18. Oktober 2022
Newsletter Technology - November 2022 – 4 von 4 Insights
Das EuGH-Urteil in Sachen Schrems II (Rechtssache C-311/1) brachte nicht nur das Ende für das EU-US-Privacy Shield, sondern war auch der Anstoß für die Europäische Kommission, sich mehr als zwei Jahre nach Inkrafttreten der DSGVO der Aufgabe zu stellen, neue Standardvertragsklauseln („SCCs 2021“) zu erlassen.
Bereits seit Juni 2021 können die alten Standardvertragsklauseln nicht mehr für neue bzw. abgeänderte Datentransfers aus der EU in ein Drittland verwendet werden. Für bestehende Datentransfers hatte die Europäische Kommission den Parteien eine Übergangsfrist eingeräumt; diese endet zum 27. Dezember 2022. Ab diesem Tag können ausschließlich die SCCs 2021 zur Absicherung von Drittlandtransfers verwendet werden (sofern sonstige Rechtfertigungsmechanismen nach der DSGVO nicht vorliegen).
Soweit noch nicht geschehen, sollten Datenexporteure Folgendes tun:
Anders als die bisherigen Standardvertragsklauseln sind die SCCs 2021 modular aufgebaut. Das bedeutet, dass vier verschiedene Transferkonstellationen in einem Dokument abgedeckt werden:
Grundsätzlich sieht die EU-Kommission vor, dass die Parteien aus dem Konvolut entsprechende Einzelverträge zusammenbauen je nachdem, welches Modul für sie relevant ist. Wer sich diese Fleißarbeit sparen will, kann hier für den Taylor Wessing SCC Generator nutzen.
Alternativ scheint es vertretbar, die SCCs 2021 „per Referenz“ in einen Hauptvertrag einzubeziehen. Dies hat den Vorteil, dass nicht das gesamte (sehr lange) Vertragswerk in den Hauptvertrag mitaufgenommen werden muss, sondern einfach auf die Standardvertragsklauseln „verwiesen“ werde kann. Zu beachten ist jedoch, dass auch in diesem Fall deutlich werden muss, welches Modul abgeschlossen werden soll. Ferner muss eine Entscheidung bezüglich aller optionalen Klauseln sowie der auszufüllenden Platzhalter getroffen werden (siehe dazu im Folgenden). In der Regel ist deshalb erforderlich, dass neben der eigentlichen Referenz auf die SCCs 2021 die zusätzlich erforderlichen Informationen etwa in Form einer Anlage zum Hauptvertrag bereitgestellt werden müssen.
Die SCCs 2021 enthalten in Klausel 7 (Kopplungsklausel), Klausel 9 (Unterauftragsverarbeiter) und Klausel 11 (Unabhängige Streitbeilegungsstelle) optionale bzw. fakultative Klauseln. Ferner stellt sich regelmäßig die Frage, ob eine Haftungsklausel aufgenommen werden kann/sollte:
Anders als bisher erlauben die SCCs 2021 den Parteien in Klausel 17 das anwendbare Recht und in Klausel 18 den Gerichtsstand selbst zu wählen. Es bestehen insofern die folgenden Optionen:
Rechtswahl:
Gerichtsstand:
Nach unserer Kenntnis gewähren im Datenschutzbereich inzwischen alle EU-Mitgliedstaaten entsprechende Drittbegünstigtenrechte, sodass bei Modul 1 faktisch wohl jedes EU-Recht gewählt werden kann.
Die Wahl des anwendbaren Rechts und Gerichtsstands ist besonders relevant für Fälle, in denen der Hauptvertrag nicht EU-Recht/-Gerichten unterliegt und dadurch eine Divergenz zwischen Hauptvertrag und SCCs 2021 entsteht.
Wie bisher auch müssen die Details zum Datentransfer (Informationen zu den Parteien, Details zur Übermittlung, Informationen zu TOMs und Unterauftragsverarbeitern), der mit den SCCs abgesichert werden soll, in den Anhängen zu den Klauseln ergänzt werden. Anders als bei den alten SCCs ist jedoch die Erwartung der Kommission an den Detailgrad deutlich gestiegen. Ein Beispiel dafür, was hier erwartet wird, findet sich in Frage 39 der Q&A zu den SCCs 2022, die die EU-Kommission veröffentlicht hat.
