Standarddatenschutzklauseln für internationale Datentransfers

Hintergrund

Art. 46 Abs. 2 lit. c DS-GVO ermöglicht es der Kommission, Standarddatenschutzklauseln (SCC) als eine Garantie für den Drittlandstransfer zu erlassen. Besagte Klauseln werden von der Kommission in Form eines Durchführungsbeschlusses entworfen und in einem Ausschussverfahren durch Vertreter der Mitgliedstaaten genehmigt (vgl. Art. 93 DS-GVO). Bei den SCC handelt es sich um einen Vertrag, der zwischen  dem Datenexporteur als Adressat der DS-GVO und dem Datenimporteur im Drittland geschlossen wird und verbindliche Regeln zum Umgang mit personenbezogenen Daten festlegt. Die SCC müssen nicht gesondert durch eine Aufsichtsbehörde genehmigt werden. Die Kommission hat im Juni 2021 neue Standarddatenschutzklauseln erlassen[1].

Modularer Ansatz

Die SCC sind in vier Abschnitte gegliedert. Im Gegensatz zu den bisherigen Klauseln sind nunmehr sämtliche Transferkonstellationen in einem einzigen Vertragsset integriert. Insgesamt umfassen die SCC nunmehr eine Sammlung von 18 Klauseln, aus der die Vertragsparteien jene Inhalte wählen müssen, die der Rolle ihres Zusammenwirkens entsprechen. Hierbei verfolgt die Kommission einen modularen Ansatz. Die einzelnen Module bilden jeweils eine der vier Konstellationen zwischen Datenimporteur und Datenexporteur ab:

  • Modul 1: Datenübermittlung von einem Verantwortlichen an einen Verantwortlichen im Drittland (Controller-to-Controller, C2C)
  • Modul 2: Datenübermittlung von einem Verantwortlichen an einen Auftragsverarbeiter im Drittland (Controller-to-Processor, C2P)
  • Modul 3: Datenübermittlung von einem Auftragsverarbeiter an eine Unterauftragsverarbeiter im Drittland (Processor-to- Sub-Processor, P2P)
  • Modul 4: Datenübermittlung von einem Auftragsverarbeiter an einen Verantwortlichen im Drittland (Processor-to-Controller, P2C)

Einige allgemeine Klauseln gelten für alle Konstellationen, andere sind modulspezifisch. Ergänzt werden die SCC weiterhin durch zu individualisierende Anlagen, um die Umstände und die Beteiligten des
Datentransfers zu beschreiben.

Überblick über die einzelnen Abschnitte und ausgewählte Klauseln

Abschnitt 1 (Klauseln 1 – 7 SCC) enthält allgemeine, modulunabhängige Rahmenbedingungen für den Datentransfer (Umstände der Datenverarbeitung, Drittbegünstigtenklauseln, Beitritt neuer Vertragsparteien etc.). Besonders hervorzuheben sind folgende Klauseln:

Klausel 2 trifft Regelungen zur Wirkung und Unabänderbarkeit der Klauseln. Entscheidender Unterschied zu vorherigen Klauseln ist, dass diese nun die Anforderungen des Art. 28 Abs. 3 u. 4 DS-GVO „ermöglichen sollten“ (vgl. EG 9 SCC). Hierdurch bedarf es nicht mehr notwendigerweise des Abschlusses eines separaten Vertrages zur Auftragsverarbeitung, wobei weitere vertragliche Vereinbarungen gerade auch nicht ausgeschlossen sind. Die Inhalte der SCC dürfen grundsätzlich nicht verändert werden. Konkretisierungen bzw. Ergänzungen sind bei den SCC jedoch notwendig, so

  • bei der Auswahl des relevanten Moduls,
  • bei der erforderlichen Vervollständigung von Texten (durch eckige Klammern gekennzeichnet), z.B. um die die zuständigen Gerichte und die Aufsichtsbehörde anzugeben und Fristen festzulegen,
  • beim Ausfüllen der Anhänge zu den Umständen der Verarbeitung sowie
  • beim Hinzufügen zusätzlicher Garantien, um das Schutzniveau für die Daten zu erhöhen (soweit erforderlich).

Solche Anpassungen werden nicht als Änderung des Kerntextes betrachtet und sind daher unproblematisch. Bestehen parallele Regelungen zu den Vertragsinhalten der SCC, muss geprüft werden, ob diese mittelbar oder unmittelbar im Widerspruch zu den Klauseln stehen (s. auch EG 109 S. 1 DS-GVO).

Beispiel: Cloudanbieter X führt in seinen allgemeinen Geschäftsbedingungen aus, dass er im Notfall Unterauftragnehmer ohne vorherige Information bzw. Genehmigung des Kunden einsetzen darf. Eine solche Regelung steht im direkten Widerspruch zu Klausel 9 (a) der SCC.

