Anders als die bisherigen Standardvertragsklauseln sind die SCCs 2021 modular aufgebaut. Das bedeutet, dass vier verschiedene Transferkonstellationen in einem Dokument abgedeckt werden:

• Modul 1: Controller-to-Controller
• Modul 2: Controller-to-Processor
• Modul 3: Processor-to-Processor
• Modul 4: Processor-to-Controller

Grundsätzlich sieht die EU-Kommission vor, dass die Parteien aus dem Konvolut entsprechende Einzelverträge zusammenbauen je nachdem, welches Modul für sie relevant ist. Wer sich diese Fleißarbeit sparen will, kann hier für den Taylor Wessing SCC Generator nutzen.

Alternativ scheint es vertretbar, die SCCs 2021 „per Referenz“ in einen Hauptvertrag einzubeziehen. Dies hat den Vorteil, dass nicht das gesamte (sehr lange) Vertragswerk in den Hauptvertrag mitaufgenommen werden muss, sondern einfach auf die Standardvertragsklauseln „verwiesen“ werde kann. Zu beachten ist jedoch, dass auch in diesem Fall deutlich werden muss, welches Modul abgeschlossen werden soll. Ferner muss eine Entscheidung bezüglich aller optionalen Klauseln sowie der auszufüllenden Platzhalter getroffen werden (siehe dazu im Folgenden). In der Regel ist deshalb erforderlich, dass neben der eigentlichen Referenz auf die SCCs 2021 die zusätzlich erforderlichen Informationen etwa in Form einer Anlage zum Hauptvertrag bereitgestellt werden müssen.

Die SCCs 2021 enthalten in Klausel 7 (Kopplungsklausel), Klausel 9 (Unterauftragsverarbeiter) und Klausel 11 (Unabhängige Streitbeilegungsstelle) optionale bzw. fakultative Klauseln. Ferner stellt sich regelmäßig die Frage, ob eine Haftungsklausel aufgenommen werden kann/sollte:

• Klausel 7 ermöglicht einen späteren Beitritt weiterer Parteien sowohl auf Seiten des Datenexporteurs als auch des -importeurs. Die Klausel schafft für die Parteien Flexibilität, weil sie spätere Anpassungen der Beteiligten beim Datentransfer ermöglicht, ohne dass erneut die SCCs 2021 abgeschlossen werden müssen. Der Beitritt erfolgt einfach dadurch, dass der Beitretende den Anhang I.A. ausfüllt und unterzeichnet. Klausel 7 ist besonders relevant für konzerninterne Datenübermittlungen. Ist die Anzahl solcher Transfers jedoch sehr hoch, bieten andere Lösungen, wie etwa ein flexibleres und weitreichenderes „Intragroup Transfer Agreement“, in der Praxis oft sachgerechtere Lösungen.
• Klausel 9 regelt den Einsatz von Unterauftragsverarbeitern. Hier kann der Datenexporteur zwischen zwei Optionen wählen: (1) Zustimmung zu jedem neuen Unterauftragsverarbeiter oder (2) Widerspruchsrecht. In beiden Fällen muss eine Frist für den Exporteur bestimmt werden, die die Interessen der Parteien angemessen berücksichtigt. Bei Option 2 können die Parteien erwägen, eine Regelung zu den Folgen eines solchen Widerspruchs vorzusehen; die SCCs 2021 selbst schweigen nämlich dazu.
• Klausel 11 bezieht sich auf die Möglichkeit, Beschwerden auch bei einer unabhängigen Streitbeilegungsstelle einzureichen. Da diese Klausel den Parteien in der Regel kaum Vorteile bietet, ist sie in der Praxis von geringer Relevanz.
• Zur Haftung regelt Klausel 12, dass die Parteien in Bezug auf den Datentransfer grundsätzlich unbeschränkt haften. Problematisch sind daher Haftungsklauseln im Hauptvertrag, die diesen Aspekt miterfassen und dabei der Klausel 12 widersprechen. Denn ein entsprechender Widerspruch könnte zur Unwirksamkeit der SCCs 2021 insgesamt führen. In diesem Fall würden die SCCs als Absicherung für den Drittlandtransfer wegfallen und die Parteien sähen sich einem Verstoß gegen die DSGVO ausgesetzt. Bei der Formulierung einer Haftungsklausel ist daher besondere Aufmerksamkeit gefragt.
  
