Neue EU-Standardvertragsklauseln für den Datentransfer – Ende gut, alles gut?
Geltung auch für außereuropäische Unternehmen
KUNZ Rechtsanwälte bietet Datenschutz-Prüfung und Vertragsgestaltung an
1. Datenschutz als wesentlicher Teil der Compliance im Unternehmen
Der internationale Austausch personenbezogener Daten ist ein wesentlicher Faktor im internationalen Handelsverkehr. Er muss sicher und unkompliziert verlaufen. Für betroffene Personen im EWR hat deren Verarbeitung im Einklang mit dem von der Datenschutzgrundverordnung (DSGVO) gewährten Schutz des Datengeheimnisses als individuellem Freiheitsrecht zu erfolgen.
Betroffen von dieser Verpflichtung sind aber nicht nur Unternehmen, die in diesen Ländern durch eine Beteiligungsgesellschaft oder Niederlassung präsent sind. Vielmehr findet die DSGVO auch auf nur im EFTA-Ausland präsente Unternehmen Anwendung. Voraussetzung ist entweder das Angebot von Waren oder Dienstleistungen in einem EFTA-Staat oder die Beobachtung des Verhaltens von betroffenen Personen, die in den EFTA-Staaten ansässig sind. Ein Unternehmen z.B. aus den USA oder China hat also in den soeben genannten Fällen den Datenschutz nach DSGVO zu beachten. Schaltet ein solcher außereuropäischer Anbieter einen Dienstleister im EWR ein, so ist er Importeur von Daten. Diese sind nach der DSGVO geschützt. Die nachfolgenden Ausführungen gelten also auch für dieses Unternehmen.
Verstöße gegen den Datenschutz können schwerwiegende Folgen nach sich ziehen und sollten wesentlicher Teil der Anforderungen an die Compliance in Unternehmen aller Größenordnungen sein. Zum einen drohen Bußgelder von bis zu EUR 20 Mio. bzw. 4% des Jahresumsatzes. Die höchsten Zahlungen mussten im letzten Jahr Google (EUR 50 Mio.) und H&M (EUR 35 Mio.) leisten. Außerdem drohen Schadensersatzansprüche der Betroffenen sowie Reputationsverlust (name and shame). Die Liste von Verstößen und Bußgeldern ist öffentlich einsehbar.
Für die Sicherstellung der Gleichwertigkeit des Datenschutzrechts im Importstaat außerhalb des EWR sieht die DSGVO verschiedene Verfahren vor. Eines davon ist die von der EU-Kommission beschlossene Gleichwertigkeit des Datenschutzrechts im Importstaat mit den Anforderungen der DSGVO. Diese Anforderungen erfüllen derzeit nur zwölf Staaten weltweit. Nicht dazu gehören etwa die USA und China. In Bezug auf das Vereinigte Königreich wird die Prüfung der Gleichwertigkeit derzeit durchgeführt. Am 30. Juni 2021 läuft die insoweit maßgebliche Übergangsfrist nach dem neuen Handelsabkommen ab.
Die USA sind gerade aus deutscher Sicht DER zentrale Importstaat beim Datentransfer. Das gilt nicht nur im Hinblick auf die Übertragung personenbezogener Daten innerhalb von transatlantischen Unternehmensgruppen. Insoweit können die Unternehmen mit den zuständigen Datenschutzbehörden bindende Unternehmensrichtlinien (Binding Corporate Rules) für die interne Kommunikation abstimmen. Der im Außenverhältnis erfolgende Transfer personenbezogener Daten bezieht sich im Wesentlichen auf die von Unternehmen aller Größenordnungen in Anspruch genommenen Cloud-Dienstleistungen der US-Anbieter wie Amazon, Microsoft und Google. Diese sind weltweit Marktführer und als solche mit ihren in den USA gelegenen Servern in großem Umfang Importeur personenbezogener Daten.
