Was sind Standardvertragsklauseln?
Standardvertragsklauseln (SCCs) einfach erklärt!
- Wann spielen Standardvertragsklauseln eine Rolle und welchem Zweck dienen sie?
- 1. Allgemeine Zulässigkeitsvoraussetzungen
- 2. Angemessenes Datenschutzniveau im Drittland
- Was sind Standardvertragsklauseln?
- Welche Standardvertragsklauseln sind zu verwenden?
- Standardvertragsklauseln für die Auftragsverarbeitung in einem Drittland?
- Privacy Shield und Schrems II-Urteil: Was ist bei Datenübermittlung in die USA zu beachten?
- 1. Ausgangspunkt: EU-US Privacy Shield
- 2. Veränderte Rechtslage: die „Schrems II“-Entscheidung
- Welche Aussagen trifft der EuGH im Rahmen der „Schrems II“-Entscheidung über Standardvertragsklauseln und was sind die Konsequenzen?
- 1. Kernaussagen des Urteils bezüglich der Verwendung von Standardvertragsklauseln
- 2. Gegenwärtige Konsequenzen der Entscheidung in der Praxis
- 3. Ausblick
- Ist eine Datenübermittlung in ein Drittland auch ohne Angemessenheitsbeschluss oder Standardvertragsklausel möglich?
Wann spielen Standardvertragsklauseln eine Rolle und welchem Zweck dienen sie?
Standardvertragsklauseln können relevant werden, wenn personenbezogene Daten ins Ausland übermittelt werden sollen. Bei der Übermittlung von Daten ins Ausland sind zum Schutz der Persönlichkeitsrechte des Betroffenen bestimmte Anforderungen zu beachten.
1. Allgemeine Zulässigkeitsvoraussetzungen
Zunächst hat aufgrund seiner Rechenschaftspflicht gemäß Art. 5 II DSGVO jeder Verantwortliche zu prüfen, ob die beabsichtigte Übermittlung die allgemeinen Zulässigkeitsvoraussetzungen für die Verwendung personenbezogener Daten erfüllt. Dies erfordert zum einen, dass die Grundsätze des Art. 5 I DSGVO gewahrt sind. Zum anderen bedarf es des Vorliegens einer der Bedingungen des Art. 6 I DSGVO. Dies ist insbesondere der Fall, wenn
- eine Einwilligung des Betroffenen vorliegt
- die Verarbeitung für die Erfüllung eines Vertrags, dessen Vertragspartei der Betroffene selbst ist, erforderlich ist
- die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung, welcher der Verantwortliche unterliegt, erforderlich ist
- die Verarbeitung erforderlich ist, um lebenswichtige Interessen zu schützen
- die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt.
Das Vorliegen dieser allgemeinen Voraussetzungen der Datenverarbeitung ist gemäß Art. 44 DSGVO Zulässigkeitsvoraussetzung für jedwede Datenübermittlung („…und die sonstigen Bestimmungen dieser Verordnung eingehalten werden“).
Sind diese allgemeinen Voraussetzungen erfüllt und erfolgt die Datenübermittlung innerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraumes (EWR), ist die Datenübermittlung ordnungsgemäß.
2. Angemessenes Datenschutzniveau im Drittland
Soll die beabsichtige Datenübermittlung in ein Land außerhalb der EU und des EWR (sogenanntes Drittland) erfolgen, hat der Verantwortliche weiterhin zu prüfen, ob in dem Empfängerstaat ein Datenschutzniveau gegeben ist, welches dem der EU entspricht. Ob ein solches angemessenes Datenschutzniveau vorliegt, entscheidet die EU-Kommission. Eine solche Entscheidung kann auch für Gebiet oder mehrere Sektoren innerhalb eines Drittlandes oder eine internationale Organisation ergehen. Liegt ein sogenannter Angemessenheitsbeschluss vor, bestehen für eine Datenübermittlung in den betroffenen Staat keine weiteren Anforderungen (Art. 45 I 2 DSGVO). Angemessenheitsbeschlüsse bestehen gegenwärtig für die folgenden Staaten und Gebiete:
- Andorra
- Argentinien
- Färöer-Inseln
- Guernsey
- Isle of Man
- Israel (eingeschränkt)
- Japan
- Jersey
- Kanada (eingeschränkt)
- Neuseeland
- Schweiz
- Uruguay
Guernsey, Isle of Man und Jersey sind als autonomer Kronbesitz direkt der britischen Krone unterstellt, dabei aber weder Teil des Vereinigten Königreichs noch der Europäischen Union, sondern gesonderte Rechtssubjekte. Im Hinblick auf eine Datenübermittlung in die USA sind weiterhin Besonderheiten zu berücksichtigen, weshalb diese Thematik im Folgenden an anderer Stelle gesondert erörtert wird.
