In der vergangenen Woche hielt Dr. Lars Siebert, LL.M. (Emory) den Einführungsvortrag zum „17. Berchtesgadener Dialog - Artificial Intelligence“ mit dem Titel „Heilsbringerin oder Gefahrenquelle? Ein Blick auf künftige KI-Anwendungen und internationale Regulierungsbemühungen“.
Endlich ein Lichtblick am Horizont des internationalen Datentransfers?
Dienstag, 08. Dezember 2020
Wir berichteten, dass der Europäische Gerichtshof („EuGH“) mit seinem Urteil vom 16.07.2020 (Rechtssache C-311/18 - „Schrems II“) zahlreichen internationalen Datenübermittlungen, insbesondere in die USA, die Grundlage entzog: EuGH erklärt ,,Privacy-Shield“ für unwirksam - vielen Datenübermittlungen in die USA fehlt nun die rechtliche Grundlage. Ferner wiesen wir darauf hin, dass die Empfehlungen des Europäischen Datenschutzausschusses nicht die erhoffte Sicherheit im internationalen Datentransfer brachten: Dunkle Wolken: Auch nach den Empfehlungen des Europäischen Datenschutzausschusses (EDPB) weiterhin erhebliche Rechtsunsicherheit bei der Nutzung von US-Cloud-Diensten. Nun könnte endlich ein Lichtblick am Horizont des internationalen Datentransfers zu sehen sein.
Die Europäische Kommission hat am 13.11.2020 Entwürfe für neue Standardvertragsklauseln veröffentlicht. Diese sehen nunmehr auch erstmals die Konstellationen Processor-(Sub-)Processor und Processor-Controller vor. Doch was bedeutet das? Welche Vorteile bringt das? Und was sind eigentlich Standardvertragsklauseln? Nachfolgend finden Sie einen kurzen Überblick zu diesen und anderen Fragen.
1. Was sind eigentlich Standardvertragsklauseln? In welchen Fällen kann ich auf diese zurückgreifen?
Im internationalen Datentransfer reicht das Vorliegen einer Rechtsgrundlage, wie z. B. der Einwilligung oder der Erforderlichkeit für die Erfüllung eines Vertrages, in der Regel nicht aus. Es muss zusätzlich das Vorliegen eines mit der EU vergleichbaren Schutzniveaus sichergestellt werden (vgl. Art. 44 ff. DSGVO). Dies kann z. B. mittels eines Angemessenheitsbeschlusses der Europäischen Kommission festgestellt worden sein oder eben mittels des Abschlusses sog. Standardvertragsklauseln (Standard Contractual Clauses oder auch Model Clauses, kurz „SCC“) erfolgen (vgl. Art. 46 Abs. 2 lit. c DSGVO).
Solche SCC wurden 2001/2004 (Controller-Controller) und 2010 (Controller-Processor) von der Europäischen Kommission veröffentlicht und müssen von den Unternehmen 1-zu-1 übernommen werden, wenn ein Datentransfer abgesichert werden soll. Lediglich Ergänzungen sind in einem gewissen Maß und keinesfalls zum Nachteil der Betroffenen zulässig.
Diese bereits veröffentlichten SCC decken bisher Datentransfers ab, die zwischen zwei Verantwortlichen (Controller-Controller) oder von einem Verantwortlichen an einen (Unter-)Auftragsverarbeiter in ein Land außerhalb der EU/EWR und Schweiz (nachfolgend kurz „EU“) erfolgten (Controller-Processor). Im letzteren Fall mussten die SCC dabei stets direkt zwischen dem Verantwortlichen und demjenigen (Unter-)Auftragsverarbeiter in der Kette von Auftragsverarbeitern geschlossen werden, der die Daten erstmals im Drittland empfing. Dies führte dazu, dass die SCC häufig mit Unternehmen geschlossen werden mussten, zu denen keine direkte Leistungsbeziehung bestand.
Beispiel Controller-Controller: Reisebüro übermittelt Kundendaten an ein Hotel außerhalb der EU.
