Große Fragezeichen nach Schrems II
Das Warten hat ein Ende. Nun hat die EU-Kommission die aus datenschutzrechtlicher Sicht ersehnten Standardvertragsklauseln erlassen. Nachdem der EuGH in seinem Urteil vom 16.Juli 2020 den Angemessenheitsbeschluss der EU-Kommission zum US-Privacy Shield für ungültig erklärte (Schrems II, Rs. C-311/18) und dieses Abkommen keine tragfähige Rechtsgrundlage für die Übermittlung von personenbezogenen Daten in die USA mehr darstellen konnte, fragten sich viele (Verantwortliche) wie eine Übermittlung zukünftig DSGVO-konform ausgestaltet werden könne.
Was sind Standardvertragsklauseln?
Denn in seinem Urteil entschied der EuGH nicht nur, dass in den USA kein gleichwertiges Datenschutzniveau herrsche wie es die DSGVO vorgibt, sondern forderte zudem weitere Schutzmaßnahmen durch die übermittelnden Datenexporteure wie z.B. entsprechende Prüf-, und Kontrollmaßnahmen. Obwohl dies bei vielen Unternehmen und Verantwortlichen im datenschutzrechtlichen Sinne, eine große Rechtsunsicherheit verursachte, stützen gleichwohl viele Unternehmen ihre Datenübermittlung in Drittländer auf den Abschluss von Standardvertragsklauseln.
Grundsätzlich kann eine Datenübermittlung neben einem, durch das Schrems II-Urteil weggefallenen, Angemessenheitsbeschluss noch auf anderweitige Garantien gestützt werden, wie z.B. auf das Vorliegen von sog. EU-Standardvertragsklauseln, erlassen durch die EU-Kommission (Art. 46 Abs.2 lit.c DSGVO). Diese, auch als Standardschutzklauseln bezeichneten Regelungen sind Musterverträge, die ein der DSGVO entsprechendes Datenschutzniveau gewährleisten sollen, indem beiden Parteien bestimmte Rechte und Pflichten auferlegt werden.
Das Vorliegen einer der in Art. 46 DSGVO genannten Garantien, sowie einer Rechtsgrundlage im Sinne des Art. 6 DSGVO, wie z.B. der Einwilligung der betroffenen Person, ist grundlegende Voraussetzung für eine rechtmäßige Datenverarbeitung.
Einheitliches Modell
Nachdem die bisherigen Standardvertragsklauseln in verschiedener Version verfügbar waren und dabei verschiedene Übermittlungskonstellationen abbildete, in denen differenziert wurde, ob der Empfänger im Drittland ebenfalls «Verantwortlicher» oder aber «Auftragsverarbeiter» war, wurden diese und zwei weitere Varianten («Processor to Processor» und «Processor to Controller») nun allesamt in ein einheitliches Regelungswerk aufgenommen. Indem die verschiedenen Module grundsätzlich alle denkbaren Übermittlungsvarianten abdecken, ist es vielen Verantwortlichen/Unternehmen nunmehr möglich von den Standardvertragsklauseln Gebrauch zu machen.
Neben diesen verschiedenen, als «Module» bezeichnete Varianten, finden sich neue Regelungen insbesondere zur Haftung der Parteien und dem anwendbaren Recht.
Allein der Abschluss genügt aber nicht!
Verantwortliche/Unternehmen die Daten aufgrund von Standardvertragsklauseln in Drittländer wie die USA übertragen wollen, freuen sich daher über diese «neue» Möglichkeit, auch wenn zunächst mit dem Abschluss solcher Verträge aber vor allem mit der tatsächlichen Umsetzung der Regelungen ein immenser organisatorischer/administrativer Aufwand verbunden ist. Denn wie der EuGH betonte, ist lediglich der Abschluss der Klauseln/des Vertragswerkes als solcher noch nicht ausreichend. Vielmehr müssen Verantwortliche u.a. prüfen, ob der Empfänger grundsätzlich überhaupt im Stande sein wird, die jeweiligen Regelungen einzuhalten.
Ferner wurde in den Modulen 14 und 15 die von Unternehmen und EDSA geforderte «dokumentierte Risikoeinschätzung» («Transfer Impact Assessment») verbindlich festgehalten, wonach die Parteien verpflichtet werden, zu versichern, dass sie keinen Grund zu der Annahme haben, dass die für die Verarbeitung personenbezogener Daten durch den Datenimporteur geltenden Rechtsvorschriften und Gepflogenheiten den Datenimporteur an der Erfüllung seiner Pflichten gemäß der Standardvertragsklauseln hindern. Diese Regelung zielt darauf ab, insbesondere entsprechende Rechtsvorschriften in den jeweiligen Drittländern, gerade hinsichtlich etwaiger Verpflichtungen zur Kooperation und Offenlegung gegenüber den eigenen (Sicherheits-) Behörden zu berücksichtigen.
Wie geht es weiter?
Seit Erlass des Urteils Schrems II sah sich die EU-Kommission in der Pflicht die gesetzlich verankerten EU-Standardvertragsklauseln tatsächlich auch zu liefern. Mit der Veröffentlichung der offiziellen Version der EU-Standardvertragsklauseln im EU-Amtsblatt ist sie dieser Pflicht nachgekommen.
Unternehmen und Verantwortliche sind nun dazu angehalten zu überprüfen, welche personenbezogenen Daten in welche Drittländer übermittelt werden und ob bereits Standardvertragsklauseln abgeschlossen wurden. Denn diese müssen bis zum Ablauf der Umsetzungsfrist am 27.Dezember 2022 durch das «neue» Regelungswerk ersetzt werden. Eine Dringlichkeit in der Umsetzung ergibt sich nicht nur aufgrund der Tatsache, dass die zuständigen Datenschutzaufsichtsbehörden die Einhaltung der Vorgaben im Wege eines koordinierten Verfahrens prüfen werden, sondern auch, da die Umsetzung wie bereits angesprochen einen hohen Zeitaufwand mit sich bringt.