Die EU-Kommission plant neue Standardvertragsklauseln (Standard Contractual Clauses – SCC) für den Fall, dass der Datenempfänger im Drittland bereits unter die Datenschutz-Grundverordnung (DSGVO) fällt. Höchste Zeit, wie empfindliche Bußgelder der letzten Monate zeigen.
Warum sind weitere SCC nötig?
Für den Transfer personenbezogener Daten in Drittländer ohne Angemessenheitsbeschluss der EU-Kommission sind SCC das wichtigste Transfer-Instrument. Im Jahr 2021 wurde im Nachgang zum Schrems-II-Urteil eine Neufassung der SCC verabschiedet.
Tipp: Bei der activeMind AG finden Sie eine praktische Anleitung für den Einsatz von SCC zum Drittlandtransfer.
Es gibt bereits vier Module von Standardvertragsklauseln, die verschiedene Übermittlungsszenarien abdecken. Dennoch wurde seit der Neufassung der SCC im Jahr 2021 eine zentrale Frage immer wieder diskutiert:
Sind Standardvertragsklauseln auch dann erforderlich, wenn ein Datenimporteur außerhalb des Europäischen Wirtschaftsraums (EWR) ansässig ist, aber gemäß Art. 3 Abs. 2 DSGVO direkt der Datenschutz-Grundverordnung unterliegt?
Würde dies nicht zu einer Verdoppelung der Verpflichtungen führen? Wie geht man andererseits speziell mit den Risiken um, die damit verbunden sind, dass der Datenimporteur in einem Drittland ansässig ist? Zu diesen Risiken gehören
- potenziell kollidierende nationale Gesetze,
- der Zugang der Behörden in dem Drittland und
- Schwierigkeiten bei der Durchsetzung und dem Erhalt von Rechtsmitteln gegen eine Einrichtung außerhalb der EU.
Was viele Unternehmen nicht wissen: Erwägungsgrund 7 des Durchführungsbeschlusses zu den SCC ((EU) 2021/914) besagt, dass die SCC für Datenimporteure, die in den Anwendungsbereich der DSGVO fallen, nicht verwendet werden dürfen. Diese Einschränkung macht die SCC ungeeignet für Situationen, in denen sowohl der Datenexporteur als auch der Datenimporteur der DSGVO unterliegen.
Entwicklung der neuen SCC
Der Europäische Datenschutzausschuss (EDSA) hatte sich bereits in seinen Leitlinien 05/2021 (über das Zusammenspiel zwischen der Anwendung von Art. 3 und Kapitel V DSGVO) klar positioniert. Demnach seien SCC auch dann erforderlich, wenn der Datenimporteur der DSGVO unterliegt, da sie potenzielle Widersprüche zwischen ausländischen Gesetzen und EU-Vorschriften beseitigen. Der EDSA forderte die EU-Kommission auf, eine weitere Reihe von SCCs auszuarbeiten, um die Lücke zu schließen.
Nun endlich, fast drei Jahre später scheint die EU Kommission dieser Aufforderung nachzukommen, ein spezielles Set an SCC zu entwickeln, welche die Konstellation mit Art. 3 Abs. 2 DSGVO berücksichtigen.
Bis zum zweiten Quartal 2025 sollen neue SCC für die Übermittlung von Daten an für die Verarbeitung Verantwortliche und Auftragsverarbeiter in Drittländern, die der DSGVO unterliegen, verabschiedet werden. Darüber hinaus wird im vierten Quartal 2024 eine öffentliche Konsultation zu diesen Klauseln eingeleitet.
Wie wichtig sind weitere SCC in der Praxis?
Bisher war die Debatte der fehlenden SCC eher von datenschutzrechtlichen bzw. theoretischen Diskussionen geprägt.
Insbesondere die jüngste Geldstrafe in Höhe von 290 Mio. Euro gegen den Mobilitätsanbieter Uber in den Niederlanden zeigt jedoch auch die praktische Relevanz: In einer Beschwerde der französischen Datenschutzbehörde CNIL wurden Bedenken geäußert, dass sensible Daten von EU-Fahrern aufgrund fehlender SCCs unzureichend geschützt seien. Uber argumentierte, dass für Datenübermittlungen in die USA keine SCC erforderlich seien, da Uber Technologies Inc. In den USA bereits den Anforderungen der DSGVO unterliege. Uber berief sich ferner auf die Erwägungsgründe der SCC von 2021.
Die niederländische Datenschutzbehörde (Autoriteit Persoonsgegevens) wies dieses Argument jedoch zurück und betonte, dass selbst Datenimporteure, die den DSGVO-Verpflichtungen unterliegen, ausländischen Gesetzen unterliegen könnten, die im Widerspruch zu den EU-Standards stehen, was die Notwendigkeit von SCC in solchen Szenarien unterstreiche.
Inhalt der neuen SCC
Zum Inhalt der neuen SCC ist noch wenig bis gar nichts bekannt. Ein Entwurf liegt noch nicht vor.
Dennoch dürften die neuen SCC vom Umfang her schlanker ausfallen. Die bisherigen Module der SCC von 2021 sind insbesondere davon geprägt, viele Grundsätze der DSGVO im Vertragswerk mit aufzunehmen. Dies ist sinnvoll, weil sie sich an Datenimporteure richten, die nicht der DSGVO unterliegen.
Die neuen SCC können hier kürzer gehalten werden und nur die speziellen Verpflichtungen für Datenimporteure aus Drittländern behandeln, die direkt der DSGVO unterliegen.
Die neuen SCC sollten also dazu beitragen, eine einheitliche Einhaltung des Datenschutzniveaus zu gewährleisten, und gleichzeitig unnötige Doppelanforderungen vermeiden, die Unternehmen belasten würden.
Fazit: Rechtssicherheit kommt hoffentlich bald
Die jüngsten Entscheidungen der EU-Aufsichtsbehörden, gegen Unternehmen, die bei der Übermittlung personenbezogener Daten in Drittländer keine angemessenen Sicherheitsvorkehrungen getroffen haben, erhebliche Geldstrafen zu verhängen, zeigen, dass die Aufsichtsbehörden nicht davor zurückschrecken, die Einhaltung der Vorschriften rigoros durchzusetzen. Unternehmen können sich nicht auf die Rechtsunsicherheit berufen, die seit der Veröffentlichung der SCC 2021 besteht, um zu erklären, warum sie personenbezogene Daten in Drittländer übermitteln, ohne angemessene Schutzvorkehrungen getroffen zu haben.
Bis zur Veröffentlichung der neuen SCC sollten Unternehmen ihre Datenübermittlungen sorgfältig prüfen, geeignete Schutzmaßnahmen entweder im Rahmen der aktuellen Version der SCC implementieren oder andere Übermittlungsmechanismen nutzen, die die DSGVO vorsieht, und erforderlichenfalls eine Datenschutz-Folgenabschätzung (DSFA) für die Übermittlung durchführen.
Um es noch einmal in aller Deutlichkeit zu sagen: Beim Drittlandtransfer ist es unabdingbar, SCC oder andere geeignete Schutzmaßnahmen zu implementieren, selbst für Organisationen, die der DSGVO unterliegen.