2. Die Auswirkungen der EuGH-Entscheidung I zur Unwirksamkeit des Privacy Shields
Im Verhältnis zu den USA war die Gleichwertigkeit des Datenschutzrechts in der Vergangenheit durch ein Regierungsabkommen gewährleistet, den sog. Privacy Shield. Der Europäische Gerichtshof (EuGH) hatte in seiner unter dem Titel Schrems II bekannt gewordenen Entscheidung vom 16. Juli 2020 diese Verständigung als mit Grundsätzen des Datenschutzes nach EU-Recht unvereinbar angesehen. Diese Entscheidung war sofort wirksam und verursachte erhebliche Unsicherheit bei den Unternehmen. Immerhin 5.300 Unternehmen sollen europaweit vom Privacy Shield Gebrauch gemacht haben. Deren Datentransfer in die USA fehlte über Nacht die Rechtsgrundlage.
Das US-Handelsministerium (Department of Commerce) hatte bereits im September 2020 eine Stellungnahme (White Paper, Information on U.S. Privacy Safeguards Relevant to SCCs and Other EU Legal Bases for EU-U.S. Data Transfers after Schrems II (commerce.gov)) zu der Entscheidung veröffentlicht. Darin wird der vom EuGH angewandte Maßstab zur Prüfung des US-Datenschutzrechts untersucht. Das Gericht habe keine eigenständigen Untersuchungen zum US-Datenschutzrecht vorgenommen, sich vielmehr allein mit den von der EU-Kommission in 2016 zur Begründung der Gleichwertigkeit des Datenschutzrechts der USA mit den EU-Normen angeführten Gründen befasst. Es werden dann ausführlich die tatsächlichen Verhältnisse im US-Datenschutzrecht in 2016 und die in der Folgezeit eingetretenen Entwicklungen dargestellt.
Schrems II bezieht sich nicht nur auf den Privacy Shield als Basis für die legale Übertragung personenbezogener Daten in die USA. Vielmehr befasste sich das Gericht auch mit den sog. Standardvertragsklauseln (SVK). Diese waren bereits im Jahr 2010 von der Kommission als weitere Grundlage für den rechtmäßigen Transfer personenbezogener Daten in Drittländer verabschiedet worden. Auswirkungen hat die Entscheidung auch auf die Übertragung von Daten in ein Drittland nach den Binding Corporate Rules.
Vor Schrems II ging man davon aus, allein die Vereinbarung der SVKs mit dem Datenimporteur legitimiere den Datentransfer in das Drittland. Der EuGH hatte insoweit auf die fehlende Bindungswirkung der SVK gegenüber den Behörden des Importstaats hingewiesen. Daher bedürfe es der Folgenabschätzung (sog. Transfer Impact Assessment) durch die Parteien im Hinblick auf Rechtsgrundlage und Umfang behördlicher Maßnahmen. Abhängig vom Ergebnis dieser Beurteilung könnten ggf. zusätzliche Maßnahmen zur Absicherung der Übertragung von Daten erforderlich sein, etwa bestimmte Formen der Verschlüsselung.
3. Die neuen Standardvertragsklauseln – Modern und praxisnah
Die ohnehin erforderliche Überarbeitung der SVK erlaubte es der Kommission, auch die Auswirkungen von Schrems II zu berücksichtigen. Die Einführung der neuen SVK wurde am 4. Juni 2021 von der Kommission beschlossen. In deren Klausel 14 sind die Regelungen zur Folgenabschätzung enthalten. Für die zu Beginn der Vertragsbeziehung erfolgende Beurteilung des Datenschutzrechts im Importland ist sie als gemeinsame Verpflichtung beider Parteien ausgestaltet. Im Innenverhältnis zwischen Datenex- und –importeur können insoweit individuell Sonderregelungen getroffen werden. Die SVK haben aber immer Vorrang. Sinnvollerweise nimmt der Datenimporteur vor Ort eine erste Folgenabschätzung vor. Er führt diese ggf. ja auch für andere Kunden durch. Als Ausgangspunkt für die Beurteilung der Rechtslage in den USA eignet sich das o.g. White Paper des US-Handelsministeriums.