Vereinbaren die Parteien ergänzende, den SCC widersprechende Klauseln, verlieren die SCC ihre Eigenschaft als „geeignete Garantie nach Art. 46 Abs. 2 lit. c DS-GVO. Sie sind in der Folge als Ad-hoc-Vertrag gem. Art. 46 Abs. 3 lit. a DS-GVO anzusehen, der einer Genehmigungspflicht durch die zuständige Aufsichtsbehörde unterliegt. Die Drittbegünstigtenklausel (Klausel 3) ermöglicht betroffenen Personen, zahlreiche Klauseln der SCC als Drittbegünstigte gegenüber dem Datenexporteur und/oder dem Datenimporteur geltend zu machen und durchsetzen zu können.

Klausel 5 bestimmt ein Rangverhältnis zwischen individuellen Vereinbarungen der Parteien und den SCC. Demnach gelten die Klauseln der SCC immer vorrangig. Konflikte sind zu Gunsten der  Regelungsinhalte der SCC aufzulösen. Dies ist jedoch nicht so zu verstehen, dass im Widerspruch stehende vertragliche Vereinbarungen hinter den Vereinbarungen der SCC zurücktreten. Vielmehr verlieren in diesem Fall die SCC nach Klausel 2 SCC wiederum ihre Wirkung als „geeignete Garantie“. Neu in dieser Form ist die Kopplungsklausel (Klausel 7), die vereinbart werden kann. Eine Pflicht hierzu besteht nicht. Sie ermöglicht den nachträglichen Beitritt neuer Parteien, mit Zustimmung der bisherigen Parteien. Modalitäten des Beitritts (z.B. das Erfüllen einer Beitrittsbedingung sowie die Form der Genehmigung) sind in Klausel 7 nicht detailliert geregelt, so dass sich die Erstellung einer eigenen Kopplungsklausel z.B. in einer gesonderten Datenschutzrahmenvereinbarung anbietet.

Abschnitt 2 (Klauseln 8 – 13 SCC) regelt zunächst die Pflichten der Vertragsparteien in Abhängigkeit zur jeweiligen Transferkonstellation. Insbesondere Empfänger personenbezogener Daten im Drittland, die als Verantwortlicher für die Daten agieren, haben sich mit weitreichenden Anforderungen auseinander zu setzen, die an der DS-GVO angelehnt sind. Durch die Datenschutzgarantien aus Klausel 8 werden die Verarbeitungsgrundsätze des Art. 5 Abs. 1 DS-GVO, inklusive der Rechenschaftspflicht gem. Art. 5 Abs. 2 vereinbart. Auch versichert der Datenexporteuer nach der allgemeingültigen Klausel 8 Abs. 1 SCC, dass er sich „im Rahmen des Zumutbaren“ davon überzeugt hat, dass der Datenimporteur – durch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen – in der Lage ist, seinen Pflichten aus diesen Klauseln nachzukommen. In den Klauseln 10, 11 und 13 finden sich Regelungen zu den Rechten der betroffenen Personen, den Rechtsbehelfen sowie zur Aufsicht. Hervorzuheben sind die Haftungsregelungen im Innenverhältnis (Klausel 12). Diese sehen im Grunde vor, dass die Parteien im Innenverhältnis unbeschränkt haften bzw. sich gegenseitig entsprechend freistellen. Aufgrund fehlender Konkretisierungen der Kommission kann Klausel 12 so verstanden werden, dass eine Beschränkung der Haftung im Innenverhältnis eine unzulässige Änderung der SCC darstellt.

Abschnitt 3 (Klauseln 13, 14 SCC) enthält spezifische Regelungen zum sog. „Transfer Impact Assessment (TIA)“ und zum Umgang mit sicherheitsbehördlichen Zugriffen auf übermittelte Daten im Empfängerland. Dies ist eine direkte Reaktion auf das EuGH Urteil „Schrems II“ und als „zusätzliche Maßnahme“ vertraglicher Natur anzusehen. Datenexporteur und Datenimporteur erklären in den SCC, dass sie sich mit der Rechtslage im Drittland im Hinblick auf den Datentransfer auseinandergesetzt haben und garantieren können, dass nach ihrem Wissen keine Gesetze bestehen, welche den Datenimporteur an  der Einhaltung der Klauseln hindern. Der Datenexporteur soll zudem durch den Datenimporteur bei der Gesetzesanalyse nach „besten Kräften“ (durch größtmögliche Informationen) unterstützt werden. Im Fall von entgegenstehenden Gesetzen muss der Datenexporteur für geeignete technische und organisatorische Maßnahmen Sorge tragen.

Weiterführende Informationen

EU-Kommission, The New Standard Contractual Clauses – Questions and Answers

  1. https://commission.europa.eu/publications/standard-contractual-clauses-international-transfers_en