Autoren
Paul Voigt

Dr. Paul Voigt, Lic. en Derecho, CIPP/E

Partner

Read More
Wiebke Reuter

Wiebke Reuter, LL.M.

Senior Associate

Read More
Autoren
Paul Voigt

Dr. Paul Voigt, Lic. en Derecho, CIPP/E

Partner

Read More
Wiebke Reuter

Wiebke Reuter, LL.M.

Senior Associate

Read More

18. Oktober 2022

Newsletter Technology - November 2022 – 4 von 4 Insights

Der Countdown läuft: Bis zum 26. Dezember 2022 müssen alle Datentransfers auf die neuen Standardvertragsklauseln umgestellt werden

  • In-depth analysis

Hintergrund

Das EuGH-Urteil in Sachen Schrems II (Rechtssache C-311/1) brachte nicht nur das Ende für das EU-US-Privacy Shield, sondern war auch der Anstoß für die Europäische Kommission, sich mehr als zwei Jahre nach Inkrafttreten der DSGVO der Aufgabe zu stellen, neue Standardvertragsklauseln („SCCs 2021“) zu erlassen.

Bereits seit Juni 2021 können die alten Standardvertragsklauseln nicht mehr für neue bzw. abgeänderte Datentransfers aus der EU in ein Drittland verwendet werden. Für bestehende Datentransfers hatte die Europäische Kommission den Parteien eine Übergangsfrist eingeräumt; diese endet zum 27. Dezember 2022. Ab diesem Tag können ausschließlich die SCCs 2021 zur Absicherung von Drittlandtransfers verwendet werden (sofern sonstige Rechtfertigungsmechanismen nach der DSGVO nicht vorliegen).

Welche Schritte müssen Datenexporteure jetzt ergreifen?

Soweit noch nicht geschehen, sollten Datenexporteure Folgendes tun:

  • Datentransfers ins Drittland identifizieren.
  • Ermitteln, welche dieser Transfers derzeit noch mit den alten SCCs abgesichert werden.
  • Datenimporteur kontaktieren, um Abschluss der SCCs 2021 zu initiieren.

Was ist in Vorbereitung auf den Abschluss der SCCs 2021 zu tun?

„Abschluss-Modus“ bestimmen

Anders als die bisherigen Standardvertragsklauseln sind die SCCs 2021 modular aufgebaut. Das bedeutet, dass vier verschiedene Transferkonstellationen in einem Dokument abgedeckt werden:

  • Modul 1: Controller-to-Controller
  • Modul 2: Controller-to-Processor
  • Modul 3: Processor-to-Processor
  • Modul 4: Processor-to-Controller

Grundsätzlich sieht die EU-Kommission vor, dass die Parteien aus dem Konvolut entsprechende Einzelverträge zusammenbauen je nachdem, welches Modul für sie relevant ist. Wer sich diese Fleißarbeit sparen will, kann hier für den Taylor Wessing SCC Generator nutzen.

Alternativ scheint es vertretbar, die SCCs 2021 „per Referenz“ in einen Hauptvertrag einzubeziehen. Dies hat den Vorteil, dass nicht das gesamte (sehr lange) Vertragswerk in den Hauptvertrag mitaufgenommen werden muss, sondern einfach auf die Standardvertragsklauseln „verwiesen“ werde kann. Zu beachten ist jedoch, dass auch in diesem Fall deutlich werden muss, welches Modul abgeschlossen werden soll. Ferner muss eine Entscheidung bezüglich aller optionalen Klauseln sowie der auszufüllenden Platzhalter getroffen werden (siehe dazu im Folgenden). In der Regel ist deshalb erforderlich, dass neben der eigentlichen Referenz auf die SCCs 2021 die zusätzlich erforderlichen Informationen etwa in Form einer Anlage zum Hauptvertrag bereitgestellt werden müssen.

