Schrems-Patch: EU-Kommission verabschiedet neue EU-Standardvertragsklauseln

von Anna von Laer, Bielefeld und Sebastian Voitzsch, Münster

Die EU-Kommission hat am 4. Juni 2021 neue EU-Standardvertragsklauseln veröffentlicht. Diese können als Basis für eine Übermittlung personenbezogener Daten in Länder außerhalb der EU dienen, in denen die EU-Datenschutz-Grundverordnung (DSGVO) nicht (unmittelbar) gilt.

Nach den Regelungen der DSGVO dürfen personenbezogene Daten nur durch solche Unternehmen weiterverarbeitet werden, die ihrerseits die geltenden Datenschutzregeln beachten. Innerhalb Europas gilt die DSGVO für alle Unternehmen. Insofern genügt hier eine Vereinbarung, wonach sich die verarbeitenden Unternehmen verpflichten, die geltenden Regelungen zum Datenschutz einzuhalten. Da sämtliche Unternehmen in der EU zudem denselben Aufsichtsbehörden unterstehen, ist eine Kontrolle gewährleistet.

Schwieriger ist die Situation in den Drittstaaten, die sich außerhalb der europäischen Union befinden. Hier gilt weder das europäische Datenschutzrecht, noch ist eine Kontrolle durch Aufsichtsbehörden sichergestellt. Ganz im Gegenteil: In zahlreichen Ländern behalten sich die Behörden Zugriffe auf gespeicherte Daten vor und können Firmen teils mit gerichtlichen Auflagen zwingen, persönliche Daten an Ermittlungsbehörden etc. herauszugeben. Beispielhaft genannt sei hier der USA Freedom Act, auf dessen Grundlage US-amerikanische Behörden von Telekommunikationsanbietern die Herausgabe dort gespeicherter Daten verlangen können. Die Regelung ist eine, leicht abgeschwächte, Folgeregelung des 2001 als Antwort auf die 9/11-Anschläge erlassenen USA Patriot Act, der noch weitergehende Regelungen enthielt.

Aufgrund dieser weitreichenden Einsichts- und Auskunftsbefugnisse hatte der EuGH im vergangenen Sommer den Angemessenheitsbeschluss zum EU-US-Privacy Shield für ungültig erklärt und damit klargestellt, dass in den USA kein angemessenes Schutzniveau besteht. Das hatte zur Folge, dass eine Datenübermittlung in Nicht-EU-Staaten auf Grundlage des EU-US-Privacy Shields unzulässig ist (Schrems II). Diese Entscheidung hat besonderes Gewicht, weil viele große US-amerikanische IT-Firmen wie Microsoft, Zoom, Facebook etc., deren Geschäftsmodell zunehmend das Angebot von Cloud-Dienstleistungen ist, in großem Umfang personenbezogene Daten in die USA übertragen.

Die Nutzung solcher Dienste und Angebote war danach allenfalls unter Bezugnahme auf die EU-Standardvertragsklauseln möglich. Auch hier hatte der EuGH indes klargestellt, dass beim Einsatz dieser Klauseln ebenfalls die Gefahr eines Zugriffs auf die Daten besteht. Da die Klauseln aber die Möglichkeit einer Erweiterung bieten, forderte der EuGH zusätzliche Garantien. Die Verarbeiter müssten im Einzelfall prüfen, wie sich die Situation im Verarbeitungsland darstellt und welche – ggfls. zusätzlichen – Maßnahmen getroffen werden müssen, um ein adäquates Datenschutzniveau zu erhalten.

Mit der Neufassung der EU-Standardvertragsklauseln hat die EU-Kommission nun selbst entsprechende Erweiterungen der Klauseln verabschiedet und erleichtert es damit Verarbeitern, die Situation besser einzuschätzen. Die neuen EU-Standardvertragsklauseln sind prinzipiell modular aufgebaut und bestehen aus einem obligatorischen Teil und flexiblen Modulen, die entsprechend dem Verhältnis der Parteien zueinander ausgewählt werden. Dadurch soll der separate Abschluss von Auftragsverarbeitungsverträgen und sogar auch Unterauftragverarbeitungsverträgen nicht mehr erforderlich sein.

Anders als bei dem EU-Privacy Shield, unter dem sich einzelne Unternehmen zertifizieren lassen konnten, entfällt bei der Nutzung der EU-Standardvertragsklauseln das Erfordernis einer Einzelfallprüfung allerdings nicht. Der Unternehmer – hier Datenexporteur aus der EU – hat also für jede Datenverarbeitung im Drittland eine verpflichtende Daten-Transfer-Folgenabschätzung durchzuführen. Und er muss überprüfen, ob der Vertragspartner aus dem Drittland in der Lage ist, seinen Pflichten aus diesen Klauseln nachzukommen. Maßstab der Prüfung ist hier, ob die Maßnahmen im Drittland “nicht über Maßnahmen hinausgehen, die in einer demokratischen Gesellschaft notwendig und verhältnismäßig sind.“

Auf Seiten des Datenimporteurs besteht die Pflicht, den Datenexporteur – soweit möglich – über Regierungsanfragen zu informieren und solche Anfragen weitestgehend abzuwehren. Das führt dazu, dass deutsche Unternehmen, die US-amerikanische SRNL 2021 S. 8 (9)IT- und Cloudprodukte verwenden, wieder mit einem umfangreichen Verwaltungsaufwand konfrontiert werden, indem sie eine Bestandsaufnahme ihrer Dienstleister und Subdienstleister durchführen und jeweils passend für den Einzelfall die entsprechend angepassten Standardvertragsklauseln abschließen müssen. Für die Umstellung von Altverträgen auf die neuen Standardvertragsklauseln hat die EU-Kommission eine Frist von 18 Monaten, also bis Dezember 2022, eingeräumt. Unternehmen sind also gut beraten, sich dieser Problematik zeitnah anzunehmen, um (bußgeldbewehrten) Datenschutzverstößen durch Datentransfers in Drittländern vorzubeugen.

Ob es der EU-Kommission mit der Verabschiedung der neuen Standardvertragsklauseln wirklich gelungen ist, den Datentransfer in Drittländer – hier vor allem in die USA – datenschutzrechtlich sicher zu gestalten, bleibt fraglich. Die Verantwortung für die rechtssichere Ausgestaltung jedes einzelnen Datentransfers in Drittstaaten wird vor allem für KMU eine große Herausforderung sein. Und trotz intensiver Einzelfallprüfung können Datenschutzverstöße nicht völlig ausgeschlossen werden.

Zu hoffen wäre, dass die EU zeitnah einen neuen Angemessenheitsbeschluss – ähnlich dem EU-US-Privacy Shield – erlässt und damit ein angemessenes Datenschutzniveau für Datentransfers in die USA auf höherer Ebene garantiert. Voraussetzung dafür wäre indes ein Entgegenkommen der USA, die die Zugriffsrechte ihrer Behörden auf personenbezogene Daten beschränken müsste, und damit tatsächlich ein angemessenes Datenschutzniveau bietet.