  

Anders als bisher erlauben die SCCs 2021 den Parteien in Klausel 17 das anwendbare Recht und in Klausel 18 den Gerichtsstand selbst zu wählen. Es bestehen insofern die folgenden Optionen:

Rechtswahl: 

• Modul 1: Recht eines, der EU-Mitgliedstaaten, der Recht als Dittbegünstigte zulässt
• Modul 2 + 3: i.d.R. Recht des Datenexporteurs
• Modul 4: Jedes Recht weltweit

Gerichtsstand: 

• Modul 1: Gericht eines EU-Mitgliedstaates
• Modul 2+3: Gericht eines EU-Mitgliedstaates
• Modul 4: Jedes Gericht weltweit

Nach unserer Kenntnis gewähren im Datenschutzbereich inzwischen alle EU-Mitgliedstaaten entsprechende Drittbegünstigtenrechte, sodass bei Modul 1 faktisch wohl jedes EU-Recht gewählt werden kann.

Die Wahl des anwendbaren Rechts und Gerichtsstands ist besonders relevant für Fälle, in denen der Hauptvertrag nicht EU-Recht/-Gerichten unterliegt und dadurch eine Divergenz zwischen Hauptvertrag und SCCs 2021 entsteht.

Wie bisher auch müssen die Details zum Datentransfer (Informationen zu den Parteien, Details zur Übermittlung, Informationen zu TOMs und Unterauftragsverarbeitern), der mit den SCCs abgesichert werden soll, in den Anhängen zu den Klauseln ergänzt werden. Anders als bei den alten SCCs ist jedoch die Erwartung der Kommission an den Detailgrad deutlich gestiegen. Ein Beispiel dafür, was hier erwartet wird, findet sich in Frage 39 der Q&A zu den SCCs 2022, die die EU-Kommission veröffentlicht hat.

Kernelement der neuen SCCs ist das sog. TIA. Die vertragliche Verpflichtung ergibt sich unmittelbar aus Klausel 14 lit. b und d der SCCs 2021 und spiegelt insofern die entsprechende Pflicht aus der DSGVO und nicht zuletzt der Schrems II-Entscheidung.

Was ist das TIA?

Das TIA verpflichtet die Parteien, eine Beurteilung vorzunehmen, ob die geltenden Rechtsvorschriften und Gepflogenheiten im Bestimmungsdrittland des Datenimporteurs (insbesondere in Bezug auf Datenzugriffe durch Geheimdienste) den Datenimporteur an der Erfüllung seiner Pflichten gemäß SCCs 2021 hindern. Es bedarf also der Beurteilung nationaler Rechtsvorschriften im Empfängerland.

Bei strenger Auslegung müsste man davon ausgehen, dass der Datenexporteur demnach eine konkrete Prüfung veranlassen muss – etwa unter Mithilfe eines lokalen Rechtsanwalts. Nicht unvertretbar scheint aber auch der Ansatz, dass der Datenexporteur den Importeur um eine Einschätzung bittet und sich insofern auf Auskünfte des Datenimporteurs verlassen kann. Zumindest um einen Plausibilitätscheck kommt der Exporteur aber wohl nicht umhin. Bei den Erwägungen bezüglich des Prüfungsansatzes sollte auch nicht außer Acht gelassen werden, dass eine gewisse Wahrscheinlichkeit dafür besteht, dass die Beurteilung für die meisten nationalen Rechtsvorschriften ergeben wird, dass das lokale Recht keine angemessenen Schutzgarantien bietet. Dabei ist zu berücksichtigen, dass selbst nationale Vorschriften der EU-Mitgliedstaaten datenschutzrechtlich vereinzelt Bedenken begegnen, wie jüngst das Urteil des EuGH zur deutschen Regelung zur Vorratsdatenspeicherung zeigte (Rechtssache C-793/19, C-794/19 u.a.). Es scheint daher aus Gründen der Effizienz ratsam, einen pragmatischen Ansatz zu wählen, der sich im Zweifel weniger auf die Bewertung des Rechts und stattdessen mehr auf die Identifizierung möglicher weiterer Schutzmaßnahmen konzentriert.

Hinweis: Anfang Oktober dieses Jahres hat Präsident Biden eine Durchführungsverordnung („Executive Order (EO)“) für die Verbesserung der Schutzmaßnahmen für Betroffene bei Aktivitäten der US-Nachrichtendienste unterzeichnet. Die EO soll die vom EuGH in der Schrems-II-Entscheidung aufgeworfenen Fragen klären und den Weg für ein neues EU-US-Abkommen zum Datentransfer ebnen. Die Regelungen sind mit sofortiger Wirkung in Kraft getreten. Eine abschließende Bewertung der EU durch die Europäische Kommission wird bis März 2023 erwartet. Bereits vor diesem Zeitpunkt könnten die Vorgaben aus der EO jedoch das Ergebnis eines TIA bei einer Datenübermittlung in die USA beeinflussen und damit das Risiko entsprechender Transfers senken.