Ausfüllungsbedarf bei optionalen und fakultativen Klauseln

Die SCCs 2021 enthalten in Klausel 7 (Kopplungsklausel), Klausel 9 (Unterauftragsverarbeiter) und Klausel 11 (Unabhängige Streitbeilegungsstelle) optionale bzw. fakultative Klauseln. Ferner stellt sich regelmäßig die Frage, ob eine Haftungsklausel aufgenommen werden kann/sollte:

  • Klausel 7 ermöglicht einen späteren Beitritt weiterer Parteien sowohl auf Seiten des Datenexporteurs als auch des -importeurs. Die Klausel schafft für die Parteien Flexibilität, weil sie spätere Anpassungen der Beteiligten beim Datentransfer ermöglicht, ohne dass erneut die SCCs 2021 abgeschlossen werden müssen. Der Beitritt erfolgt einfach dadurch, dass der Beitretende den Anhang I.A. ausfüllt und unterzeichnet. Klausel 7 ist besonders relevant für konzerninterne Datenübermittlungen. Ist die Anzahl solcher Transfers jedoch sehr hoch, bieten andere Lösungen, wie etwa ein flexibleres und weitreichenderes „Intragroup Transfer Agreement“, in der Praxis oft sachgerechtere Lösungen.
  • Klausel 9 regelt den Einsatz von Unterauftragsverarbeitern. Hier kann der Datenexporteur zwischen zwei Optionen wählen: (1) Zustimmung zu jedem neuen Unterauftragsverarbeiter oder (2) Widerspruchsrecht. In beiden Fällen muss eine Frist für den Exporteur bestimmt werden, die die Interessen der Parteien angemessen berücksichtigt. Bei Option 2 können die Parteien erwägen, eine Regelung zu den Folgen eines solchen Widerspruchs vorzusehen; die SCCs 2021 selbst schweigen nämlich dazu.
  • Klausel 11 bezieht sich auf die Möglichkeit, Beschwerden auch bei einer unabhängigen Streitbeilegungsstelle einzureichen. Da diese Klausel den Parteien in der Regel kaum Vorteile bietet, ist sie in der Praxis von geringer Relevanz.
  • Zur Haftung regelt Klausel 12, dass die Parteien in Bezug auf den Datentransfer grundsätzlich unbeschränkt haften. Problematisch sind daher Haftungsklauseln im Hauptvertrag, die diesen Aspekt miterfassen und dabei der Klausel 12 widersprechen. Denn ein entsprechender Widerspruch könnte zur Unwirksamkeit der SCCs 2021 insgesamt führen. In diesem Fall würden die SCCs als Absicherung für den Drittlandtransfer wegfallen und die Parteien sähen sich einem Verstoß gegen die DSGVO ausgesetzt. Bei der Formulierung einer Haftungsklausel ist daher besondere Aufmerksamkeit gefragt.

Anwendbares Recht und Gerichtsstand wählen

Anders als bisher erlauben die SCCs 2021 den Parteien in Klausel 17 das anwendbare Recht und in Klausel 18 den Gerichtsstand selbst zu wählen. Es bestehen insofern die folgenden Optionen:

Rechtswahl: 

  • Modul 1: Recht eines, der EU-Mitgliedstaaten, der Recht als Dittbegünstigte zulässt
  • Modul 2 + 3: i.d.R. Recht des Datenexporteurs
  • Modul 4: Jedes Recht weltweit

Gerichtsstand: 

  • Modul 1: Gericht eines EU-Mitgliedstaates
  • Modul 2+3: Gericht eines EU-Mitgliedstaates
  • Modul 4: Jedes Gericht weltweit

Nach unserer Kenntnis gewähren im Datenschutzbereich inzwischen alle EU-Mitgliedstaaten entsprechende Drittbegünstigtenrechte, sodass bei Modul 1 faktisch wohl jedes EU-Recht gewählt werden kann.

Die Wahl des anwendbaren Rechts und Gerichtsstands ist besonders relevant für Fälle, in denen der Hauptvertrag nicht EU-Recht/-Gerichten unterliegt und dadurch eine Divergenz zwischen Hauptvertrag und SCCs 2021 entsteht.

Anhänge ausfüllen

Wie bisher auch müssen die Details zum Datentransfer (Informationen zu den Parteien, Details zur Übermittlung, Informationen zu TOMs und Unterauftragsverarbeitern), der mit den SCCs abgesichert werden soll, in den Anhängen zu den Klauseln ergänzt werden. Anders als bei den alten SCCs ist jedoch die Erwartung der Kommission an den Detailgrad deutlich gestiegen. Ein Beispiel dafür, was hier erwartet wird, findet sich in Frage 39 der Q&A zu den SCCs 2022, die die EU-Kommission veröffentlicht hat.

