Die ersten Erfahrungen mit den neuen Standardvertragsklauseln
Hintergrund
Im Juni 2021 hat die Europäische Kommission die neuen Standardvertragsklauseln für die Übermittlung personenbezogener Daten erlassen. Über die Einführung und deren Besonderheiten berichteten wir hier. Seit Ende September 2021 müssen diese Standardvertragsklauseln nun für neue Vertragsabschlüsse mit Dienstleistern aus Drittländern verwendet werden. Wie diese Standardvertragsklauseln in der Praxis einzusetzen sind und welche Herausforderungen sich daraus ergeben, möchten wir Ihnen aus unseren Erfahrungen der letzten Monate schildern.
In neuen Verträgen in der Regel bereits angewandt
Die meisten Dienstleister haben für neue Verträge die Umstellung auf die neuen Standardvertragsklauseln bereits berücksichtigt. Dies gilt insbesondere für die großen Anbieter, die täglich eine große Anzahl von Verträgen abschließen. Bei kleineren Anbietern oder auch für konzerninterne Übertragungen sollte jedoch bei Neuabschlüssen darauf geachtet werden, dass die neuen Standardvertragsklauseln Anwendung finden.
Außerdem ist zu prüfen, ob sich an den weiteren, damit verbundenen Verträgen Änderungen ergeben. Gelegentlich wird in anderen Verträgen auf die Standardvertragsklauseln oder deren Anlagen verwiesen. Insbesondere diese Verweise sollten angepasst werden.
Bereitschaft zur Änderung für bestehende Verträge
Auch wenn die alten Standardvertragsklauseln für bestehende Verträge noch bis zum 27.12.2022 gültig bleiben, zeigt sich, dass die meisten Anbieter bereit sind, ihren Bestandskunden schon jetzt die neuen Standardvertragsklauseln anzubieten. Sofern dieses Angebot nicht bereits durch den Dienstleister selbst erfolgt, ist dies zumindest auf Nachfrage in der Regel möglich. Da die Übertragung in Drittländer auf Grundlage der alten Standardvertragsklauseln ab Ende des Jahres rechtswidrig ist, sollte man rechtzeitig an eine Umstellung denken. Je näher der Stichtag rückt, ist mit einem höheren Nachfrageaufkommen zu rechnen: Daher sind sowohl Auftragnehmer als auch Auftraggeber gut beraten, bereits unterjährig die Umstellung vorzunehmen.
Auswahl des richtigen Moduls
Im Gegensatz zu den alten Standardvertragsklauseln, bei denen es eine Version für die Übertragung von dem Verantwortlichen an einen Auftragnehmer und zwei Versionen für die Übertragung zwischen zwei Verantwortlichen gab, gibt es bei den neuen Standardvertragsklauseln vier verschiedene Module. Die Module sind alle in dem gleichen Dokument enthalten. Es ist also erforderlich zu vereinbaren, welches der Module Anwendung finden soll, oder die Abschnitte zu den Modulen, die nicht Bestandteil werden sollen, zu löschen. Dabei ist darauf zu achten, dass nicht aus Versehen zu viel gelöscht wird. Wie bei den alten Standardvertragsklauseln ist es (abgesehen von der Löschung nicht anwendbarer Module) nicht ratsam, den Wortlaut der Standardvertragsklauseln zu ändern, da dies in der Regel zu einer Unwirksamkeit führt.
Bei der Auswahl des richtigen Moduls haben sich bisher verschiedene Anwendungsmöglichkeiten herausgebildet. Soll der Vertrag direkt zwischen Ihnen und dem Auftragnehmer in einem Drittland abgeschlossen werden, findet entweder Modul 2 (Verantwortlicher an Auftragsverarbeiter) oder Modul 3 (Auftragsverarbeiter an Auftragsverarbeiter) Anwendung. Insbesondere bei den großen Anbietern, die auf einheitliche Verträge setzen, sind für diesen Fall die Verträge so gestaltet, dass beide Module einbezogen werden. Auf ihr Vertragsverhältnis findet dann, je nach Ihrer Stellung als Verantwortlicher oder Auftragsverarbeiter, das entsprechende Modul Anwendung.
Kommt der Vertrag zwischen Ihnen und einer europäischen Gesellschaft zustande, haben die Auftragsverarbeiter in der Regel Modul 3 (Auftragsverarbeiter an Auftragsverarbeiter) mit ihren eigenen Dienstleistern in Drittländern abgeschlossen. In diesem Fall ist es nicht erforderlich, eigene Standardvertragsklauseln abzuschließen. Sie sollten sich aber nachweisen oder zumindest bestätigen lassen, dass die entsprechenden neuen Standardvertragsklauseln mit allen Unterauftragnehmern in Drittländern abgeschlossen wurden, da Sie nach der DSGVO für die Sicherheit „Ihrer“ Daten verantwortlich bleiben. Auch wenn Sie selbst „nur“ Auftragsverarbeiter sind und die Daten Ihres Auftraggebers an Dienstleister übermitteln, durch die es zu einer Übertragung in Drittländer kommt, sollten Sie sich die Rechtmäßigkeit der Übermittlung nachweisen bzw. versichern lassen, da Sie zumindest auch vertraglichen Ansprüchen Ihres Auftraggebers ausgesetzt sein können.
Das Transfer Impact Assessment
Auch die neuen Standardvertragsklauseln sind kein Allheilmittel für das Problem der Datenübermittlung in Drittländer und insbesondere die Übermittlung in die USA. Dieses stellt sich spätestens seit der Aufhebung des Privacy-Shield-Abkommens durch den Europäischen Gerichtshof (EuGH) im Sommer 2020 (wir berichteten hier).
Hier urteilte der EuGH, dass der Abschluss der damals geltenden alten Standardvertragsklauseln allein nicht ausreichend sei. Vielmehr müssten die Vertragsparteien sicherstellen, dass das Datenschutzniveau in dem Drittland auch tatsächlich den Anforderungen des europäischen Datenschutzrechts genügt.
Mit den neuen Standardvertragsklauseln hat eine solche Prüfung des Datenschutzniveaus sogar ausdrücklich Einzug in den Vertragstext gefunden.
In Klausel 14 sichern die Parteien sich gegenseitig zu, die Sicherheit der Datenübermittlung unter den geforderten Aspekten beurteilt zu haben. Diese Beurteilung ist gemäß Klausel 14 Buchstabe b) auch ausdrücklich zu dokumentieren, um sie auf Nachfrage der zuständigen Aufsichtsbehörde aushändigen zu können.
In der Praxis wird diese dokumentierte Abwägung als Transfer Impact Assessment, kurz TIA, bezeichnet. Dieses TIA ist damit wesentlicher Bestandteil der Standardvertragsklauseln. Kann eine solche Abwägung bei einer Kontrolle der Behörde nicht vorgelegt werden, ist davon auszugehen, dass die Behörde die Übermittlung auf Grundlage der Standardvertragsklauseln in diesem Fall als nicht rechtmäßig erachtet.
Setzt Ihr europäischer Auftragsverarbeiter Unterauftragsverarbeiter in Drittländern ein, sollten Sie sich somit auch nachweisen bzw. zumindest bestätigen lassen, dass ein solches TIA durchgeführt wurde.
Fazit
Zusammenfassend lässt sich somit feststellen, dass die neuen Standardvertragsklauseln bereits in der Praxis angekommen sind und deren Abschluss in der Regel leicht möglich ist. Sofern Sie selbst aber Vertragspartei der Standardvertragsklauseln werden sollen, darf die Dokumentation des TIA nicht vergessen werden. Gerne unterstützen wir Sie dabei.