Besteht hingegen im Drittland kein angemessenes Datenschutzniveau, kann eine Datenübermittlung dennoch zulässig sein. Voraussetzung hierfür ist grundsätzlich, dass
- der Verantwortliche oder der Auftragsverarbeiter besondere Garantien vorgesehen haben und
- den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.
Hier nun kommen die sogenannten Standardschutzklauseln ins Spiel. Sie stellen gemäß Art. 46 II lit. c DSGVO eine solche geeignete Garantie dar.
Was sind Standardvertragsklauseln?
Standardvertragsklauseln (Standard Contractual Clauses, kurz: SCC) kommen also zum Einsatz, wenn personenbezogene Daten an einen Dienstleister in einem Drittstaat (s.o.) übermittelt werden. Es handelt sich um von der Europäischen Kommission zur Verfügung gestellte Mustervertragswerke. Diese werden zwischen dem Verantwortlichen (Datenexporteur) und dem Datenempfänger (Datenimporteur) abgeschlossen. Auch eine Ausgestaltung als Mehrparteienvertrag ist möglich. Mit der Unterzeichnung der Standardvertragsklauseln verpflichtet sich der Dienstleister aus dem Drittstaat zur Einhaltung des europäischen Datenschutzniveaus. Damit dies der Fall ist, müssen die Standardvertragsklauseln im Wesentlichen unverändert übernommen werden. Werden dagegen einzelne Klauseln individuell verändert, entsteht grundsätzlich ein sogenannter Individualvertrag. Dieser muss gemäß Art. 46 III DS-GVO im Kohärenzverfahren auf EU-Ebene im Kohärenzverfahren abgestimmt und durch die Aufsichtsbehörde genehmigt werden. Darunter können selbst Ergänzungen fallen, die gerade der Anpassung an die DS-GVO dienen. In Zweifelsfällen empfiehlt sich eine Rückfrage an die zuständige Aufsichtsbehörde.
Standardvertragsklauseln werden typischerweise in zwei Konstellationen verwendet:
- Zum einen können Standardvertragsklauseln zum Einsatz kommen, wenn beide Unternehmen für die (weitere) Verarbeitung der personenbezogenen Daten verantwortlich sind – beispielsweise ein Unternehmen, das Mitarbeiterdaten an den Mutterkonzern außerhalb der EU weitergibt, damit diese ein konzernweites Verzeichnis erstellen kann. Mit der Unterzeichnung der Standardvertragsklauseln verpflichtet sich der Mutterkonzern zur Einhaltung der Datenschutzstandards, welche auch für das Tochterunternehmen in der EU verpflichtend sind.
- Zum anderen können Standardvertragsklauseln eingesetzt werden, wenn personenbezogene Daten an einen Dienstleister, z.B. einen Cloud-Dienstleister, übermittelt werden, der die Daten weiterverarbeitet. Der Dienstleister soll die Daten nur weisungsgebunden verarbeiten.
Welche Standardvertragsklauseln sind zu verwenden?
Die bereits bestehenden EU-Standardvertragsklauseln (abrufbar unter: https://eur-lex.europa.eu/legal-content/DE/TXT/?qid=1487055654356&uri=C…) gelten gemäß Art. 46 Abs. 5 S. 2 DS-GVO ausdrücklich vom In-Kraft-Treten der DS-GVO unberührt fort. Sofern die Standarddatenschutzklauseln in unveränderter Form verwendet werden, handelt es sich um eine sogenannte genehmigungsfreie geeignete Garantie, sodass die Datenübermittlung ohne weiteres möglich ist. Dies ist in der Regel auch der Fall, wenn ihnen weitere Klauseln oder zusätzliche Garantien hinzugefügt werden, solange diese nicht im Widerspruch zu den Standarddatenschutzklauseln stehen und die Grundrechte sowie europäischen Grundfreiheiten der betroffenen Personen nicht verletzen.
Auch die Aufsichtsbehörden können gemäß Art. 46 II lit. d DS-GVO eigene Standarddatenschutzklauseln zu entwerfen. Diese bedürfen der Abstimmung im Kohärenzverfahren und sind anschließend von der Kommission förmlich zu genehmigen. Ist dies geschehen, sind sie wiederum ohne zusätzliche Genehmigung einsetzbar.