Mit Sicherheit führen die Regelungen zur Folgenabschätzung zu höheren Kosten. Diese wird wohl der Datenexporteur zu tragen haben. Auf die Kosten umgelegt werden auch die Tätigkeiten des Datenimporteurs zur Erfüllung seiner Pflichten nach Klausel 15 der SVK Neu. Diese sind gegenüber denjenigen nach der bisherigen Klausel 5 erweitert.
Im Übrigen sind folgende Neuregelungen in den SVK Neu hervorzuheben:
- Die SVK Neu sind modular gestaltet, d.h. sie finden auf Verträge zwischen Parteien mit unter-schiedlicher Funktion in der Kette der Datenverarbeitung Anwendung. Sie regeln das Verhältnis zwischen mehreren Verantwortlichen, Verantwortlicher zu Auftragsverarbeiter, unter Auftragsverarbeitern (also bei Einschaltung eines Unterauftragsverarbeiters) und vom Auftragsverarbeiter in der EU zum Verantwortlichen im Drittland.
- Die SVK wirken wie gesetzlich verordnete AGB. Sie haben im Falle ergänzender Vereinbarungen Derzwischen den Parteien aber stets Vorrang.
- Die SVK gewähren dem Betroffenen (Dateninhaber) unmittelbar Ansprüche gegen Datenex- und -importeur.
- Nach den SVK ist auf sie zwingend das Recht eines EU-Mitgliedsstaats anzuwenden, das die den Betroffenen begünstigende Wirkung der SVK anerkennt. Es ist auch die Zuständigkeit des Gerichts eines Mitgliedsstaats zu vereinbaren. Anderenfalls erfolgt der Datentransfer in das Drittland aber nicht auf rechtmäßiger Grundlage. Dieser Umstand ist den großen Dienstleistern bekannt.
4. Fristen zur Anwendung der SVK Neu
Der Beschluss über die Geltung der neuen SVK tritt am 27. Juni 2021 in Kraft. Die bisherigen SVK sollen drei Monate danach, also zum 27. September 2021, außer Kraft treten. Es müssten also sämtliche den Datenaustausch mit Drittländern betreffende vertragliche Beziehungen bis dahin auf die Geltung der SVK Neu umgestellt werden.
Allerdings gewährt die Kommission eine weitere Frist von 15 Monaten, also bis zum 27. Dezember 2022. Innerhalb dieser Frist dienen die bisherigen SVK zur Legitimierung von Datentransfers in Drittländer, wenn folgende Voraussetzungen gemeinsam erfüllt sind:
- Der Vertrag zur Übertragung personenbezogener Daten wurde vor dem 27. Juni 2021 abgeschlossen,
- die Verarbeitungsvorgänge bleiben unverändert, und
- die Anwendung der bisherigen SVK gewährleistet für die konkreten Verhältnisse der Datenübertragung geeignete Garantien im Hinblick auf einen rechtlich zulässigen Datentransfer in das betroffene Drittland.
Mit der zuletzt genannten Bedingung wird wohl auf die vorstehend besprochenen Anforderungen für den Datentransfer in Drittländer nach der Rechtsprechung im Fall Schrems II Bezug genommen, also die Klausel 14 der SVK Neu. Dann können aber auch sogleich, also ohne Inanspruchnahme dieser zusätzlichen Frist, zumindest in Fällen des Datentransfers in problematische Drittländer die neuen SVK bis spätestens 27. September 2021 vereinbart werden. Dies gilt jedenfalls in denjenigen Fällen, in welchen im Übrigen keine komplexen Themen zwischen den Parteien zu regeln sind.
