Im LEGAL UPDATE #18 dreht sich alles um Datenschutz. Der Beitrag erläutert zwei hochaktuelle Themen: Erstens die neuen Standardvertragsklauseln der EU-Kommission und, zweitens, die jüngsten Entwicklungen rund um die datenschutzrechtliche Seite des BREXIT. Beleuchtet werden die damit verbundenen Hürden wie Erleichterungen im internationalen Datenverkehr.
1. Überschlagende Ereignisse
Beinahe rechtzeitig zum Jahrestag des schicksalhaften Schrems-II-Urteils (C-311/18) vom 16. Juli 2020 scheinen sich die Ereignisse zu überschlagen: Nachdem der Gerichtshof der Europäischen Union (“EuGH“) die Aufhebung des EU-US Privacy Shields beschlossen hat, haben datenverarbeitende Händler die Auswirkungen dieser folgenschweren Entscheidung zu spüren bekommen. Die Aufhebung des EU-US Privacy Shields sorgte für große Unsicherheiten bei der Übermittlung personenbezogener Daten in Drittländer und stellte die praxisferne Natur der Datenschutz-Grundverordnung (EU) 2016/678 (“DSGVO“) auf unschöne Weise zur Schau.
Zwei entscheidende Entwicklungen der letzten Wochen lassen zumindest für die nahe Zukunft auf Erleichterungen hoffen:
- Zum einen veröffentlichte die Kommission am 4. Juni 2021 neue Standardvertragsklauseln (sog. Standard Contractual Clauses, “SCC“) – Musterverträge, welche bei korrekter Verwendung eine geeignete Garantie für die Übermittlung personenbezogener Daten ins EWR-Ausland darstellen;
- zum anderen fasste die Europäische Kommission am 28. Juni 2021 einen Angemessenheitsbeschluss für das Vereinigte Königreich und läutete damit das vorläufige Ende des Zick-Zack-Kurses rund um die datenschutzrechtlichen Folgen des Brexit ein.
2. Neue Standardvertragsklauseln für Drittlandübermittlungen
Der Zweck der SCC lässt sich einfach erklären: Sie sollen die Einhaltung der gesetzlichen Schutzstandards der DSGVO auf vertraglicher Ebene gewährleisten. Demensprechend verpflichten sich die Vertragsparteien in den SCC zur Erfüllung der von der DSGVO geforderten Pflichten, obwohl diese nicht direkt im Drittland auf gesetzlicher Ebene erlassen wurden. Zusammen mit den anderen in Art 45 DSGVO angeführten geeigneten Garantien sowie den in Art 49 DSGVO behandelten Ausnahmen für bestimmte Fälle stellen sie somit eine Möglichkeit dar, datenschutzkonform personenbezogene Daten in Drittländer ohne Angemessenheitsbeschluss zu übermitteln.
SCC sind grundsätzlich keine neue Erfindung. Sie wurden bereits lange vor dem Inkrafttreten der DSGVO (Mai 2018) unter ihrer Vorgängerregelung verwendet und litten daher bereits an gewissen Altersschwächen. Die neuen SCC wurden nunmehr direkt auf die Anforderungen der DSGVO abgestimmt und berücksichtigen die Erfahrungen aus Schrems II entsprechend.
2.1 Welche Neuerungen müssen Händler beachten?
- Die alten SCC als Auslaufmodell
Die bisherigen SCC stellen seit Veröffentlichung der überarbeiteten Varianten nur mehr ein Auslaufmodell dar. Sie können nur noch bis zum 26. September 2021 neu vereinbart werden und darüber hinaus verlieren (sämtliche!) bisherigen SCC mit 28. Dezember 2022 ihre Gültigkeit. Das betrifft somit auch alle SCC, welche bisher von Händlern verwendet wurden. Hier besteht also ein dringender Nachverhandlungsbedarf mit den jeweiligen Vertragspartnern.
- Modularer Aufbau
Ein großer Vorteil der neuen SCC liegt in ihrem modularen und flexiblen Aufbau. Sie können zwischen Verantwortlichen, zwischen Auftragsverarbeitern und zwischen Verantwortlichen und Auftragsverarbeitern abgeschlossen werden. Dazu werden verschiedene Module bereitgestellt. Des Weiteren können zusätzliche Parteien den SCC auch nachträglich beitreten.
- SCC als Auftragsverarbeitungsvereinbarung
In Bezug auf ihren Umfang bieten die SCC eine wesentliche Neuerung: Der nach Art 28 DSGVO für den Einsatz von Auftragsverarbeitern zwingend abzuschließende Vertrag ist bereits in den SCC enthalten. Daher bedarf es hier keiner gesonderten Vereinbarung mit den Auftragsverarbeitern mehr.