Beispiel Controller-Processor: Speichern von Daten in einer Nicht-EU-Cloud.
2. Was bedeuten die Konstellationen Processor-(Sub-)Processor und Processor-Controller?
In den Entwürfen sind nunmehr auch folgende Konstellationen vorgesehen:
Ein Auftragsverarbeiter mit Sitz innerhalb der EU übermittelt Daten an einen weiteren Auftragsverarbeiter mit Sitz außerhalb der EU.
Beispiel Processor-(Sub-)Processor: EU-Softwareanbieter bietet Support über einen Nicht-EU-Call-Center an, um einen 24h-Support abzudecken.
Ein Unternehmen mit Sitz außerhalb der EU beauftragt ein EU-Unternehmen mit Dienstleistungen und erhält hierbei Daten vom EU-Dienstleister „zurück“.
Beispiel Processor-Controller: EU-Werbeagentur erstellt für ein Nicht-EU-Unternehmen Kundenstatistiken.
3. Welche Vorteile bringen die neuen Konstellationen mit sich?
Die SCC können nun unproblematisch entsprechend der Leistungsbeziehungen geschlossen werden, d. h. der (Unter-)Auftragsverarbeiter, der einen weiteren Auftragsverarbeiter aus einem Nicht-EU-Land einschaltet, kann mit diesem direkt die SCC abschließen, um ein ausreichendes Datenschutzniveau sicherzustellen. Vertragliche Konstruktionen, wie die sog. Vollmachtslösung, wonach der Auftragsverarbeiter berechtigt wird, für den Verantwortlichen mit dem (Unter-)Auftragsverarbeiter im Nicht-EU-Land die SCC abzuschließen, gehören dann künftig der Vergangenheit an.
Ferner werden EU-Unternehmen rechtssicher ihre Dienstleistungen in Nicht-EU-Ländern an den Mann bringen können.
4. Sind mit den neuen SCC Datenübermittlungen in alle Drittländer (z. B. USA) problemlos möglich?
Nein. Leider wird man voraussichtlich auch mit den neuen SCC bei Datentransfers in die USA und anderen Ländern mit vergleichbar weiten staatlichen Eingriffsbefugnissen nicht um zusätzliche Maßnahmen herumkommen (vgl. Empfehlungen für Maßnahmen zur Einhaltung eines angemessenen Datenschutzniveaus bei Drittstaatentransfers). Die spätestens seit der zuvor erwähnten, sog. Privacy-Shield-Entscheidung des EuGH entstandenen Rechtsunsicherheiten lassen sich nach unserer Einschätzung nur durch den Gesetz- bzw. Verordnungsgeber beseitigen. Bisher sind uns diesbezüglich allerdings keine Aktivitäten auf EU-Ebene bekannt.
5. Ab wann gelten die neuen SCC?
Die Europäische Kommission hat bisher nur Entwürfe veröffentlicht. Nunmehr nehmen der Europäische Datenschutzrat und der Europäische Datenschutzbeauftragte zu diesen Stellung. Parallel kann sich bis Mitte Dezember 2020 jedermann an der öffentlichen Konsultation beteiligen. Hier ist mit kritischen Stellungnahmen der Wirtschaft zu rechnen, da zu einigen Regelungen mehr Klarheit wünschenswert wäre und aktuell mit Veröffentlichung der neuen SCC innerhalb einer Übergangsfrist von einem Jahr auf diese umgestellt werden müsste. Dies bedeutete für Unternehmen erneut einen immensen Aufwand.
Wir hoffen auf eine Veröffentlichung überarbeiteter SCC im 2. Quartal 2021. Ob die Europäische Kommission unsere Hoffnungen erfüllt, bleibt abzuwarten. Schließlich müssen auch noch die Vertreter der Mitgliedstaaten grünes Licht geben.
Sollten Sie Detailfragen zu den neuen oder alten Konstellationen und den vertraglichen Gestaltungsmöglichkeiten haben, helfen Ihnen unsere Experten im IT- und Datenschutzrecht gern weiter.