Datentransfer in Drittländer – Schrems II und die Standardvertragsklauseln

Je digitaler die Welt, desto mehr Daten werden übertragen. Für Unternehmen ist es unabdingbar, die Datenflüsse im Betrieb zu kennen und entsprechende Auftragsdatenverarbeitungsverträge abzuschließen. Kompliziert wird es, wenn die personenbezogenen Daten in Drittländer übertragen werden. Dieser Beitrag klärt auf, in welchem Zusammenhang Schrems II, Standardvertragsklauseln und der Stichtag 27. Dezember 2022 stehen.

Was ist das Problem beim Datentransfer in Drittländer?

Werden personenbezogene Daten in Drittländer übermittelt, besteht ein erhöhtes Risiko hinsichtlich Verstößen gegen die DSGVO. Das Problem ist, dass vielen Unternehmen nicht bewusst ist, dass sie personenbezogene Daten in Drittländer übermitteln. Es sollte also oberste Priorität haben, die Datenflüsse im Unternehmen aufzuschlüsseln und abzubilden, das sogenannte „Data Mapping“. Durch die übersichtliche Aufstellung ist ersichtlich, ob personenbezogene Daten über EU Grenzen hinaus übertragen werden. Sollte dies der Fall sein, muss ein angemessenes Datenschutzniveau eingehalten werden. Doch wie sieht dieses aus und wer definiert es? Nach dem Kippen des sogenannten Privacy Shields als bislang gültige Absprache zwischen EU und USA hinsichtlich der Datenschutzbestimmungen beim Datentransfer im Jahr 2020 rücken die Standardvertragsklauseln in den Fokus.

Was war der Privacy Shield?

Der EU-US Privacy Shield war ein sogenannter Angemessenheitsbeschluss, eine informelle Absprache, zwischen der EU und den USA. Durch diesen Beschluss sollte eine datenschutzkonforme Datenübertragung gewährleistet werden und trat unter der Obama Regierung 2016 in Kraft. 2020 hat der Europäische Gerichtshof das Datenschutzabkommen des Privacy Shields gekippt, weil die Anforderungen der DSGVO an den Datenschutz nicht erfüllt wurden. Die Begründung der Richter basierte auf dem nicht ausreichenden Schutz der Daten europäischer Verbraucher vor dem Zugriff amerikanischer Behörden und Geheimdienste. Betroffen waren vor allem amerikanische IT-Konzerne wie Google, Facebook sowie Hosting-Anbieter oder Newslettersysteme. Damit eine Nutzung der amerikanischen Dienste weiterhin gestattet werden konnte, wurden sogenannte EU-Standardvertragsklauseln als Grundlage für den Transfer etabliert.

Was ist Schrems II?

Das Urteil, welches 2020 das Außerkraftsetzen des Privacy Shields bewirkte, resultierte aus dem sogenannten Schrems II Fall. Schrems bezieht sich hierbei auf den österreichischen Autor, Juristen und Datenschützer Max Schrems. Er hatte bei der irischen Datenschutzbehörde beanstandet, dass die von Facebook Ireland erhobenen Daten an den Mutterkonzern in den USA weitergegeben werden. Die irische Datenschutzbehörde wandte sich zur Entscheidungsfindung an den Europäischen Gerichtshof, der dann am 16. Juli 2020 den Privacy Shield für ungültig erklärte. Max Schrems hatte bereits mit dem Fall Schrems I für Aufsehen gesorgt, hier führte ein datenschutzrechtliches Gerichtsverfahren vor dem EuGH, ebenfalls gegen Facebook, zur Ungültigkeitserklärung der Safe-Harbour-Vereinbarung.

Was sind Standardvertragsklauseln?

Standardvertragsklauseln werden von der EU-Kommission festgelegt und sollen die Datenschutzstandards zwischen der EU und Drittstaaten definieren und sichern. Die Standard Contractual Clauses (SCC) müssen ohne Änderungen übernommen werden, individuelle Angaben sind nur in den dafür vorgesehenen Felder vorzunehmen. Wer weitere Regelungen für den Schutz personenbezogener Daten trifft, darf diese in den Zusatzvereinbarungen aufnehmen. Den Datenschutz beeinträchtigende oder den Vorgaben der SCC widersprechende Regelungen sind nicht gestattet.

Nach dem Kippen des Privacy Shiedls stellte der EuGH klar, dass Standardvertragsklauseln weiterhin zur Absicherung des Datentransfers in die USA genutzt werden können. Es muss jedoch geprüft werden, ob durch die weitreichenden Überwachungsmöglichkeiten amerikanischer Geheimdienste weitere technische und organisatorische Maßnahmen ergriffen werden müssen, zum Beispiel in Form von Verschlüsselung oder Anonymisierung.

Es erfolgte jedoch seitens des EuGH keine genaue Definition dieser zusätzlichen Maßnahmen, die Umsetzung ist den Unternehmen und letztlich auch den überprüfenden Datenschutzbehörden überlassen. Der Europäische Datenschutzausschuss (EDSA) verabschiedete im Juni 2021 eine endgültige Fassung der Empfehlungen zu ergänzenden Maßnahmen, die hier abrufbar ist.

Was ändert sich 2022?