Unternehmen haben ebenfalls die Möglichkeit, eigene Vertragsklauseln zu entwerfen. Diese ausgehandelten individuellen Vertragsklauseln können eine geeignete Garantie für eine Datenübermittlung in ein Drittland sein. Sie müssen jedoch von der zuständigen Aufsichtsbehörde genehmigt und mit den anderen europäischen Aufsichtsbehörden abgestimmt werden. Es handelt sich dann um eine sogenannte genehmigungsbedürftige geeignete Garantie gemäß Art. 46 III DS-GVO.
Standardvertragsklauseln für die Auftragsverarbeitung in einem Drittland?
Für die Auftragsverarbeitung in einem Drittland müssen zum einen die in der EU gültigen Reglungen für die Auftragsverarbeitung gemäß Art. 28 DS-GVO eingehalten werden. Zum anderen müssen die Anforderungen an die Übermittlung in ein Drittland gemäß Art. 44 ff. DS-GVO eingehalten werden. Standardvertragsklauseln können ein angemessenes Schutzniveau durch geeignete Garantien schaffen. Art. 28 Abs. 6 DS-GVO ist eine Ausnahmeregelung und sieht vor, dass ein Vertrag zur Auftragsverarbeitung ganz oder teilweise durch Standardvertragsklauseln ersetzt werden kann. Dies muss jedoch von der EU-Kommission oder einer Aufsichtsbehörde festgelegt werden. Die aktuell gültigen EU-Standardvertragsklauseln sind zwar von dieser Regelung umfasst, jedoch wurden diese lange nicht überarbeitet. Die EU-Standardvertragsklauseln wurden auch noch nicht der DS-GVO angepasst. Dem zufolge entsprechen die Klauseln gegenwärtig nicht den Anforderungen des Art. 28 Abs. 3 DS-GVO. Den Klauseln fehlen Regelungen zum Umgang mit den Rechten und Pflichten in einem Auftragsverarbeitungsverhältnis sowie der Unterstützung zur Datenschutz-Folgenabschätzung und zum Treffen geeigneter Garantien i. S. d. Art. 32 DS-GVO.
Grundsätzlich ist das Ersetzen eines Vertrages zur Auftragsverarbeitung durch Standardvertragsklauseln möglich. Bis die gegenwärtigen EU-Standardvertragsklauseln an die geltenden gesetzlichen Regelungen angepasst worden sind, empfiehlt es sich jedoch, erst einmal auch weiterhin noch einen Vertrag zur Auftragsverarbeitung abzuschließen.
Privacy Shield und Schrems II-Urteil: Was ist bei Datenübermittlung in die USA zu beachten?
1. Ausgangspunkt: EU-US Privacy Shield
Bei dem EU-US Privacy Shield handelt es sich um einen Selbstzertifizierungsmechanismus für US-Unternehmen. Das Handelsministerium der Vereinigten Staaten führt eine Liste derjenigen Unternehmen, die eine Privacy-Shield-Zertifizierung erworben haben. Es obliegt dem (europäischen) Datenexporteur, zu überprüfen, ob der Datenempfänger tatsächlich in diese Liste eingetragen ist. Mit Beschluss vom 12.07.2016 entschied die EU-Kommission, dass unter dem Privacy Shield ein angemessenes Datenschutzniveau für Datenübermittlungen in die USA besteht. Damit wurde nicht festgestellt, dass für die USA allgemein ein angemessenes Datenschutzniveau besteht. Die Kommissionsentscheidung hat somit die Wirkung eines Angemessenheitsbeschlusses für dem Privacy Shield unterstehende Unternehmen, sodass der Privacy Shield eine Grundlage für die Übermittlung personenbezogener Daten an solche Unternehmen darstellte.
2. Veränderte Rechtslage: die „Schrems II“-Entscheidung
Mit Urteil vom 16.07.2020 (C-311/18) erklärte der EuGH den das EU-US Privacy Shield betreffenden Beschluss der EU-Kommission für ungültig. Das Urteil wird allgemein als „Schrems II“-Entscheidung bezeichnet. Namensgebend ist insoweit Maximilian Schrems. Alle im Unionsgebiet wohnhaften Personen, die Facebook nutzen wollen, müssen bei ihrer Anmeldung einen Vertrag mit Facebook Ireland (Tochtergesellschaft der in den USA ansässigen Facebook Inc.) abschließen. Die personenbezogenen Daten der Nutzer werden zumindest teilweise an die in den USA befindlichen Server der Facebook Inc. übermittelt und dort verarbeitet. Dagegen begehrte Herr Schrems, ein in Österreich lebender österreichischer Staatsbürger, Rechtsschutz. Dies führte zur Feststellung der Ungültigkeit des Kommissionsbeschlusses betreffend das Privacy Shield im Rahmen eines Vorabentscheidungsverfahrens durch den EuGH.