 

Transfer Impact Assessment (TIA) durchführen

Kernelement der neuen SCCs ist das sog. TIA. Die vertragliche Verpflichtung ergibt sich unmittelbar aus Klausel 14 lit. b und d der SCCs 2021 und spiegelt insofern die entsprechende Pflicht aus der DSGVO und nicht zuletzt der Schrems II-Entscheidung.

Was ist das TIA?

Das TIA verpflichtet die Parteien, eine Beurteilung vorzunehmen, ob die geltenden Rechtsvorschriften und Gepflogenheiten im Bestimmungsdrittland des Datenimporteurs (insbesondere in Bezug auf Datenzugriffe durch Geheimdienste) den Datenimporteur an der Erfüllung seiner Pflichten gemäß SCCs 2021 hindern. Es bedarf also der Beurteilung nationaler Rechtsvorschriften im Empfängerland.

Bei strenger Auslegung müsste man davon ausgehen, dass der Datenexporteur demnach eine konkrete Prüfung veranlassen muss – etwa unter Mithilfe eines lokalen Rechtsanwalts. Nicht unvertretbar scheint aber auch der Ansatz, dass der Datenexporteur den Importeur um eine Einschätzung bittet und sich insofern auf Auskünfte des Datenimporteurs verlassen kann. Zumindest um einen Plausibilitätscheck kommt der Exporteur aber wohl nicht umhin. Bei den Erwägungen bezüglich des Prüfungsansatzes sollte auch nicht außer Acht gelassen werden, dass eine gewisse Wahrscheinlichkeit dafür besteht, dass die Beurteilung für die meisten nationalen Rechtsvorschriften ergeben wird, dass das lokale Recht keine angemessenen Schutzgarantien bietet. Dabei ist zu berücksichtigen, dass selbst nationale Vorschriften der EU-Mitgliedstaaten datenschutzrechtlich vereinzelt Bedenken begegnen, wie jüngst das Urteil des EuGH zur deutschen Regelung zur Vorratsdatenspeicherung zeigte (Rechtssache C-793/19, C-794/19 u.a.). Es scheint daher aus Gründen der Effizienz ratsam, einen pragmatischen Ansatz zu wählen, der sich im Zweifel weniger auf die Bewertung des Rechts und stattdessen mehr auf die Identifizierung möglicher weiterer Schutzmaßnahmen konzentriert.

Hinweis: Anfang Oktober dieses Jahres hat Präsident Biden eine Durchführungsverordnung („Executive Order (EO)“) für die Verbesserung der Schutzmaßnahmen für Betroffene bei Aktivitäten der US-Nachrichtendienste unterzeichnet. Die EO soll die vom EuGH in der Schrems-II-Entscheidung aufgeworfenen Fragen klären und den Weg für ein neues EU-US-Abkommen zum Datentransfer ebnen. Die Regelungen sind mit sofortiger Wirkung in Kraft getreten. Eine abschließende Bewertung der EU durch die Europäische Kommission wird bis März 2023 erwartet. Bereits vor diesem Zeitpunkt könnten die Vorgaben aus der EO jedoch das Ergebnis eines TIA bei einer Datenübermittlung in die USA beeinflussen und damit das Risiko entsprechender Transfers senken.

Wer muss das TIA durchführen?

Die EU-Kommission scheint die (Haupt-)Verantwortlichkeit (auch vertraglich) primär beim Datenexporteur zu sehen Der Wortlaut der Klausel 14 legt nahe, dass zumindest eine Kooperationspflicht des Datenimporteurs besteht. Das erscheint auch sachgerecht, weil der Datenexporteur bei der Beurteilung auf die Mithilfe des Importeurs angewiesen ist.

Welche Transfers müssen bewertet werden?

Klausel 14 ist nicht eindeutig in Bezug auf die Frage, wieweit „entlang der Kette“ das TIA durchgeführt werden muss, also insbesondere, ob auch die Unter-Unter-Unterauftragsverarbeiter noch einbezogen werden müssen. Wenngleich die Datenschutzaufsichtsbehörden hier von einer weitreichenden Prüfungspflicht „entlang der Kette“ ausgehen, hat sich in der Praxis vielfach ein pragmatischer Ansatz durchgesetzt: Viele Datenexporteure beziehen nur die erste Stufe (also Übermittlung Datenimporteur an Unterauftragnehmer) in die Bewertung ein, lassen jede weitere Übermittlung jedoch unberücksichtigt.

Was bedeutet die TIA-Verpflichtung für EU-Datenübermittlungen auf erster Ebene?