Nicht zuletzt resultierend aus dem Schrems II Urteil gibt es seit 2021 eine neue Fassung der Standardvertragsklauseln. Nahezu alle datenverarbeitenden Unternehmen müssen sich mit den Vorgaben der Europäischen Kommission auseinandersetzen, da zahlreiche US-Unternehmen betroffen sind, so zum Beispiel Microsoft, Facebook, Google oder Amazon. Der große Vorteil der neuen Standardvertragsklauseln ist die Anpassung an die Datenschutz-Grundverordnung und die Berücksichtigung des Schrems II Urteils, außerdem gestaltet sich der Datentransfer in Drittländer flexibler. Dafür ist nicht zuletzt der Modulaufbau der neuen Standardvertragsklauseln verantwortlich. Die Wahl einzelnen Module hängt von den Rollen der Datenexporteuere und -importeure ab und soll die bislang lineare Konstellation zwischen „Verantwortlichen und Verantwortlichen“ sowie zwischen „Verantwortlichen und Auftragsverarbeitern“ lösen.

Die neuen Module sind wie folgt aufgebaut:

Desweiteren gibt es die sogenannte Kopplungskausel – diese besagt, dass die Standardvertragsklauseln auch zwischen mehr als zwei Parteien geschlossen werden können, auch können dritte Parteien bereits geschlossenen Standardvertragsklauseln beitreten.

Achtung: Alle bereits bestehenden Standardvertragsklauseln müssen bis zum Dezember 2022 angepasst werden, dann läuft die Frist von 18 Monaten ab! Bereits seite dem 27.09.2021 mussten alle neuen Verträge mit den neuen Standardvertragsklauseln abgeschlossen werden.

Weiterhin gilt: Wenn auch die neuen Standardvertragsklauseln nicht ausreichen, um den notwendigen Datenschutz bei der Übermittlung in ein Drittland zu gewährleisten, müssen zusätzliche technische und organisatorische Maßnahmen ergriffen werden.

Gibt es Vorlagen für Standardvertragsklauseln und AV-Verträge?

Gibt es Prüfungen durch die Datenschutzbehörden?

Die Datenschutzbehörden überprüfen konsequent und durchgehend die Umsetzung der Schrems II Richtlinien in Unternehmen. Anhand von Fragebögen werden die Untersuchungen verschärft und ermöglichen den Behörden, Untersagungsverfügungen auszusprechen und weitere Sanktionen zu verhängen.

Wenn ein solches Schreiben im Unternehmen eintrifft, sollte zunächst geprüft werden, ob neben dem Anschreiben eine Rechtsbelehrung beigefügt wurde. Sollte dies nicht der Fall sein, handelt es sich nur um eine Bitte zur Auskunft und nicht um einen Verwaltungsakt. In diesem Fall gibt es keine rechtliche Verpflichtung zu Übermittlung der Informationen, entsprechend auch keine Sanktionen.

Die Beantwortung des Fragebogens sollte sorgfältig und wahrheitsgetreu erfolgen. Mit hoher Wahrscheinlichkeit folgen auf den Fragebogen weitere Maßnahmen wie zum Beispiel Untersagungsverfügungen bei nicht datenschutzkonformer Übermittlung sensibler Daten in Drittstaaten.

Es ist dringend anzuraten (sofern noch nicht geschehen), eine Überprüfung der Datenübermittlung in Drittstaaten anzustoßen und diese Maßnahme zu protokollieren. Sollte es seitens der Aufsichtsbehörden zur Annahme eines Verstoßes kommen, kann sich die protokollierte Überprüfung strafmildernd auswirken.

Wie können solche Prüfbögen aussehen?

Unter den folgenden Links haben wir Beispiele angelegt, die einen Überblick über die Komplexität und die Bestandteile solcher Prüfbögen vermitteln sollen.

Checkliste

Nach der Lektüre unseres Artikels haben wir eine kurze Checkliste zusammengestellt, die zeigt welche Maßnahmen ergriffen werden sollten.

Bestandsaufnahme im eigenen Unternehmen

Es muss geprüft werden, ob Daten von Kunden, Nutzern oder Mitgliedern in Drittländer übertragen werden. Wichtig ist die Dokumentation der Bestandsaufnahme.

Bestandsaufnahme bei Subunternehmern

Wie unter 1. muss auch bei den Subunternehmern (z.B. Hostinganbieter, Buchhaltungssysteme, E-Mail-Programme) geprüft werden, ob diese Anbieter aus Drittländern einsetzen.

Update auf die neuen Standardvertragsklauseln

Alle Anbieter aus Drittländern müssen um die Vorlage der neuen Standardvertragsklauseln gebeten werden. Bei den Subunternehmern muss nachgefragt werden, ob entsprechend die neuen Standardvertragsklauseln mit deren Subunternehmern in Drittländern geschlossen wurden. Wenn möglich, sollte eine Kopie vorgelegt werden.

Anfrage nach Sicherheitsmaßnahmen

Beim Datentransfer in Drittländer sollte nach zusätzlich ergriffenen Sicherheitsmaßnahmen, wie zum Beispiel Verschlüsselung gefragt werden. Auch hier gilt das gleiche wie unter 3. für die Subunternehmer. Immer an die Dokumentation denken!

Standardvertragsklauseln prüfen

Bei den neuen Standardvertragsklauseln ist es wichtig, dass die richtigen Module ausgewählt wurden. Die Texte dürfen nicht modifiziert und nur an dafür vorgesehen Stellen ergänzt werden.

Datenschutzniveau prüfen

Anhand der vom Anbieter im Drittstaat angegebenen Sicherheitsmaßnahmen muss geprüft werden, ob ein ausreichendes Datenschutzniveau gegeben ist.

Dokumentation

Alle Vorgänge sollten durchgehend dokumentiert werden, so kann im Fall einer Überprüfung durch die Datenschutzbehörde der Einsatz bewiesen werden. Möglich ist die Dokumentation beispielsweise in einer Tabelle mit Spalten für Anbieter, Datum der Anfrage und Ergebnis).

Stay in the loop

Verpasse keine Einladung zu Events und weiteren Aktivitäten in der Community.