3 Minuten Lesezeit 30 November 2021
Laptop

Praxisrelevanz der neuen EU-Standardvertragsklauseln

Autoren
Eric Meyer, Dipl. iur. oec. univ.

Senior Associate | Wirtschaftsjurist | Ernst & Young Law GmbH | Deutschland

Eric Meyer ist Wirtschaftsjurist bei EY Law und im Bereich Digital Law tätig.

Sina Biermann

Associate | Rechtsanwältin | Ernst & Young Law GmbH | Deutschland

Sina Biermann ist Rechtsanwältin bei EY Law und im Bereich IP/IT/Datenschutzrecht tätig.

3 Minuten Lesezeit 30 November 2021

Erhöhte Datenschutzanforderungen bei Cloud-Computing, SaaS oder konzerninternen Datentransfers nach Schrems II

Überblick
  • Beim Cloud-Computing werden Speicherplatz, Rechenleistung oder Softwareanwendungen internetbasiert zur Verfügung gestellt, wodurch die Nutzer schnell von überall auf die Daten zugreifen können. Dies ist rechtlich regelmäßig als Auftragsverarbeitung einzuordnen.
  • Die Cloud entwickelt sich somit zum Motor von Digitalisierungsstrategien und stellt zugleich die Zukunft der IT dar. Immer mehr Unternehmen verlagern ihre IT-Infrastruktur ganz oder teilweise auf Cloud-Server zur Bereitstellung der benötigten Rechenzentren und -kapazitäten, auf welche seitens der Unternehmen zurückgegriffen wird.

Durch die Firmensitze der großen Cloud-Anbieter und oft auch der Standorte von Rechenzentren, werden die Daten mit der „Speicherung in der Cloud“ regelmäßig in die Vereinigten Staaten von Amerika als sogenanntes „Drittland“ im Sinne der Datenschutz-Grundverordnung (DSGVO) übermittelt. Anforderung an eine derartige Drittlands-Übermittlung ist ein geeignetes Übermittlungsinstrument nach Art. 46 DSGVO. Für die USA kommen hier nach dem Urteil des Europäischen Gerichtshofs (EuGH) vom 16. Juli 2020 (Rechtssache C-311/18) zur Unwirksamkeit des Angemessenheitsbeschluss EU-US Privacy Shield insbesondere die neuen EU-Standardvertragsklauseln (SCCs) in Betracht.

Europäische Kommission erlässt neue EU-Standardvertragsklauseln im Lichte von Schrems II

Der EuGH hat mit seinem Schrems II-Urteil den Beschluss 2016/1250 der Europäischen Kommission zur Übermittlung personenbezogener Daten in die USA (Privacy Shield) für unwirksam erklärt. Dabei stellt der EuGH aber klar, dass für einen Datentransfer in die USA durch den Datenexporteur auf EU-Standardvertragsklauseln zurückgegriffen werden kann. Voraussetzung hierfür ist jedoch, dass der Datenexporteur bewertet hat, ob durch etwaige Zugriffsmöglichkeiten durch Behörden in dem Drittstatt zusätzliche Maßnahmen (sogenannte „suplementary measures“) notwendig sind, um das angestrebte Schutzniveau der SCC zu gewährleisten.

Im Falle der USA ermöglicht es etwa Section 702 des Foreign Intelligence Surveillance Act (FISA) dortigen Behörden auf gespeicherte Daten zuzugreifen. Damit ist das angestrebte Datenschutzniveau durch das Recht und die Rechtsordnung in den USA beeinträchtigt und die zusätzliche Umsetzung von (Datenschutz-)Maßnahmen erforderlich.

Um den durch den EuGH definierten und hervorgehobenen Anforderungen an den Einsatz von EU-Standardvertragsklauseln gerecht zu werden, hat die Europäische Kommission am 04. Juni 2021 eine neue Version der Klauseln beschlossen (Durchführungsbeschluss (EU) 2021/914).

Gegenstand der neuen EU-Standardvertragsklauseln

Im datenschutzrechtlichen Tagesgeschäft stellt sich mit den neuen EU-Standardvertragsklauseln bei einer Übermittlung in ein Drittland immer die Frage, ob „der Datenimporteur durch Rechtsvorschriften und Gepflogenheiten im Bestimmungsdrittland an der Erfüllung seiner Pflichten gemäß den SCCs gehindert [wird]“, wie es auch schon der EuGH in seiner Schrems II-Entscheidung ausgeführt hat.