Wer muss das TIA durchführen?

Die EU-Kommission scheint die (Haupt-)Verantwortlichkeit (auch vertraglich) primär beim Datenexporteur zu sehen Der Wortlaut der Klausel 14 legt nahe, dass zumindest eine Kooperationspflicht des Datenimporteurs besteht. Das erscheint auch sachgerecht, weil der Datenexporteur bei der Beurteilung auf die Mithilfe des Importeurs angewiesen ist.

Welche Transfers müssen bewertet werden?

Klausel 14 ist nicht eindeutig in Bezug auf die Frage, wieweit „entlang der Kette“ das TIA durchgeführt werden muss, also insbesondere, ob auch die Unter-Unter-Unterauftragsverarbeiter noch einbezogen werden müssen. Wenngleich die Datenschutzaufsichtsbehörden hier von einer weitreichenden Prüfungspflicht „entlang der Kette“ ausgehen, hat sich in der Praxis vielfach ein pragmatischer Ansatz durchgesetzt: Viele Datenexporteure beziehen nur die erste Stufe (also Übermittlung Datenimporteur an Unterauftragnehmer) in die Bewertung ein, lassen jede weitere Übermittlung jedoch unberücksichtigt.

Was bedeutet die TIA-Verpflichtung für EU-Datenübermittlungen auf erster Ebene?

Für Datenübermittlungen von einem Exporteur in der EU an einen Importeur in der EU besteht keine Pflicht zur Durchführung des TIA, weil es an einem Drittlandbezug fehlt. Regelmäßig setzen in solchen Konstellationen die Datenimporteure aber ihrerseits (Unter-)Auftragsverarbeiter im Drittland ein. Wird diese Übermittlung mit den SCCs (Modul 2 bzw. 3) abgesichert, sind der EU-Importeur und der (Unter-)Auftragsverarbeiter Adressat der Klausel 14 und somit für das TIA verantwortlich, nicht jedoch der europäische Verantwortliche. Letzterer hat jedoch wohl trotzdem eine Pflicht aus Art. 28 DSGVO sicherzustellen, dass das TIA in vernünftiger Art und Weise durchgeführt wird. Eine Maßnahme zur Kontrolle könnte dabei sein, eine entsprechende vertragliche Verpflichtung für den Auftragsverarbeiter zur Durchführung des TIA in den Auftragsverarbeitungsvertrag aufzunehmen.

Was ist mit Datenübermittlungen aus der Schweiz und UK?

Für Datenübermittlungen aus der Schweiz und UK finden die SCCs nur unmittelbar Anwendung, soweit diese Transfers der DSGVO unterfallen. In der Regel findet zusätzlich jedoch auch das Schweizer bzw. UK Datenschutzrecht Anwendung. Die Behörden der beiden Länder haben daher jeweils entschieden, dass sie die SCCs auch für Datenübermittlungen nach dem jeweiligen nationalen Recht anerkennen, wenn die Parteien bestimmte Anpassungen vornehmen.

Abweichungen gibt es beim Ablauf der Umsetzungsfristen:

• Frist für die Umstellung in der Schweiz: 31.12.2022
• Frist für die Umstellung in UK: 21.03.2024

Aber Achtung: Das gilt natürlich nur für solche Transfers, die ausschließlich unter das UK bzw. Schweizer Datenschutzrecht fallen. Für Datenübermittlungen, auf die (auch) die (EU-)DSGVO Anwendung findet, bleibt es beim Fristablauf am 26. Dezember 2022.

Hilfestellungen für das TIA

Gerade Datenexporteure, die eine Vielzahl von Drittlandsübermittlungen bewerten müssen, werden diese „händisch“ kaum in einem überschaubaren Rahmen bewältigen können, insbesondere nicht innerhalb der nächsten zwei Monate.

Unterstützung kann das Taylor Wessing TIA Tool bieten. Es ist eine Lösung für die Verwaltung, Durchführung und Dokumentation aller TIAs. Das TIA-Tool vereinfacht und automatisiert dabei alle relevanten Prozesse im Zusammenhang mit TIAs. Bei Fragen sprechen Sie uns gerne an.