Neue EU-Standardvertragsklauseln (SCC) verstehen – Was machen?

Internationaler Datentransfer - Nach Sch-rems II, Privacy Shield und EU-Standartvertragsklauseln

Sch-rems II Urteile haben den internationalen Datentransfer durcheinander gewirbelt. Das Privacy Shield Abkommen mit den USA wurde für ungültig erklärt und nun haben die meisten Unternehmen auf die sogenannten EU-Standardvertragsklauseln (SCC) zurückgegriffen. In einem zweiten Urteil hat sich der EuGH jedoch auch noch zu den SCC geäussert uns so kamen neue SCC Vertratgssets auf den Tisch, welche nun überführt werden müssen.

Wie Kollegin Karin Dietl in ihrem Artikel bereits ausgeführt hat, haben die Schrems II Urteile den internationalen Datentransfer durcheinander gewirbelt und zu allgemeiner Verwirrung bezüglichen der Einhaltung der Datenschutzvorschriften geführt. Da das Privacy Shield Abkommen mit den USA für ungültig erklärt wurde, haben die meisten Unternehmen auf die sogenannten EU-Standardvertragsklauseln (SCC) zurückgegriffen. In einem zweiten Urteil hat sich der EuGH jedoch auch noch zu den SCC geäussert und dabei kamen diese gerade noch mit einem blauen Auge davon. Was im Anschluss dazu geführt hat, dass die EU die SCC überarbeitet hat und ein neues Vertragsset verabschiedet hat. Dies hat nun zur Folge, dass alle Unternehmen ihre SCC auf die neue Version überführen müssen.

Internationaler Datentransfer

Wenn vorliegend von internationalem Datentransfer gesprochen wird, dann bezieht sich dies auf einen Datentransfer in ein Land ohne angemessenes Schutzniveau, d.h. in ein Land mit einem schlechteren Datenschutz als die EU. Was das genau bedeutet und welche Mechanismen die DSGVO für einen solchen Fall vorsieht habe ich bereits früher zusammengefasst. (Datentransfer In Ein Drittland Unter Der DSGVO)

Schrems II-Entscheide

Wie bereits in der Einleitung ausgeführt, hat sich der EuGH primär mit dem Privacy Shield und den Datentransfer in die USA beschäftigt. Dieser Datentransfermechanismus wurde als ungenügend beurteilt und fällt damit weg. Das Urteil hat jedoch Auswirkungen auf alle internationalen Datentransfer.

In einem weiteren Urteil wurde zudem der Datentransfermechanismus via SCC durch den EuGH unter die Lupe genommen. Der EuGH hat festgehalten, dass vertragliche Vereinbarungen – wie die SCC – einen behördlichen Zugriff auf die transferierten Personendaten nicht ausreichend verhindern können, wenn das öffentliche Recht des Importstaates einen entsprechenden Rechtschutz ausschliesst. In einem solchen Fall bindet die vertragliche Vereinbarung lediglich die zivilrechtlichen Parteien, aber nicht das Zielland. Die SCC laufen damit ins Leere, da eine Durchsetzung im Widerspruch zum nationalen Recht steht und damit der Rechtschutz der betroffenen Personen nicht gewährleistet werden kann. Der EuGH hat deshalb festgehalten, dass jeweils eine zusätzliche Prüfung und Risikoeinschätzung notwendig sei und, sofern der Datenexporteur den Rechtschutz nicht für ausreichend hält, zusätzliche vertragliche und technische Massnahmen zu treffen sind. Welche zusätzlichen Massnahmen dies sind, hat der EuGH offengelassen, was zu allgemeiner Verwirrung geführt hat.

Klar ist jedoch, dass SCC nicht einfach unbesehen und ohne genaueres Hinschauen unterzeichnet werden können. Im Ergebnis führt dies dazu, dass die einzelnen Datentransfer individuell geprüft werden müssen, was einen ziemlichen Zusatzaufwand für Unternehmen bedeutet. Ausserdem ist klar, dass sich diese neuen Anforderungen auf alle Drittländer beziehen und nicht nur auf die USA.

  • Der Abschluss von SCC kann nicht blindlings erfolgen, eine zusätzliche Prüfung ist in Zukunft notwendig.
  • Schrems II-Entscheide finden nicht nur Anwendung auf einen Datentransfer in die USA sondern haben Auswirkungen auf alle Datentransfers in Drittstaaten.

Zusatzprüfung (Transfer Impact Assessment)

Mittlerweile scheint unter Aufsichtsbehörden zumindest darin Konsens zu bestehen, dass ein risikobasierter Ansatz bezüglich dieser Zusatzprüfung und der Zusatzmassnahmen ausreicht. Die Massnahmen müssen daher im Verhältnis zur entsprechenden Datenbearbeitung stehen und ins Verhältnis zum Risiko eines effektiven Zugriffs durch einen Drittstaat gesetzt werden.

