Die EU-Kommission hat heute die lang ersehnte neue Version der Standardvertragsklauseln (Standard Contractual Clauses, SCC) veröffentlicht: European Commission adopts new tools for safe exchanges of personal data. (Über den bereits am 13.11.2020 veröffentlichen Entwurf der neuen SCC haben wir hier berichtet.) Wer sich davon endlich Rechtssicherheit für Datenübermittlungen in die USA und andere Drittstaaten erhofft hat, wird jedoch enttäuscht. Im Einzelnen:
Worum geht‘s?
Die SCC sind ein von der EU-Kommission vorformuliertes Vertragswerk für die Gewährleistung hinreichender Garantien bei internationalen Datentransfers. Übermittlungen von personenbezogenen Daten in Nicht-EU-Drittländer sind nur nach den in Art. 44 ff. DSGVO festgelegten Mechanismen möglich. Seit der EuGH in seiner Schrems-II-Entscheidung (wir berichteten hier: EuGH erklärt ,,Privacy-Shield“ für unwirksam – vielen Datenübermittlungen in die USA fehlt nun die rechtliche Grundlage) das sog. „Privacy Shield“ für unwirksam erklärt hatte, waren die SCC – trotz der Rechtsunsicherheiten – einer der wenigen verbliebenen (praktikablen) Mechanismen für Drittstaatentransfers.
Die SCC stammten allerdings noch aus einer Zeit vor der DSGVO und waren daher stark überarbeitungsbedürftig. Ein wesentliches Defizit der SCC war die fehlende Berücksichtigung bestimmter Konstellationen der Unterauftragsverarbeitung, deren Anwendungsbereich durch die Konzentration der weltweiten Cloud-Infrastruktur auf wenige US-Anbieter immer weiter gestiegen ist. Mit den nunmehr überarbeiteten SCC lassen sich diese Konstellationen besser vertraglich regeln.
Was ist neu?
Die veröffentlichten SCC sehen insbesondere folgende Neuerungen vor:
- Neue Konstellationen: Die neuen SCC lassen sich für Datenübermittlungen von Auftragsverarbeitern in der EU zu Auftragsverarbeitern in Drittländern (Processor to Processor) sowie von Auftragsverarbeitern in der EU zu Verantwortlichen in Drittländern (Processor to Controller) verwenden.
- Modularer Aufbau: Die SCC sind modular aufgebaut und können daher für sämtliche Konstellationen verwendet werden.
Modul 1: Controller to Controller
Modul 2: Controller to Processor
Modul 3: Processor to Processor
Modul 4: Processor to Controller - Beitrittsmöglichkeit: Die SCC beinhalten eine „Docking Clause“, nach der ein Betritt durch weitere Unternehmen zu bereits abgeschlossenen SCC möglich ist. Dies dürfte beispielsweise im Konzernumfeld praktische Bedeutung haben, wenn Tochtergesellschaften den durch die Muttergesellschaft abgeschlossenen SCC beitreten sollen.
- Schrems-II-Regelungen: Die SCC sehen besondere Verpflichtungen für Datenimporteure vor, für den Fall, dass im Empfängerland kein hinreichendes Datenschutzniveau gewährleistet werden kann (z. B. USA) und beispielsweise ausländischen Behörden Zugriffsrechte auf die verarbeiteten Daten zustehen. Mit diesen Regelungen werden die nach der Schrems-II-Entscheidung des EuGH notwendigen vertraglichen Zusatzmaßnahmen implementiert (wir berichteten zu den sog. Supplementary Measures hier: Dunkle Wolken: Auch nach den Empfehlungen des Europäischen Datenschutzausschusses (EDPB) weiterhin erhebliche Rechtsunsicherheit bei der Nutzung von US-Cloud-Diensten)
SCC für EU-Auftragsverarbeitungen (AVV)
Außerdem gibt es erstmals ein Set von SCC für die rein innereuropäische Auftragsverarbeitung. Es handelt sich hierbei um ein europäisches Vertragsmuster für Auftragsverarbeitungsverträge (AVV) nach Art. 28 Abs. 7 DSGVO.
Handlungsbedarf: Umstellung von alten SCC auf die neuen SCC
Die Kommissionsentscheidung sieht eine Übergangsfrist von 18 Monaten vor. Innerhalb dieser Zeit müssen Datenübermittlungen, die bisher auf der Basis der „alten“ SCC erfolgen, auf die „neuen“ SCC oder einen anderen Mechanismus nach Art. 44 ff. DSGVO umgestellt werden.
Achtung: Weiterhin Rechtsunsicherheit bei Cloud Services und Datenübermittlungen in die USA
Nach der Schrems-II-Entscheidung des EuGH können hinreichende Garantien für Datenübermittlungen in unsichere Drittländer (z. B. USA) nur dann gewährleistet werden, wenn entsprechende technische, organisatorische und vertragliche Maßnahmen getroffen werden. Die neuen SCC decken insoweit nur die vertragliche Seite ab. Daneben sind weiterhin effektive technische Maßnahmen zum Schutz vor Datenzugriffen im Drittland erforderlich. Gerade bei SaaS-Anwendungen US-amerikanischer Anbieter lassen sich solche technischen Maßnahmen (z. B. Verschlüsselung mit Schlüsselhoheit des Kunden) häufig nicht praktikabel umsetzen. Es verbleibt in diesen Fällen also trotz der neuen SCC eine erhebliche Rechtsunsicherheit. In Kürze sollen zu den sog. Supplementary Measures neue Empfehlungen des European Data Protection Board (EDPB) veröffentlicht werden. Es darf aber bezweifelt werden, ob die Empfehlungen des EDPB die erhoffte Rechtssicherheit liefern.
Update (vom 07.06.2021):
Die Kommissionsbeschlüsse wurden heute im Amtsblatt veröffentlicht. Daraus ergeben sich folgende Umsetzungsfristen:
- Ab dem 27. September 2021 dürfen die alten SCC nicht mehr für neue Verträge verwendet werden.
- Bis zum 26. Dezember 2022 müssen alle alten SCC (Altverträge) durch die neuen SCC ersetzt werden.