Zur Beantwortung dieser Frage ist entsprechend der Vorgaben aus den neuen EU-Standardvertragsklauseln ein sogenanntes „Data Transfer Impact Assessment“ durchzuführen, welches eine Analyse und Risikobewertung der rechtlichen Lage und der (sonstigen) Faktoren im Zusammenhang mit der Übermittlung von personenbezogenen Daten in das jeweilige Drittland beinhaltet.

Das Data Transfer Impact Assessment im Detail

Gemäß Klausel 14 der EU-Standardvertragsklauseln sind folgende Anforderungen bei der Durchführung des Data Transfer Impact Assessments zu berücksichtigen:

  • ob Anhaltspunkte für den Zugang öffentlicher Behörden zu den Daten vorliegen,
  • ob Umstände der Übermittlung, Informationen zu den Akteuren, zum Zweck der Datenübermittlung, den Kategorie der Daten, den rechtliche Bestimmungen im Drittland und ergänzende Garantien etc. vorliegen,
  • ob eine Best-Effort-Zusicherung bezüglich Information und Gewährleistung existiert,
  • ob Dokumentationen auf behördliche Anfrage zur Verfügung gestellt werden müssen und
  • ob bei Bedenken hinsichtlich des Schutzes der Daten der Datenexporteur sowie alle Betroffenen innerhalb der EU vor einem behördlichen Zugriff auf die Daten benachrichtigt wird.

Zu dem letzten Punkt, regelt Klausel 15 der EU-Standardvertragsklauseln, dass der Datenimporteur den Datenexporteur und alle Betroffenen über Anfragen ausländischer Behörden auf die übertragenen Daten zu benachrichtigen hat. Im Fall eines Benachrichtigungsverbots besteht die Pflicht des Datenimporteurs sich um Aufhebung des Verbots zu bemühen. Zudem muss der Datenimporteur die Rechtmäßigkeit von Offenlegungsersuchen überprüfen.

Umsetzungsempfehlungen des Europäischen Datenschutzausschusses

Der Europäische Datenschutzausschuss (EDSA) hat mit seinen Empfehlungen vom 18.06.2021 aufgezeigt, wie bei der Datenübermittlung in ein Drittland vorzugehen ist. Dabei stellt der EDSA die folgenden sechs Schritte heraus:

  1. Stellen Sie sich die Frage, ob Sie den Transfer kennen;
  2. Identifizieren Sie die Übertragungsinstrumente, auf die Sie sich stützen;
  3. Beurteilen Sie, ob das Übertragungsinstrument, auf das Sie sich nach Artikel 46 DSGVO stützen, unter Berücksichtigung aller Umstände des Transfers wirksam ist,
  4. Ergreifen Sie zusätzliche technische und organisatorische Maßnahmen,
  5. Ergreifen Sie alle formellen Verfahrensschritte, wenn Sie wirksame ergänzende Maßnahmen identifiziert haben,
  6. Bewerten Sie das Schutzniveau regelmäßig neu.

Dabei fällt schon auf, dass auch mit dem Einsatz und Abschluss der neuen EU-Standardvertragsklauseln es allein nicht getan ist. Vielmehr sind je nach Ausgang des sog. Data Transfer Impact Assessments (Schritt 3) zusätzliche Datenschutz-Maßnahmen zur Absicherung der Übermittlung in das Drittland zu definieren und implementieren (Schritt 4).

So sieht dies auch die deutsche Datenschutzkonferenz als Zusammenschluss aller deutschen Aufsichtsbehörden, wie aus ihrer Pressemittelung vom 21. Juni 2021 zu entnehmen ist.

Aber auch zu diesen zusätzlichen Maßnahmen spricht der EDSA in seinem Papier in Anhang 2 Empfehlungen in technischer, vertraglicher und organisatorischer Form aus.

So sind zusätzlich insbesondere bei unzureichendem Schutzniveau technische Maßnahmen empfehlenswert, wie beispielsweise Verschlüsselungsverfahren (wie etwa das Encryption Key Management), bei dem der Schlüssel beim Datenexporteur in der EU verbleibt, Pseudonymisierung oder Data Splitting. Jedoch sind solche technischen Maßnahmen manchmal, bereits aufgrund der Art des in Anspruch genommenen Dienstes, rein faktisch nicht möglich.