5. Der Kunz Datenschutz-Check und Abschluss DSGVO-konformer Vereinbarungen zur Datenverarbeitung
Die vorstehenden Ausführungen sind Beleg für die Notwendigkeit, aus Anlass der Einführung der SVK Neu im Unternehmen des Datenexporteurs bis zum 27. September 2021 einen Datenschutz-Check auf der Grundlage einer auf die wesentlichen Aspekte fokussierten Checkliste durchzuführen. Die DSGVO hat europaweit einheitliches Datenschutzrecht geschaffen. Daher kann grundsätzlich in allen Ländern dieselbe Checkliste verwendet werden.
Diese interne compliance-Prüfung sollte sich im Wesentlichen auf folgende Themen erstrecken und von in der Materie erfahrenen Anwälten begleitet werden:
- Bestandsaufnahme, in welchen Fällen im Unternehmen personenbezogene Daten in ein Drittland außerhalb der EFTA-Zone übermittelt werden;
- Prüfung der Rechtsgrundlage für den Datentransfer – Einhaltung der Anforderungen der DSGVO für eine rechtmäßige Übertragung der Daten in das jeweils betroffene Drittland;
- Falls Datenexport in ein Land erfolgt, dessen Datenschutzrecht von der EU nicht als gleichwertig zertifiziert ist: Prüfung des Datenschutzrechts des Importstaats: Sind zusätzliche Maßnahmen erforderlich, die einen den Anforderungen der DSGVO äquivalenten Datenschutz im Importstaat gewährleisten? Wenn ja, Festlegung welcher.
- Vereinbarung der SVK Neu mit dem Datenimporteur, ggf. verbunden mit individuellen Sondervereinbarungen und zusätzlichen Regelungen zur Durchführung der zusätzlichen Maßnahmen gemäß vorstehender lit. c).
Aus den Ausführungen in Ziff. 4 ergibt sich: Der Datenschutz-Check und der Abschluss der neuen Vereinbarungen zum Datenexport sollten nach unserer Einschätzung möglichst bis zum 27. September 2021 durchgeführt sein. Dies gilt jedenfalls für den sich aus der Folgenabschätzung ergebenden Regelungsbedarf. KUNZ Rechtsanwälte hält diesen Datenschutz-Check für Sie bereit und unterstützt bei den Verhandlungen und dem Abschluss neuer bzw. Abänderungen enthaltender Vereinbarungen. Zur Prüfung des Datenschutzrechts im Importstaat im Hinblick auf dessen Gleichwertigkeit kann KUNZ seine vertrauten und zuverlässigen Kooperationskanzleien im Ausland unter Wahrung von Effizienz und Qualität einschalten.
Für all diese Tätigkeiten steht Ihnen das bewährte Team um die Experten für Datenschutzrecht, Frau Rechtsanwältin Tanja Risse und Herr Rechtsanwalt Hareth Ghalaini, mit Unterstützung im Hinblick auf die ausländischen Rechtsordnungen durch Herrn Rechtsanwalt und Attorney-at-law (New York) Dr. Hermann Knott zur Verfügung.
Gerne unterbreiten wir Ihnen ein Angebot. Wir sichern zügige, persönliche, zuverlässige und qualitativ hochwertige Beratung zu.
6. Ausblick
Mit den SVK Neu sehen wir eine solide Grundlage, den Datentransfer in Drittländer außerhalb des EWR für unsere Mandanten sicher und effektiv zu gestalten und auf diese Weise Risiken finanzieller und sonstiger Natur zu minimieren. Mit unserem Datenschutz-Check wollen wir höchste Ansprüche an die DSGVO-konforme Übertragung personenbezogener Daten ins Ausland erfüllen, insbesondere in die USA.
Der Schlüssel zum Erfolg liegt in der Beurteilung der Rechtslage im betroffenen Drittstaat und dem Aufbau eines angemessenen Kontrollmechanismus verbunden mit einem Plan für adäquate zusätzliche Maßnahmen.
Sprechen Sie uns an – wir unterstützen Sie gerne.