(Hinweis: Zeitgleich mit der Veröffentlichung der SCC für Drittlandübermittlungen veröffentlichte die EU-Kommission auch SCC, welche einer reinen Auftragsverarbeitungsvereinbarung nach Art 28 DSGVO entsprechen; diese können vor allem für kleinere Unternehmen, ohne großes Datenschutzbudget von Nutzen sein.)
- Rechte der betroffenen Person
Ihrem Wesen nach binden die SCC ihre Vertragsparteien an Kernelemente der DSGVO und räumen daher den betroffenen Personen zahlreiche durchsetzbare Rechte ein (echte Drittbegünstigungen). Diese müssen bei ihrem Einsatz berücksichtigt und deren Erfüllung durch entsprechende Maßnahmen gewährleistet werden, was Unternehmer zur Vornahme von umfangreichen Maßnahmen verpflichtet.
- Keine (einschränkende) Abwandlung
Um die Einhaltung des geforderten Schutzniveaus zu gewährleisten, dürfen die SCC – wie auch bisher üblich – nicht abgewandelt werden. Lediglich zusätzliche Garantien für den Schutz personenbezogener Daten können frei ergänzt werden. Auch spielt es keine Rolle, ob die SCC individuell mit den jeweiligen Vertragspartnern vereinbart werden oder Teil eines größeren Vertragswerkes (z. B. von AGB) sind, da den SCC Vorrang vor widersprüchlichen vertraglichen Bestimmungen zukommt.
- Berücksichtigung von behördlichen Zugriffsmöglichkeiten
Vorrangiger Grund für die Aufhebung des EU-US Privacy Shields waren die weitreichenden Zugriffsmöglichkeiten von amerikanischen Behörden auf personenbezogene Daten von EU-Bürgern. Daher ist es wenig verwunderlich, dass dieser Punkt bei der Überarbeitung der SCC besonders berücksichtigt wurde.
So trifft die Parteien bei Verwendung der SCC die Pflicht, eine Folgeabschätzung und Gesamtbeurteilung des Datentransfers nach einem risikobasierten Ansatz durchzuführen (ein sog. Transfer Impact Assessment). Darin ist festzustellen, ob die vertraglichen Bestimmungen der SCC der rechtlichen Lage im Drittland standhalten und vom Datenimporteur eingehalten werden können. Konkret führt dies zu weitrechenden Dokumentationspflichten, wobei die Dokumentation der zuständigen Aufsichtsbehörde auf Verlangen herauszugeben ist.
Ergänzt wird die Pflicht zur Folgeabschätzung mit der Verpflichtung des Datenimporteurs, bei einem rechtlich bindenden Ersuchen zur Offenlegung von einer Behörde, diesen Umstand seinem Vertragspartner mitzuteilen und gegen dieses Ersuchen in gewissem Umfang rechtliche Schritte einzuleiten.
- Datenimporteure im Anwendungsbereich der DSGVO
Nach den Erwägungsgründen der SCC können diese nicht mit Datenimporteuren abgeschlossen werden, welche bereits der DSGVO unterliegen. Im Ergebnis steht diese Bestimmung u. E. jedoch im Widerspruch mit dem System des Drittlandtransfers der DSGVO.
Problematisch ist dieser Umstand bspw. in Bezug auf europäische Tochtergesellschaften von amerikanischen Großkonzernen, welche nach dieser Bestimmung keine geeigneten Vertragspartner für SCC wären. Diese agieren vielfach im Anwendungsbereich der DSGVO, da sie im Rahmen einer Niederlassung in der EU personenbezogene Daten verarbeiten.
Im Ergebnis könnten die SCC daher nicht für Datenübermittlungen in dieser praktisch bedeutsamen Konstellation (z. B. bei der Verwendung von Google Analytics) herangezogen werden. Mangels Alternativen empfiehlt es sich derzeit dennoch, die neuen SCC mit den fraglichen Unternehmen abzuschließen (hier wird allerdings ohnehin eine Initiative der [potentiellen] Vertragspartner abzuwarten sein).
2.2 Fazit
Dass die neuen SCC sämtliche datenschutzrechtlichen Probleme beheben können, welche durch das Schrems-II-Urteil ans Tageslicht gerückt sind, lässt sich – unter anderem schon aufgrund der kniffligen Umsetzung – anzweifeln. In der Realität stellen sie jedoch vielfach die einzige praktikable Lösung dar.
Grundsätzlich bilden die neuen SCC eine solide Grundlage für die Übermittlung personenbezogener Daten in Drittländer. Allerdings hängt die Rechtssicherheit – und letzten Endes damit auch das Risiko für die betroffene Person – maßgeblich von der Kooperations- und Umsetzungsbereitschaft der Parteien ab. Für eine korrekte Implementierung sind zahlreiche Schritte zu beachten und der doch recht weit gefasste Umfang der SCC verlangt den Drittlandunternehmen einiges ab. Es ist fraglich, ob sich diese dermaßen umfänglich einem für sie fremden Datenschutzregime und seinen weitreichenden Verpflichtungen unterwerfen wollen oder können.
