Mit der Entscheidung des Europäischen Gerichtshofs im Rahmen der sogenannten Schrems II-Entscheidung (C-311/18 vom 16. Juli 2020) war klar, dass die von der Europäischen Kommission 2010 verabschiedeten Standarddatenschutzklauseln für den Transfer von personenbezogenen Daten in unsichere Drittstaaten einer Überarbeitung bedürfen. Als unsichere Drittstaaten werden alle Länder außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums angesehen. Einige dieser Drittländer sind von der Europäischen Kommission im Rahmen von Angemessenheitsbeschlüssen als sichere Drittländer anerkannt worden. Basis für die Bewertung der Angemessenheit ist das Datenschutzniveau im Empfängerland. Eine Liste der Länder, für die ein Angemessenheitsbeschluss vorliegt, finden Sie hier.
Am 04. Juni 2021 hat die Kommission neue Standardvertragsklauseln (Standard Contractual Clauses (SCC)) veröffentlicht. Diese modernisierten SCC ersetzen die drei SCC-Sätze, die unter der vorherigen Datenschutzrichtlinie 95/46 angenommen wurden. Seit dem 27. September 2021 ist es nicht mehr möglich, Verträge zu schließen, die diese früheren SCC-Sätze enthalten.
Die neuen SCC sind modular aufgebaut und decken somit typische Übermittlungen zwischen unterschiedlichen Parteien ab.
- Modul 1: Controller to Controller (C2C)
In dieser Konstellation sind zwei eigenständige oder über eine gemeinsame Verantwortung verbundene Verantwortliche für die Verarbeitung von personenbezogenen Daten verantwortlich. Im Rahmen der Transparenzpflichten muss der Datenimporteur im Drittland der betroffenen Person über den Datenexporteur oder direkt Informationen zur Verarbeitung zur Verfügung stellen.
- Modul 2: Controller to Processor (C2P):
Hier handelt es sich um die Übermittlung von Verantwortlichen an Auftragsverarbeiter. Die Anforderungen nach Art. 28 Abs. 3 DSGVO sind durch die SCC bereits erfüllt. Eine gesonderte Vereinbarung zur Auftragsverarbeitung ist nicht mehr abzuschließen.
- Modul 3: Processor to Processor (P2P):
Der Datenexporteur, der bereits weisungsgebunden für einen Verantwortlichen tätig wird, nutzt einen weiteren Dienstleister im Drittland. Der Datenimporteur verarbeitet die personenbezogenen Daten nur auf der Grundlage dokumentierter Weisungen des Verantwortlichen, die dem Datenimporteur vom Datenexporteur mitgeteilt wurden, sowie auf der Grundlage aller zusätzlichen dokumentierten Weisungen des Datenexporteurs. Diese zusätzlichen Weisungen dürfen nicht im Widerspruch zu den Weisungen des Verantwortlichen stehen.
- Modul 4: Processor to Controller (P2C):
An dieser vertraglichen Konstellation hat es in der Vergangenheit gefehlt. Da die DSGVO auch für Auftragsverarbeiter in der EU gilt, muss der Auftragsverarbeiter als Datenexporteur eine Grundlage für die Übermittlung in das Drittland haben, selbst wenn es sich um Daten des Verantwortlichen (Datenimporteur) handelt.
Ein zentrales Element der neuen SCC ist das Transfer Impact Assessment (TIA), das in Klausel 14 der SCC eingeführt worden ist.
Laut Klausel 14 lit. d SCC ist das TIA zu dokumentieren und auf Anfrage der zuständigen Datenschutzaufsichtsbehörde zur Verfügung zu stellen.