Erforderlich ist, dass man die unternehmensinternen Datenflüsse kennt („Know your transfers„) und gestützt darauf jeweils ein Transfer Impact Assessment (TIA) durchführt. Ein solches Vorgehen von Risikoeinschätzung und allfälligen Zusatzmassnahmen bedeutet für ein Unternehmen einen potenziell grossen Mehraufwand. Es ist darauf zu hoffen, dass ausländische IT-Provider für ihre Standardanwendungen in Zukunft ein allgemeines TIA zur Verfügung stellen werden.

  • Als ersten Schritt muss sich ein Unternehmen einen Überblick über die internationalen Datenflüsse verschaffen („Know your transfers“).
  • Bevor SCC abgeschlossen werden können, muss ein Transfer Impact Assessment durchgeführt werden.
  • Je nach Datenverarbeitung und Zielland sind entsprechende Zusatzmassnahmen zu treffen.

Der Europäische Datenschutzausschuss (EDSA) hat dazu entsprechende Guidelines veröffentlicht und eine Vorlage für ein TIA findet sich beispielweise auf der Website des IAPP.

Neue EU-Standarddatenschutzklauseln

Als ob diese Zusatzanforderungen nach Schrems II nicht schon genug verwirrend wären, hat die EU-Kommission im Juni 2021 ein neues Set von SCC verabschiedet.

Die neuen SCC wurden nicht nur inhaltlich erneuert sowie an die DSGVO und die neuen Gegebenheiten angepasst, sie decken nun auch vier unterschiedliche Fallkonstellationen ab, welche alternativ oder parallel zum Einsatz kommen können. Die Module werden nach Transferszenario unterschieden:

  • Modul 1: Verantwortlicher – Verantwortlicher
  • Modul 2: Verantwortlicher – Auftragsverarbeiter
  • Modul 3: Auftragsverarbeiter – Auftragsverarbeiter
  • Modul 4: Auftragsverarbeiter – Verantwortlicher

(Die EU liefert leider keine schöne Einzelversionen aber diverse Beratungsunternehmen und Anwaltskanzleien stellen die Module einzeln im Word Format zur Verfügung und teilweise sogar einen Generator)

Es muss daher jeweils zuerst geprüft werden, welche(s) der Module zum Einsatz kommen. Die SCC können einzeln abgeschlossen werden oder in einen umfangreichen Vertrag aufgenommen werden. Eine Ergänzung der Klauseln ist jedoch nur zulässig, wenn diese nicht im Widerspruch zu den SCC stehen oder die Grundrechte der betroffenen Personen beschneiden. Die neuen SCC können auch durch mehrere Parteien abgeschlossen werden oder eine Partei kann sich später einem Vertrag anschliessen. Die Nutzung der SCC im Rahmen einer konzernweiten Lösung ist daher möglich. Die SCC können auch anstelle eines ADV genutzt werden.

Aus Sicht der EU sind ab Oktober 2021 die neuen SCC für neue Datenverarbeitungen zu nutzen. Verträge mit alten SCC müssen bis spätestens Ende 2022 ersetzt werden. Verändert sich jedoch die Datenverarbeitung eines bestehenden Vertrages, löst dies ebenfalls die Pflicht zur Nutzung der neuen SCC aus. Die Übergangsfrist ist daher mit Vorsicht zu geniessen.

  • Es muss jeweils das richtige Modul verwendet werden und es sollte von den optionalen Anpassungsmöglichkeiten Gebrauch gemacht werden.
  • SCC dürfen nur mit strengeren Vorschriften ergänzt werden aber nicht abgeschwächt werden.
  • Bei neuen Verträgen oder Vertragsanpassungen sind die neuen SCC zu verwenden.

Fazit

Die neuen SCC entbinden nicht von einer zusätzlichen Risikoprüfung und allfälligen Zusatzmassnahmen. Die neuen SCC stellen zwar Verbesserungen dar, aber reduzieren den zusätzlichen Compliance Aufwand für Unternehmen nur bedingt.

Yves Gogniat ist Experte für Informations- und Technologierecht mit den Schwerpunkten Datenschutz und IT-, Vertrags- und Gesellschaftsrecht. Er verfügt über ein breites Wissen in den Bereichen Blockchain-Technologie, Krypto-Währungen und hat seine Erfahrungen in verschiedenen Kanzleien sowie in der öffentlichen Verwaltung gesammelt.

Die Kommentarfunktion ist geschlossen.

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More