Zur Begründung wurde angeführt, dass die rechtlichen Grundlagen und die damit weitreichenden Befugnisse der amerikanischen Geheimdienste nicht mit dem europäischen Grundsatz der Verhältnismäßigkeit übereinkommen. Die Gesetze, auf deren Grundlage amerikanische Sicherheitsbehörden auf die in die USA übermittelten Personenbezogenen Daten zugreifen können, beschränken Art. 7 und Art. 8 der EU-Grundrechtecharta (GrCh) unverhältnismäßig und verstoßen daher gegen Art. 52 I GrCh. Weder wird der Zugriff auf die personenbezogenen Daten von Nicht-Amerikanern beschränkt, noch werden Nicht-Amerikanern durchsetzbare Rechte gegen diese Zugriffe gewährt. Zum anderen stehen den EU-Bürgern keine hinreichenden Rechtsbehelfe zur Verfügung. Die Rechtsbehelfe genügen nicht den Anforderungen der Art. 45 Abs. 2 Buchst. a, Art. 47 Abs. 1 GrCh. Für die Bewertung der Rechtsakte der EU-Kommission ist allein EU-Recht einschlägig. Die Ausnahme des Art. 2 II DS-GVO, wonach die DS-GVO im Bereich der nationalen Sicherheit nicht anwendbar ist, greift nicht.
Allerdings erklärte der EuGH darüber hinaus auch, dass die von der EU-Kommission erlassenen Standardvertragsklausen grundsätzlich weiterhin wirksam sind.
Welche Aussagen trifft der EuGH im Rahmen der „Schrems II“-Entscheidung über Standardvertragsklauseln und was sind die Konsequenzen?
Die „Schrems II“-Entscheidung ist nicht nur durch ihre bedeutenden Konsequenzen bezüglich des EU-US Privacy Shields, sondern auch aufgrund ihres Inhalts im Hinblick auf Standardvertragsklauseln relevant.
1. Kernaussagen des Urteils bezüglich der Verwendung von Standardvertragsklauseln
EU-Standardvertragsklauseln können laut EuGH weiterhin unter bestimmten Voraussetzungen für die Übermittlung personenbezogener Daten in ein Drittland verwendet werden.
Die EU-Kommission ist nicht verpflichtet, beim Erlass von Standardvertragsklauseln das Datenschutzniveau der Drittstaaten zu überprüfen. Vielmehr liegt es in der Verantwortung des Datenexporteurs, für jede Datenübermittlung das Schutzniveau im Drittland zu prüfen und geeignete Garantien für den Schutz der übermittelten Daten vorzusehen – dabei kann es erforderlich sein, über die Standardvertragsklauseln hinaus ergänzende Garantien im Form zusätzlicher Maßnahmen vorzusehen. Der Datenexporteur ist verpflichtet, die Datenübermittlung auszusetzen oder zu beenden, wenn ein entsprechender Schutz durch zusätzliche Maßnahmen nicht hinreichend sichergestellt werden kann.
2. Gegenwärtige Konsequenzen der Entscheidung in der Praxis
In der Praxis heißt das, dass der Datenexporteur zunächst zu prüfen hat, ob die Gesetze im Land des Datenimporteurs mit den Vorgaben der Standardvertragsklauseln vereinbar sind. Insbesondere sind etwaige behördliche Zugriffsmöglichkeiten auf die exportierten Daten und deren Verhältnismäßigkeit nach EU-Recht auszuloten. Mögliche Vorgehensweisen für den Datenexporteur sind etwa
- das Einholen einer Bestätigung des Datenimporteurs, dass im Drittland nach seiner Kenntnis keine Gesetze bestehen, die einer vertragsgemäßen Verarbeitung personenbezogener Daten entgegenstehen
- die Aufnahme einer Vertragsklausel, welche für die Datenübermittlung an eine Behörde im Drittland deren Vereinbarkeit mit der DS-GVO zur Bedingung macht
- die Aufnahme einer Vertragsklausel, die einen behördlichen Zugriff auf die übermittelten Daten von einer Information des Datenexporteurs und dessen Genehmigung abhängig macht.