Neben der technischen Implementierung sind die rechtlichen Umsetzungsmöglichkeiten in den Blick zu nehmen. Die vertraglichen Maßnahmen, wie der Abschluss von Verträgen zur Auftragsverarbeitung mit Unternehmen in nicht-europäische Staaten, sind zum Teil bereits durch die Klausel 15 abgedeckt. Zudem gilt es in der Praxis die organisatorischen Maßnahmen, wie unternehmensinterne Richtlinien, die Überwachung der Einhaltung der gebotenen Standards sowie die Empfehlungen des Europäischen Datenschutzausschuss (EDSA) und der Datenschutzkommission (DSK) zu beachten.

Stichtag und sonstige (formelle) Neuerungen

Die neuen SCCs, welche seit dem 27. September 2021 auf neue Verträge verpflichtend anzuwenden sind, stellen neue und erhöhte Anforderungen an Datentransfers in Drittländer. Spätestens bis zum 27.12.2022 muss eine Umstellung sämtlicher Altverträge auf die neuen SCCs erfolgt sein.

Mit den neuen SCCs kommen auf die verantwortlichen Unternehmen jedoch nicht nur zusätzliche Anforderungen zu. Durch ihren (neuen) modularen Aufbau können die Klauseln jetzt auf alle Konstellationen datenschutzrechtlicher Verantwortlichkeit bei internationalen Datentransfers von Übermittlungen personenbezogener Daten angewandt werden. Umfasst sind jetzt mithin vier, von ehemals nur zwei Übermittlungsmöglichkeiten:

So war es in der Vergangenheit beispielsweise nicht möglich, dass der Auftragsverarbeiter direkt mit dem Unterauftragsverarbeiter im Drittland das Übermittlungsinstrument der EU-Standardvertragsklauseln abschließt, sondern der Verantwortliche hier über eine komplizierte Dreieckskonstellation agieren musste. Dies ist jetzt mit dem neuen Modul 3 nicht mehr erforderlich.

Die neuen SCCs sind auch speziell so formuliert, dass sie als Datenverarbeitungsverträge (zwischen Verantwortlichen und Auftragsverarbeitern) im Sinne von Art. 28 Abs. 3 DSGVO verwendet werden können (Klausel 2 der neuen SCCs) und nicht zwingend ein separates Vertragswerk erforderlich ist.

Weiter enthält der Erwägungsgrund 7 ein sogenanntes Kopplungsverbot, das besagt, dass die EU-Standardvertragsklauseln immer dann nicht abzuschließen sind, wenn der jeweilige Cloud-Diensteanbieter der DSGVO unterfällt.

Fazit

Der Trend von Unternehmen – einschließlich Banken – zur vermehrten Nutzung von Cloud-Diensten führt unweigerlich zu mehr Datenübermittlungen in Drittländer, da insbesondere in den USA die großen Cloud-Unternehmen ihre Sitze haben.

Spätestens mit den neuen EU-Standardvertragsklauseln in Folge des Schrems II-Urteils des Europäischen Gerichtshofs, dürfte allen europäischen Datenexporteuren nun klar sein, dass für den Einsatz dieser Dienste erhöhte Aufwände verbunden sind, um Datenschutzrisiken zu minimieren und mitigieren.

Wie vom Europäischen Datenschutzausschuss aufgezeigt, haben Unternehmen hierfür in der Praxis die folgenden Punkte umzusetzen:

  1. Identifikation und Überblick relevanter Datentransfers im internationalen Kontext;
  2. Durchführung und Dokumentation des sog. Data Transfer Impact Assessments, einschließlich einer Analyse der Rechtsvorschriften und Gepflogenheiten im Bestimmungsdrittland, die das angestrebte Schutzniveau der EU-Standardvertragsklauseln beeinträchtigen;
  3. Ergreifen zusätzlicher Maßnahmen zu Gewährleistung des angestrebten Schutzniveaus (falls erforderlich);
  4. Verhandlung und Implementierung der zusätzlichen Maßnahmen mit Auftragsverarbeiter/Partner im Drittland (falls erforderlich).

Über diesen Artikel

Autoren
Eric Meyer, Dipl. iur. oec. univ.

Senior Associate | Wirtschaftsjurist | Ernst & Young Law GmbH | Deutschland

Eric Meyer ist Wirtschaftsjurist bei EY Law und im Bereich Digital Law tätig.

Sina Biermann

Associate | Rechtsanwältin | Ernst & Young Law GmbH | Deutschland

Sina Biermann ist Rechtsanwältin bei EY Law und im Bereich IP/IT/Datenschutzrecht tätig.