Kernelement der neuen SCCs ist das sog. TIA. Die vertragliche Verpflichtung ergibt sich unmittelbar aus Klausel 14 lit. b und d der SCCs 2021 und spiegelt insofern die entsprechende Pflicht aus der DSGVO und nicht zuletzt der Schrems II-Entscheidung.
Das TIA verpflichtet die Parteien, eine Beurteilung vorzunehmen, ob die geltenden Rechtsvorschriften und Gepflogenheiten im Bestimmungsdrittland des Datenimporteurs (insbesondere in Bezug auf Datenzugriffe durch Geheimdienste) den Datenimporteur an der Erfüllung seiner Pflichten gemäß SCCs 2021 hindern. Es bedarf also der Beurteilung nationaler Rechtsvorschriften im Empfängerland.
Bei strenger Auslegung müsste man davon ausgehen, dass der Datenexporteur demnach eine konkrete Prüfung veranlassen muss – etwa unter Mithilfe eines lokalen Rechtsanwalts. Nicht unvertretbar scheint aber auch der Ansatz, dass der Datenexporteur den Importeur um eine Einschätzung bittet und sich insofern auf Auskünfte des Datenimporteurs verlassen kann. Zumindest um einen Plausibilitätscheck kommt der Exporteur aber wohl nicht umhin. Bei den Erwägungen bezüglich des Prüfungsansatzes sollte auch nicht außer Acht gelassen werden, dass eine gewisse Wahrscheinlichkeit dafür besteht, dass die Beurteilung für die meisten nationalen Rechtsvorschriften ergeben wird, dass das lokale Recht keine angemessenen Schutzgarantien bietet. Dabei ist zu berücksichtigen, dass selbst nationale Vorschriften der EU-Mitgliedstaaten datenschutzrechtlich vereinzelt Bedenken begegnen, wie jüngst das Urteil des EuGH zur deutschen Regelung zur Vorratsdatenspeicherung zeigte (Rechtssache C-793/19, C-794/19 u.a.). Es scheint daher aus Gründen der Effizienz ratsam, einen pragmatischen Ansatz zu wählen, der sich im Zweifel weniger auf die Bewertung des Rechts und stattdessen mehr auf die Identifizierung möglicher weiterer Schutzmaßnahmen konzentriert.
Hinweis: Anfang Oktober dieses Jahres hat Präsident Biden eine Durchführungsverordnung („Executive Order (EO)“) für die Verbesserung der Schutzmaßnahmen für Betroffene bei Aktivitäten der US-Nachrichtendienste unterzeichnet. Die EO soll die vom EuGH in der Schrems-II-Entscheidung aufgeworfenen Fragen klären und den Weg für ein neues EU-US-Abkommen zum Datentransfer ebnen. Die Regelungen sind mit sofortiger Wirkung in Kraft getreten. Eine abschließende Bewertung der EU durch die Europäische Kommission wird bis März 2023 erwartet. Bereits vor diesem Zeitpunkt könnten die Vorgaben aus der EO jedoch das Ergebnis eines TIA bei einer Datenübermittlung in die USA beeinflussen und damit das Risiko entsprechender Transfers senken.
Die EU-Kommission scheint die (Haupt-)Verantwortlichkeit (auch vertraglich) primär beim Datenexporteur zu sehen Der Wortlaut der Klausel 14 legt nahe, dass zumindest eine Kooperationspflicht des Datenimporteurs besteht. Das erscheint auch sachgerecht, weil der Datenexporteur bei der Beurteilung auf die Mithilfe des Importeurs angewiesen ist.
