ZAP 19/2021, Sichere Datenübermittlung ins Ausland – Fal ... / 3. Sitz des Dritten in unsicheren Drittstaaten

Bis zum "Schrems II"-Urteil des EuGH vom 16.7.2020 (Az. C-311/18, ZAP EN-Nr. 398/2020) existierte auch für die USA ein solcher Angemessenheitsbeschluss und zwar in Form des sog. EU-US-Privacy-Shields, dessen Vorgängerregelung (Safe-Harbor) ebenfalls durch den Aktivisten Max Schrems vor dem EuGH zu Fall gebracht worden war ("Schrems I": EuGH, Urt. v. 6.10.2015 – C-362/14). Ohne Übergangs- oder Schonfrist entfiel durch die "Schrems II"-Entscheidung die Grundlage für eine rechtskonforme Übermittlung personenbezogener Daten in die USA, die seit dem aus datenschutzrechtlicher Sicht folglich nicht anders zu behandeln sind als Russland, China oder Indien. Aufgrund der praktischen und auch wirtschaftlichen Bedeutung der Nutzungsmöglichkeit der Tools bzw. Dienste von Microsoft, Adobe, Google, Facebook & Co. hat dies aber natürlich enorme Auswirkungen auf den beruflichen Alltag von fast jedem, nicht nur von Anwälten.

Wenn der Datenempfänger seinen Sitz also nicht in einem EU-/EWR-Staat und auch nicht einem Drittstaat mit Angemessenheitsbeschluss hat, dann muss auf andere Weise ein angemessenes Datenschutzniveau fest- bzw. hergestellt werden. In einem unsicheren Drittstaat kann dies generell durch Verwendung der sog. EU-Standvertragsklauseln oder von verbindlichen konzerninternen Regeln (engl.: binding corporate rules, kurz: BCR) geschehen. BCR sind jedoch im Grunde lediglich für international agierende Konzerne interessant. Zudem müssen sie vor ihrer Verwendung von der zuständigen Datenschutzaufsichtsbehörde geprüft und genehmigt werden.

Eine höhere Praxisrelevanz besitzen hingegen die EU-Standardvertragsklauseln (engl.: standard contractual clauses, kurz: SCC). Die Europäische Kommission hat am 4.6.2021 eine neue Fassung der SCC angenommen (https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_de ). Diese amtliche Vertragsvorlage kann und sollte seit diesem Zeitpunkt als Grundlage für die Datenübermittlung in (unsichere) Drittstaaten genutzt werden.

Die neuen SCC sind modular aufgebaut und erfassen vier verschiedene Fallgruppen:

1. Verantwortlicher – Verantwortlicher: Datenübermittlung zwischen zwei datenschutzrechtlich separat verantwortlichen Stellen;
2. Verantwortlicher – Auftragsverarbeiter: Datenübermittlung zwischen Verantwortlichem und Auftragsverarbeiter;
3. Auftragsverarbeiter – (Unter-) Auftragsverarbeiter: Datenübermittlung zwischen einem Auftragsverarbeiter und einem Unterauftragnehmer;
4. Auftragsverarbeiter – Verantwortlicher: Datenübermittlung zwischen einem in der EU bzw. im EWR ansässigen Dienstleister, der Daten von einem Verantwortlichen mit Sitz in einem Drittstaat empfängt.

Für das "klassische" AV-Verhältnis kommt die zweite Variante zur Anwendung. Die neuen SCC haben Vorrang vor anderen Vereinbarungen. Sie können als individueller Vertrag oder auch als AGB-Bestandteil vereinbart werden.

Der Aufbau der SCC gestaltet sich wie folgt:

• Abschnitt I: Allgemeine Regelungen.
• Abschnitt II: Pflichten der Vertragsparteien, spezielle Regelungen für Transferkonstellation.
• Abschnitt III: Auswirkungen lokaler Gesetze, Pflichten des Datenimporteurs.
• Abschnitt IV: Schlussbestimmungen (z.B. Kündigungsregeln, anwendbares Recht).
• Anhang I: Details zu Vertragsparteien, Daten, zuständige Datenschutzaufsichtsbehörden, Übermittlungskonstellation.
• Anhang II: Beschreibung der technischen und organisatorischen Maßnahmen (TOMs).
• Anhang III: ggf. Angaben zu weiteren (Unter-)Auftragnehmern.

Praxistipp:

Für eine einfachere Handhabung und bessere Umsetzung in die Praxis stellen die Kollegen von Taylor Wessing auf ihrer Website dankenswerterweise einen kostenfrei nutzbaren SCC-Generator bereit ( http://www.taylorwessing.com/de/online-services/scc-generator ). Andere, ebenfalls kostenfreie SCC-Generatoren finden sich auf der Internetseite des European Essential Guarantees Guide ( http://www.essentialguarantees.com/scc/) sowie auf des Verbandes der Deutschen Wirtschaft (ECO) unter http://www.eco.de/services/scc-generator/ .

Der Einsatz der SCC ist jedoch für sich genommen noch nicht ausreichend, um ein angemessenes Datenschutzniveau im Drittland annehmen zu können. Wie der EuGH in seiner "Schrems II"-Entscheidung festgestellt hat, müssen noch weitere Voraussetzungen erfüllt sein. Der Europäische Datenschutzausschuss (EDSA) hat dazu am 18.6.2021 seine "Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten" in der Version 2.0 veröffentlicht ( https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_de ).

Auf Basis der EDSA-Empfehlungen sind insgesamt sechs Prüfschritte für die Sicherstellung einer rechtskonformen Datenübermittlung an Dritte in einen Drittstaat durchzuführen:

1. Know your transfers: Zunächst muss man sich einen Überblick darüber verschaffen, in welchen F...