aber im Zweifel weitere Maßnahmen wie etwa eine besondere Verschlüsselung erforderlich.

Weniger Beachtung als die Standardvertragsklauseln für internationale Verträge haben die erstmalig veröffentlichten Musterverträge für die Auftragsverarbeitung nach Art. 28 DSGVO gefunden. Diese könnten sich zum de-facto-Standard auch innerhalb der EU entwickeln und Verhandlungen mit Dienstleistern in der EU zukünftig vereinfachen.

Was müssen Unternehmen jetzt tun?

Wie sind die neuen EU-Standardvertragsklauseln anzuwenden?

Die neuen Klauseln beinhalten vier Module, die je nach Konstellation einzusetzen sind: (1) Verantwortlicher-Verantwortlicher, (2) Verantwortlicher-Auftragsverarbeiter, (3) Auftragsverarbeiter-Auftragsverarbeiter und (4) Auftragsverarbeiter-Verantwortlicher. Wie bisher gibt es einen Annex 1, in dem die Details zum Transfer beschrieben sind sowie Annex 2 zu technisch-organisatorischen Maßnahmen (außer für Fall (4)). Neu ist für die Fälle (2) und (3) die Liste der Subunternehmer, die als Annex 3 zu pflegen ist, wenn eine gesonderte Genehmigung vereinbart wird anstelle einer allgemeinen Genehmigung.

Die Klauseln beinhalten zudem einige Optionen einschließlich der Wahl des EU-Mitgliedstaats, dessen Recht auf die Klauseln anzuwenden ist. Insofern sind die Klauseln sorgfältig für den jeweiligen Fall auszufüllen. Hiermit sollten sich Unternehmen und Berater in den nächsten Wochen vertraut machen und ggf. Mustervorlagen für typische Fälle aus der eigenen Praxis bereitlegen.

Dürfen die alten EU-Standardvertragsklauseln noch verwendet werden?

Die bisherigen EU-Standardvertragsklauseln können noch bis zum 26. September 2021 für neue Verträge eingesetzt werden. Die so abgeschlossenen Verträge können bis zum 27. Dezember 2022 unverändert bleiben, müssen dann aber angepasst werden (siehe den nächsten Punkt).

Bis wann müssen Altverträge angepasst werden?

Verträge, die die alten EU-Standardvertragsklauseln beinhalten, müssen bis zum 27. Dezember 2022 auf die neue Fassung umgestellt werden. Hierzu sollten Sie zunächst eine Übersicht aller Vertragspartner aufstellen, mit denen Ihr Unternehmen bisher die EU-Standardvertragsklauseln vereinbart hat. Dies betrifft etwa Verträge mit Cloud-Anbietern, die Hosting oder Support außerhalb der EU erbringen (z.B. Microsoft, AWS oder SAP). Berücksichtigen Sie aber auch Verträge mit kleineren Dienstleistern (Controller-to-Processor) sowie mit Verantwortlichen (Controller-to-Controller).

Setzen Sie sich einen Zeitplan für die Aktualisierung der Verträge bis spätestens Dezember 2022. Grundsätzlich ergibt es Sinn, schon jetzt die Vertragspartner anzuschreiben und eine Umstellung auf die neuen EU-Standardvertragsklauseln vorzuschlagen. Bei größeren Anbietern (wie Hyperscalern) können Sie davon ausgehen, dass diese die Klauseln zunächst prüfen und in den nächsten Monaten in ihre Verträge integrieren und Altverträge aktualisieren werden; insofern können Sie sich hierfür eine Wiedervorlage für das Jahresende notieren und dann erforderlichenfalls auf diese Anbieter zugehen.

Was ist mit konzerninternen Verträgen?

Auch konzerninterne Verträge zum Transfer personenbezogener Daten sind umzustellen. Da die neuen Klauseln noch mehr Fallkonstellationen abbilden als bisher, sind sie ohnehin besser geeignet für die Regelung des gruppeninternen Datenaustausches. Geben Sie hier also rechtzeitig eine Anpassung in Auftrag. Auch hier läuft die Frist, bis zum dem neue Konzernverträge in Kraft treten müssen, bis zum 27. Dezember 2022.

Ist „Schrems II“ damit erledigt?

Voraussichtlich nicht. Die EU-Kommission hat sich zwar bemüht, zusätzliche vertragliche Garantien in die neuen Klauseln einzubauen. Jedoch haben sich die europäischen Datenschutzbehörden im Vorfeld skeptisch dazu geäußert, dass dies für alle Fälle etwa von Transfers in die USA ausreicht. Die neuen Klauseln sind also hilfreich, beenden aber vermutlich nicht die laufende Diskussion über die Erforderlichkeit zusätzlicher Maßnahmen für Transfers in Länder wie die USA.

Welche Chance bieten die neuen Musterverträge zur Auftragsverarbeitung?

Die parallel herausgegebenen Mustervereinbarungen für die Auftragsverarbeitung nach Art. 28 DSGVO – auch diese heißen offiziell „Standardvertragsklauseln“ – führen zu keinem zwingenden Handlungsbedarf. Ihre Verwendung ist freigestellt. Sie bieten aber Chancen, da sie als offizielles Muster die zukünftige Rechtspraxis prägen können. Die Verwendung dieser Klauseln dürfte Verhandlungen mit Dienstleistern (oder Auftraggebern) erleichtern. Dieses Potenzial sollten Unternehmen nutzen, um ihre bisher verwendeten Muster kritisch zu prüfen und, soweit dies im Einzelfall sinnvoll ist, an die neuen Standardklauseln anzugleichen.