3. Angemessenheitsbeschluss für das Vereinigte Königreich
Der Brexit sorgte auch in datenschutzrechtlicher Hinsicht für viele Bedenken. Nach dem offiziellen Austritt des Vereinigten Königreiches wurde für die Dauer einer Schonfrist der Transfer von Daten in das Vereinigte Königreich noch nicht als Drittlandtransfer angesehen. Die Schonfrist sollte der EU und dem Vereinigten Königreich die Möglichkeit geben, ihre datenschutzrechtliche Beziehung nach dem Brexit zu regeln. (Für eine genauere Darstellung dieses Sachverhaltes verweisen wir auf das Legal Update #7: Brexit und die datenschutzrechtlichen Folgen.)
3.1 Das Rennen um einen Angemessenheitsbeschluss
Das Rennen um einen Angemessenheitsbeschluss für das Vereinigte Königreich ist wohl vergleichbar mit einer knappen Partie Fußball, in welcher während der Verlängerung das entscheidende Tor fällt. Nachdem die Übergangsfrist nach dem Brexit mehrmals ungenützt verlängert wurde, kam es in letzter Minute zu einem Abseitstor. Der bereits mit dem Brexit angesetzte Angemessenheitsbeschluss für das Vereinigte Königreich scheiterte etwas mehr als einen Monat vor Ende der Übergangsfrist im Europäischen Parlament an der benötigten Mehrheit und setzte damit den Hoffnungen für einen möglichst komfortablen Übergang in datenschutzrechtlichen Angelegenheiten ein jähes Ende.
Hauptgründe hierfür waren zum einen Bedenken über zukünftige Angemessenheitsbeschlüsse des Vereinigten Königreiches für diverse Drittstaaten, welchen von der EU selbst kein angemessenes Datenschutzniveau beigemessen wird. Auf deren Grundlage könnten dann EU-Daten aus dem Vereinigten Königreich an die fraglichen Drittstaaten fließen. Zum anderen kamen auch in Bezug auf das Vereinigte Königreich Sorgen über zu weitreichende Befugnisse und Zugriffsmöglichkeiten der Geheimdienste auf personenbezogene Daten auf.
Doch dann fasste die Kommission am 28. Juni – trotz Berücksichtigungspflicht der Entscheidung des Europäischen Parlaments bei ihrem weiteren Vorgehen –, zwei Tage vor dem Ende der bereits verlängerten Schonfrist, unerwartet zwei Angemessenheitsbeschlüsse für das Vereinigte Königreich und gab damit ökonomischen Überlegungen den Vorzug vor den Bedenken des Parlaments und des Europäischen Datenschutzausschusses (EDSA). (Zeitgleich wurde von der Kommission ein zweiter Angemessenheitsbeschluss Rahmen der Richtlinie zum Datenschutz bei der Strafverfolgung gefasst.)
3.2 Folgen für Unternehmer und möglicher Ausblick in die Zukunft
Für betroffene Unternehmer dürfte diese Entscheidung in letzter Minute dennoch ein Grund zur Freude sein. Durch den Angemessenheitsbeschluss können nun personenbezogenen Daten weiterhin – ohne Beiziehung geeigneter Garantien oder anderer Hilfsmittel – in das Vereinigte Königreich übertragen werden.
Bezüglich ihrer Entscheidung gab die Kommission zu erkennen, dass die geäußerten Bedenken nicht unberücksichtigt geblieben sind und besonders auf ein zukünftiges Auseinanderdriften der beiden Datenschutzregime der EU und des Vereinigten Königreiches Bedacht zu nehmen ist. Dennoch sei nicht zu verkennen, dass das Datenschutzsystem des Vereinigten Königreiches weiterhin auf denselben Grundsätzen und Regeln basiert, welche auch der DSGVO zugrunde liegen und das Vereinigte Königreich starke Garantien in Bezug auf Zugriffrechte durch Behörden biete.
Vorerst dürfte daher der Brexit zumindest in datenschutzrechtlicher Hinsicht ein glimpfliches Ende genommen haben. Ob die Angelegenheit damit endgültig bereinigt wurde, bleibt jedoch noch abzuwarten. In der Vergangenheit hat sich bereits gezeigt, dass ein zu eigenmächtiges Vorgehen der Kommission in Bezug auf Angemessenheitsbeschlüsse zu Konsequenzen führen kann (so etwa bei der Aufhebung des EU-US Privacy Shields), da für den EuGH als Kontrollinstanz für die korrekte Auslegung und Anwendung von EU-Recht ökonomische Überlegungen keine Rolle spielen.
STADLER VÖLKEL Rechtsanwälte bietet qualifizierte Beratung in ausgewählten Schwerpunktbereichen wie Wirtschafts- & Bankenrecht sowie Kryptowährungen. Mehr Infos finden Sie unter: www.sv.law