Klausel 14 ist nicht eindeutig in Bezug auf die Frage, wieweit „entlang der Kette“ das TIA durchgeführt werden muss, also insbesondere, ob auch die Unter-Unter-Unterauftragsverarbeiter noch einbezogen werden müssen. Wenngleich die Datenschutzaufsichtsbehörden hier von einer weitreichenden Prüfungspflicht „entlang der Kette“ ausgehen, hat sich in der Praxis vielfach ein pragmatischer Ansatz durchgesetzt: Viele Datenexporteure beziehen nur die erste Stufe (also Übermittlung Datenimporteur an Unterauftragnehmer) in die Bewertung ein, lassen jede weitere Übermittlung jedoch unberücksichtigt.
Für Datenübermittlungen von einem Exporteur in der EU an einen Importeur in der EU besteht keine Pflicht zur Durchführung des TIA, weil es an einem Drittlandbezug fehlt. Regelmäßig setzen in solchen Konstellationen die Datenimporteure aber ihrerseits (Unter-)Auftragsverarbeiter im Drittland ein. Wird diese Übermittlung mit den SCCs (Modul 2 bzw. 3) abgesichert, sind der EU-Importeur und der (Unter-)Auftragsverarbeiter Adressat der Klausel 14 und somit für das TIA verantwortlich, nicht jedoch der europäische Verantwortliche. Letzterer hat jedoch wohl trotzdem eine Pflicht aus Art. 28 DSGVO sicherzustellen, dass das TIA in vernünftiger Art und Weise durchgeführt wird. Eine Maßnahme zur Kontrolle könnte dabei sein, eine entsprechende vertragliche Verpflichtung für den Auftragsverarbeiter zur Durchführung des TIA in den Auftragsverarbeitungsvertrag aufzunehmen.
Für Datenübermittlungen aus der Schweiz und UK finden die SCCs nur unmittelbar Anwendung, soweit diese Transfers der DSGVO unterfallen. In der Regel findet zusätzlich jedoch auch das Schweizer bzw. UK Datenschutzrecht Anwendung. Die Behörden der beiden Länder haben daher jeweils entschieden, dass sie die SCCs auch für Datenübermittlungen nach dem jeweiligen nationalen Recht anerkennen, wenn die Parteien bestimmte Anpassungen vornehmen.
Abweichungen gibt es beim Ablauf der Umsetzungsfristen:
Aber Achtung: Das gilt natürlich nur für solche Transfers, die ausschließlich unter das UK bzw. Schweizer Datenschutzrecht fallen. Für Datenübermittlungen, auf die (auch) die (EU-)DSGVO Anwendung findet, bleibt es beim Fristablauf am 26. Dezember 2022.
Gerade Datenexporteure, die eine Vielzahl von Drittlandsübermittlungen bewerten müssen, werden diese „händisch“ kaum in einem überschaubaren Rahmen bewältigen können, insbesondere nicht innerhalb der nächsten zwei Monate.
Unterstützung kann das Taylor Wessing TIA Tool bieten. Es ist eine Lösung für die Verwaltung, Durchführung und Dokumentation aller TIAs. Das TIA-Tool vereinfacht und automatisiert dabei alle relevanten Prozesse im Zusammenhang mit TIAs. Bei Fragen sprechen Sie uns gerne an.
Philipp Koehler und Gregor Schmid beleuchten die wichtigsten Aspekte des neuen EU-Gesetzes über digitale Dienste (Digital Services Act)
3. November 2022
3. November 2022
von Stephanie Richter, LL.M. (Torino), CIPP/E, Dr. Patrick Vincent Zurheide, LL.M. (Aberdeen)
Ein Überblick über die Umsetzung von Art. 17 und Art. 18-23 der DSM-Urheberrechtsrichtlinie in Deutschland, Spanien, Frankreich, Italien und den Niederlanden
21. October 2022
von mehreren Autoren
18. October 2022
von Dr. Paul Voigt, Lic. en Derecho, CIPP/E, Wiebke Reuter, LL.M. (London)
von mehreren Autoren
von Dr. Paul Voigt, Lic. en Derecho, CIPP/E und Alexander Schmalenberger, LL.B.
Michael Tan, Julian Sun, Paul Voigt and Wiebke Reuter look at what China's new SCCs mean for businesses looking to export personal data from China to the EU.
von mehreren Autoren