Neue Standarddatenschutzklauseln (I)
Beitrag verfasst von Dr. Rainer Knyrim, Dr. Gerald Trieb, LL.M. und Denise Stahleder, LL.B. – KTR-Newsletter August 2021
Am 4. Juni 2021 hat die Europäische Kommission (Publications Office (europa.eu) neue Standarddatenschutzklauseln (im Text der Kommission entgegen der Bezeichnung in Art 46 Abs 2 lit c DSGVO allerdings Standardvertragsklauseln genannt) angenommen, die im Fall von Datentransfers in Drittländer angewendet werden können. Um mehr Rechtssicherheit zu schaffen, wurden die neuen Anforderungen der DSGVO und die Vorgaben aus dem Schrems II-Urteil einbezogen.
Die neuen Standarddatenschutzklauseln sehen einen modularen Ansatz vor: Neben der Anwendung zwischen (1) Verantwortlichem und Verantwortlichem und (2) Verantwortlichem und Auftragsverarbeiter können die neuen Standarddatenschutzklauseln nun auch zwischen (3) Auftragsverarbeiter und Unterauftragsverarbeiter sowie zwischen (4) Auftragsverarbeiter und Verantwortlichem angewendet werden. Während es sich bei den alten Standardvertragsklauseln um zwei separate, vollständige Vertragsmuster für die beiden geregelten Szenarien von Datenübermittlungen gehandelt hat, enthalten die neuen Klauseln einerseits Inhalte, die für alle Übermittlungsszenarien gelten, andererseits modulare Inhalte, die nur auf bestimmte Arten der vier Datentransferszenarien anwendbar sind. Es müssen daher entweder aus dem Entwurf der Kommission zunächst die für das im konkreten Fall jeweils vorliegende Szenario anwendbaren Passagen ausgewählt und zusammengefügt werden (was einen erheblichen Aufwand und hohe Aufmerksamkeit erfordert) oder muss festgehalten werden, für welches Szenario die Klauseln abgeschlossen werden sollen. Zudem muss an mehreren Stellen eine Auswahl zwischen verschiedenen Textoptionen getroffen werden. Für die Praxis besonders relevant ist das neue Modul 3 für die Übermittlung von einem innerhalb der EU ansässigen Auftragsverarbeiter an einen Unterauftragsverarbeiter im Drittland; die bisherige „Hilfskonstruktion“ für den Fall, dass der Auftragsverarbeiter innerhalb der EU sitzt, Standardvertragsklauseln zwischen dem Verantwortlichen und dem Unterauftragsverarbeiter abzuschließen, ist nun nicht mehr nötig. Die neuen Standarddatenschutzklauseln lösen dieses Problem nun, im Unterschied zu den alten Standardvertragsklauseln, durch Abschluss des entsprechenden Moduls der neuen Klauseln.
Im Gegensatz zu den alten Klauseln können die neuen auch von Verantwortlichen oder Auftragsverarbeitern verwendet werden, die nicht im EWR ansässig sind, sofern deren Verarbeitung unter die DSGVO fällt und auch diese folglich geeignete Garantien für internationale Datentransfers vorsehen müssen. Ein weiterer Unterschied zu den alten Klauseln besteht darin, dass nach dem Wortlaut der Entscheidung der Kommission jedenfalls zwischen Verantwortlichem und Auftragsverarbeiter bzw. zwischen Auftragsverarbeiter und Unterauftragsverarbeiter kein separater Auftragsverarbeitervertrag abgeschlossen werden muss, da die neuen Klauseln den Anforderungen an einen Auftragsverarbeitungsvertrag nach Art 28 Abs 3 lit f DSGVO entsprechen. Nur so lässt sich auch erklären, dass die Kommission ihre Entscheidung nicht nur auf Art 46 Abs 1 lit c, sondern auch auf Art 28 Abs 7 DSGVO stützt, nach denen sie zur Erlassung von – richtig – Standarddatenschutzklauseln (Art 46) und Standardvertragsklauseln (Art 28) ermächtigt ist.
Sehr praktisch ist, dass die neuen Standarddatenschutzklauseln auch den Beitritt Dritter erlauben und damit auch nach Erstabschluss später von zusätzlichen Parteien mitgenutzt werden können.
Im Zusammenhang mit der Umsetzungsfrist ist zwischen Neu- und Altverträgen zu unterscheiden: Die alten Standardvertragsklauseln können nur noch bis 27. September 2021 verwendet werden; für danach neu geschlossene Verträge sind die neuen Klauseln anzuwenden. Die alten Standardvertragsklauseln müssen aber bei Änderung des Verarbeitungsvorgangs und jedenfalls binnen 18 Monaten durch die neuen ersetzt werden. Die Übergangsfrist endet am 27. Dezember 2022. Bitte beachten Sie aber, dass ein Drittlandstransfer auch aktuell schon durch die alten Standardvertragsklauseln nur gerechtfertigt werden kann, wenn diese – allenfalls durch zusätzliche, ergänzende Maßnahmen – unter Berücksichtigung des Rechts des Drittlandes und des konkreten Verarbeitungsvorgangs auch tatsächlich geeignete Garantien gewährleisten. Eine dokumentierte „Datentransfer-Folgenabschätzung“ wird in den neuen Klauseln beiden Vertragsparteien verpflichtend vorgeschrieben. Ein unterschiedsloser, gleichförmiger Abschluss ist daher in Zukunft schon nach dem Wortlaut der Klauseln nicht möglich, vielmehr muss die Erforderlichkeit von auf die konkrete Verarbeitungssituation und das Recht im Drittland abstellenden zusätzlichen, ergänzenden Maßnahmen zumindest geprüft und diese allenfalls dementsprechend vereinbart werden. In ihrer Entscheidung hält die Kommission ausdrücklich fest, dass ergänzende Vertragsklauseln erwünscht und zulässig sind, sofern sie den im Entwurf enthaltenen Klauseln nicht widersprechen; letztere gehen diesen jedenfalls vor.
Letztlich ist in Bezug auf die weiterhin auszufüllenden Anhänge zu den Klauseln zu beachten, dass in Annex II nicht nur jedenfalls konkrete technische und organisatorische Maßnahmen zu vereinbaren sind, sondern auch solche, die speziell auf die allfällige Verarbeitung sensibler Daten (einschließlich Art 10 DSGVO-Daten) Anwendung finden und die Einhaltung der Rechte der betroffenen Personen wahren. Auch ist eine Liste von Unterauftragsverarbeitern anzuschließen, um die Transparenz der Verarbeitungskette zu sicherzustellen. Diese und noch weitere Anforderungen an den Abschluss der neuen Klauseln – deren Besprechung den Rahmen einer Ausgabe unserer Datenschutz-Info sprengen würde – sorgen dafür, dass die neuen Klauseln vor Abschluss an den Einzelfall angepasst werden müssen, um je nach konkreter Verarbeitungssituation auch tatsächlich geeignete Garantien für den Datentransfer gewährleisten zu können. Das bereitet im Vergleich zu den bislang in Verwendung stehenden Klauseln einen erheblichen Mehraufwand und bietet Raum für Risikoabschätzungen, rechtliche Evaluierungen und nicht zuletzt auch für Verhandlungen zwischen den Vertragsparteien.
Wir haben aus der Kommissionsentscheidung bereits vier separate Texte für die vier neuen Übermittlungsszenarien erstellt, die wir Ihnen auf Anfrage gerne zusenden; weiters erarbeiten wir gerade ein Muster für eine Datentransfer-Folgenabschätzung und begleitende Klauseln.