Für Datenübermittlungen von einem Exporteur in der EU an einen Importeur in der EU besteht keine Pflicht zur Durchführung des TIA, weil es an einem Drittlandbezug fehlt. Regelmäßig setzen in solchen Konstellationen die Datenimporteure aber ihrerseits (Unter-)Auftragsverarbeiter im Drittland ein. Wird diese Übermittlung mit den SCCs (Modul 2 bzw. 3) abgesichert, sind der EU-Importeur und der (Unter-)Auftragsverarbeiter Adressat der Klausel 14 und somit für das TIA verantwortlich, nicht jedoch der europäische Verantwortliche. Letzterer hat jedoch wohl trotzdem eine Pflicht aus Art. 28 DSGVO sicherzustellen, dass das TIA in vernünftiger Art und Weise durchgeführt wird. Eine Maßnahme zur Kontrolle könnte dabei sein, eine entsprechende vertragliche Verpflichtung für den Auftragsverarbeiter zur Durchführung des TIA in den Auftragsverarbeitungsvertrag aufzunehmen.

Was ist mit Datenübermittlungen aus der Schweiz und UK?

Für Datenübermittlungen aus der Schweiz und UK finden die SCCs nur unmittelbar Anwendung, soweit diese Transfers der DSGVO unterfallen. In der Regel findet zusätzlich jedoch auch das Schweizer bzw. UK Datenschutzrecht Anwendung. Die Behörden der beiden Länder haben daher jeweils entschieden, dass sie die SCCs auch für Datenübermittlungen nach dem jeweiligen nationalen Recht anerkennen, wenn die Parteien bestimmte Anpassungen vornehmen.

Abweichungen gibt es beim Ablauf der Umsetzungsfristen:

  • Frist für die Umstellung in der Schweiz: 31.12.2022
  • Frist für die Umstellung in UK: 21.03.2024

Aber Achtung: Das gilt natürlich nur für solche Transfers, die ausschließlich unter das UK bzw. Schweizer Datenschutzrecht fallen. Für Datenübermittlungen, auf die (auch) die (EU-)DSGVO Anwendung findet, bleibt es beim Fristablauf am 26. Dezember 2022.

Hilfestellungen für das TIA

Gerade Datenexporteure, die eine Vielzahl von Drittlandsübermittlungen bewerten müssen, werden diese „händisch“ kaum in einem überschaubaren Rahmen bewältigen können, insbesondere nicht innerhalb der nächsten zwei Monate.

Unterstützung kann das Taylor Wessing TIA Tool bieten. Es ist eine Lösung für die Verwaltung, Durchführung und Dokumentation aller TIAs. Das TIA-Tool vereinfacht und automatisiert dabei alle relevanten Prozesse im Zusammenhang mit TIAs. Bei Fragen sprechen Sie uns gerne an.

In dieser Serie

Copyright & Media Law

Der Digital Services Act – ein Überblick

Philipp Koehler und Gregor Schmid beleuchten die wichtigsten Aspekte des neuen EU-Gesetzes über digitale Dienste (Digital Services Act)

3. November 2022

von Dr. Gregor Schmid, LL.M. (Cambridge), Philipp Koehler

Copyright & Media Law

Ein Jahr danach: Die DSM-Urheberrechtsrichtlinie in der Praxis

Ein Überblick über die Umsetzung von Art. 17 und Art. 18-23 der DSM-Urheberrechtsrichtlinie in Deutschland, Spanien, Frankreich, Italien und den Niederlanden

21. October 2022

von mehreren Autoren

Call To Action Arrow Image

Newsletter-Anmeldung

Wählen Sie aus unserem Angebot Ihre Interessen aus!

Jetzt abonnieren
Jetzt abonnieren

Related Insights

Technology, Media & Communications

The EU-U.S. Data Privacy Framework (DPF) is coming

21. Dezember 2022
In-depth analysis

von mehreren Autoren

Klicken Sie hier für Details
Datenschutz & Cyber-Sicherheit

The Cyber Resilience Act

Paul Voigt looks at the EU's plans to protect the security of digital products.

4. Oktober 2022
Briefing

von Dr. Paul Voigt, Lic. en Derecho, CIPP/E

Klicken Sie hier für Details
Technology, Media & Communications

Trans-Atlantic Data Privacy Framework (TADPF) - the road ahead

4. April 2022
In-depth analysis

von mehreren Autoren

Klicken Sie hier für Details