Die EU-Kommission hat am 04.06.2021 die sogenannten Standardvertragsklauseln (siehe Art. 46 Abs. 2 lit. c DS-GVO) und damit die derzeit wohl wesentliche datenschutzrechtliche Grundlage für den Datenverkehr mit den USA aktualisiert.
Bereits unmittelbar im Nachgang zu der vielbeachteten „Schrems-II“-Entscheidung des Europäischen Gerichtshofs (EuGH) vom 16.07.2020 (C-311/18), welche den Beschluss 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes für ungültig erklärt hatte, war eine Überarbeitung der Klauseln von der EU-Kommission angekündigt worden – wenngleich gerade nach dem Votum des EuGH durchaus fraglich blieb, ob und wie die Datenempfänger in den USA die Einhaltung von Datenschutzgarantien nach den Standardvertragsklauseln überhaupt würden gewährleisten können. Die Aktualisierung war inhaltlich unter dem Regime der DS-GVO aber ohnehin längst fällig.
Nun also liegen die neuen Standardvertragsklauseln vor, womit die Kommission in Umsetzung ihrer Befugnis nach Art. 28 Abs. 7 DS-GVO erstmalig eine EU-weit einheitliche Vertragsvorlage für Auftragsverarbeitungskonstellationen geschaffen hat. Die Bestimmungen finden „modular“ sowohl auf die Übermittlung zwischen Verantwortlichen (Modul 1) als auch auf den Transfer an Auftragsverarbeitern (Modul 2) Anwendung. Überdies sollen die neuen Klauseln ggf. für den Weitertransfer von einem Auftragsverarbeiter an weitere (Unter-)Auftragsverarbeiter (Modul 3) Verwendung finden können sowie für einen Transfer von einem Auftragsverarbeiter an einen Verantwortlichen (Modul 4).
Die neuen „Standarddatenschutzklauseln“ sollen auch die Anforderungen des EuGH aus seiner eingangs zitierten Entscheidung berücksichtigen (so etwa im Hinblick auf die Pflicht der Vertragsparteien, die Einhaltung der Klauseln nachweisen zu können, siehe Abschnitt II, Klausel 8.9 lit. a S. 1). Allerdings weist die EU-Kommission in ihrem Beschluss zu den „Standarddatenschutzklauseln“ (dort Rn. 19) sogar selbst darauf hin, dass der Transfer personenbezogener Daten auf Basis der Standarddatenschutzklauseln nicht stattfinden sollte, wenn das Recht und die Rechtspraxis in Drittstaaten den Datenimporteur daran hindern, die vertraglichen Verpflichtungen einzuhalten. Solange also etwa ein durchsetzbarer Zugriff von Behörden und Dienste in den USA aufgrund nationalen Rechtes auch durch vertragliche Absprachen und Schutzmechanismen schlechterdings nicht ausgeschlossen werden kann, bleibt fraglos ein auf vertraglicher Ebene nicht zu voller Zufriedenheit lösbarer Konflikt – hier ist die Politik zur „Neuauflage“ des Privacy Shield gefragt.
Gleichwohl besteht sowohl für Verantwortliche als auch Auftragsverarbeiter, die bislang die Standardvertragsklauseln vor dem Hintergrund eines Datentransfers in Drittländer (wie derzeit den USA) verwenden, Handlungsbedarf: Der Beschluss zu den neuen „Standarddatenschutzklauseln“ sieht bei Altverträgen eine Übergangsfrist von 18 Monaten vor; bei Neuverträgen sind bereits ab dem 29. September 2021 die neuen Standardvertragsklauseln zu berücksichtigen.
Es in Umsetzung dessen zunächst zu prüfen, welche der modularen Standardvertragsklauseln für die konkrete Vertragskonstellation einschlägig sind; diese sind dann inhaltlich unverändert einzubeziehen und die referenzierten Anhänge ordnungsgemäß auszufüllen. Darüber hinaus muss weiterhin geprüft werden, ob die Zusagen, das adäquate Datenschutzniveau einzuhalten, auch tatsächlich eingehalten werden. Kann – etwa in den USA – der Zugriff auf die Daten durch US-Behörden nicht ausgeschlossen werden, sind zusätzliche Maßnahmen zur Sicherung eines angemessenen Datenschutzniveaus erforderlich (etwa in Gestalt von Verschlüsselungsverfahren, Pseudonymisierung, einem Serverstandort in der EU und durch Beschreibung eines insoweit geringen Risikos für die Daten der Betroffenen, siehe Abschnitt II, Klausel 8.5).
Hierzu stehen wir Ihnen gerne mit unserer Praxisgruppe Datenschutz zu Diensten.