Darüber hinaus können zusätzliche technische-organisatorische Maßnahmen im Sinne des Art. 32 DS-GVO ergriffen werden, um einen rechtswidrigen Zugriff auf die übermittelten Daten zu verhindern. In Betracht kommen insbesondere
- der Einsatz einer Ende-zu-Ende-Verschlüsselung nach dem Stand der Technik unter Verwendung eines starken Kryptoalgorithmus
- die Anonymisierung von personenbezogenen Daten
- die Pseudonymisierung der Daten z.B. durch Einsatz eines Pseudonymisierung-Gateways oder Beauftragung eines Daten-Treuhänders.
3. Ausblick
Nachdem der Kommissionsbeschluss hinsichtlich des EU-US-Privacy-Shield als unzulässig erklärt wurde, überarbeitete die EU-Kommission den Beschluss 2010/87/EU und damit die gegenwärtig gültigen Standardvertragsklauseln. Das Ziel der Überarbeitung ist es, die Standardvertragsklauseln in vollen Einklang mit der DSGVO zu bringen, wobei insbesondere auch die „Schrems II“-Entscheidung berücksichtigt wurde. Die Kommission veröffentlichte bereits im November 2020 einen Entwurf der Überarbeitung. Die überarbeiteten Klauseln enthalten dementsprechend angemessene Garantien einschließlich durchsetzbarer Rechte der betroffenen Personen sowie wirksame Rechtsbehelfe. Zudem sind weitere Verpflichtungen zur Einhaltung der DS-GVO-Bestimmungen für Datenimporteure und vor allem Datenexporteure sowie Benachrichtigungspflichten enthalten. Weiterhin ist es den Vertragsparteien aber möglich, die Standardvertragsklauseln in einen Vertrag aufzunehmen und zu erweitern, sofern dies nicht den Standardvertragsklauseln widerspricht.
Vom In-Kraft-Treten des Entwurfes lässt sich eine Vereinfachung des internationalen Datenaustausches gegenüber dem Satus quo bei gesteigerter Rechtssicherheit erhoffen. Bis dahin sind die gegenwärtigen Standardvertragsklauseln grundsätzlich weiterhin für die Übermittlung von personenbezogene Daten anwendbar.
Ist eine Datenübermittlung in ein Drittland auch ohne Angemessenheitsbeschluss oder Standardvertragsklausel möglich?
Der EuGH hat in der „Schrems II“-Entscheidung außerdem festgestellt, dass die Unwirksamkeit des Privacy Shields (s.o.) nicht zu einem rechtlichen Vakuum führt, da Art. 49 DS-GVO regelt, unter welchen Voraussetzungen personenbezogene Daten in Drittländer übermittelt werden können, falls weder ein Angemessenheitsbeschluss noch geeignete Garantien – etwa in Form von Standardvertragsklauseln – bestehen.
Zunächst stellt sich die Frage, ob im Unionsrecht oder im Recht der Mitgliedstaaten Beschränkungen für bestimmte Kategorien von personenbezogenen Daten aus wichtigen Gründen des öffentlichen Interesses vorgesehen sind. Ist dies nicht der Fall, kann eine Übermittlung der Daten ins Ausland ausnahmsweise gemäß Art. 49 I 1 DS-GVO möglich sein. Dies kommt insbesondere in Betracht bei
- einer ausdrücklichen Einwilligung des Betroffenen
- der Erforderlichkeit der Übermittlung für die Durchführung eines zwischen dem Betroffenen und dem Verantwortlichen geschlossenen Vertrags
- der Notwendigkeit der Übermittlung aus wichtigen Gründen des öffentlichen Interesses
- der Erforderlichkeit der Übermittlung zur Geltendmachung von Rechtsansprüchen
- Erforderlichkeit der Übermittlung zum Schutz lebenswichtiger Interessen, sofern die betroffene Person außerstande ist, ihre Einwilligung zu geben.
Wenn auch die Voraussetzungen des Art. 49 I 1 DS-GVO nicht vorliegen, darf eine Übermittlung gemäß Art. 49 I 2 DSGVO nur dann erfolgen, wenn
- die Übermittlung nicht wiederholt erfolgt,
- nur eine begrenzte Zahl von Personen betroffen sind,
- die Übermittlung für die Wahrung der zwingenden berechtigten Interessen des Verantwortlichen erforderlich ist, vorausgesetzt die Interessen, Rechte oder Freiheiten des Betroffenen überwiegen nicht und der Verantwortliche angemessene Garantien für den Schutz der Daten vorgesehen hat.