Im Wesentlichen sind im Rahmen des TIA folgende Aspekte zu überprüfen:
- die besonderen Umstände der Übermittlung, einschließlich
- der Länge der Verarbeitungskette,
- der Anzahl der beteiligten Akteure und der verwendeten Übertragungskanäle,
- beabsichtigte Datenweiterleitungen,
- die Art des Empfängers,
- den Zweck der Verarbeitung,
- die Kategorien und das Format der übermittelten personenbezogenen Daten,
- den Wirtschaftszweig, in dem die Übertragung erfolgt,
- den Speicherort der übermittelten Daten,
- die angesichts der besonderen Umstände der Übermittlung relevanten Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes (einschließlich solcher, die die Offenlegung von Daten gegenüber Behörden vorschreiben oder den Zugang von Behörden zu diesen Daten gestatten) sowie die geltenden Beschränkungen und Garantien,
- alle relevanten vertraglichen, technischen oder organisatorischen Garantien, die zur Ergänzung der Garantien gemäß diesen Klauseln eingerichtet wurden, einschließlich Maßnahmen, die während der Übermittlung und bei der Verarbeitung personenbezogener Daten im Bestimmungsland angewandt werden.
Ein TIA ist für die Module 1-3 in jedem Fall durchzuführen. Bei Modul 4 (P2C) ist ein TIA dann durchzuführen, wenn der Auftragsverarbeiter die vom Verantwortlichen erhaltenen personenbezogenen Daten mit personenbezogenen Daten kombiniert, die vom Auftragsverarbeiter in der EU erhoben wurden.
Bei der Beurteilung, welche Rechtsvorschriften und Gepflogenheiten Einfluss auf die Übermittlung haben, können dokumentierte Erfahrungen im Hinblick auf frühere Ersuchen um Offenlegung seitens Behörden hilfreich sein. Einige Dienstleister veröffentlichen solche Ergebnisse in anonymisierter Form.
Für die Durchführung und Dokumentation eines Transfer Impact Assessments sollte unbedingt fachkundige Beratung hinzugezogen werden.
Die SCC sehen drei Anhänge vor:
Anhang 1 hält wichtige Informationen zur Verarbeitung fest. So sind alle Datenexporteure und Datenimporteure und ihre Rolle als Verantwortlicher oder Auftragsverarbeiter anzugeben. Ebenso müssen die Kategorien von betroffenen Personen und die Kategorien von übermittelten Daten, die Häufigkeit der Übermittlung, die Art der Verarbeitung, der / die Zweck(e) der Datenübermittlung und Weiterverarbeitung, die Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer, angegeben werden. Bei Datenübermittlungen an (Unter-)Auftragsverarbeiter sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben. Bei den Modulen 1, 2 und 3 ist dann noch die zuständige Aufsichtsbehörde anzugeben.
Anhang 2 dokumentiert die technischen und organisatorischen Maßnahmen zur Gewährleistung eines Schutzniveaus. Die Kommission merkt in dem Anhang an, dass die technischen und organisatorischen Maßnahmen konkret (nicht allgemein) beschrieben werden müssen. So ist z.B. klar anzugeben, welche Maßnahmen für jede Datenübermittlung bzw. jede Kategorie von Datenübermittlungen gelten.
Anhang 3 sieht eine Liste von Unterauftragnehmern vor, falls diese eingesetzt werden. Ggf. bedarf es hier, auch unter Berücksichtigung von Klausel 9 der SCC einer gesonderten Genehmigung der Vertragsparteien.
Ab dem 27. Dezember 2022 müssen alle Verträge zum Transfer in unsichere Drittstaaten die neuen Muster verwenden. Eine Ausnahme stellen lediglich individuelle und von einer Aufsichtsbehörde genehmigten Verträge dar. Eine Übermittlung, die sich nach dem Stichtag auf einen alten Vertrag stützt, wird unzulässig sein. Als Datenexporteur, in der Rolle als Verantwortlicher oder Auftragsverarbeiter, setzt sich dem Risiko eines Verwaltungsaktes der Datenschutzaufsichtsbehörde und ggf. eines Bußgeldes aus. Mehr dazu erfahren Sie auch in unserer Podcast-Themenfolge mit dem Präsidenten des bayrischen Landesamtes für Datenschutzaufsicht, Herrn Michael Will.
Zum Autor
Markus Zechel ist seit 2004 Berater für Datenschutz und Informationssicherheit. Nach seiner Tätigkeit als selbstständiger Berater ist er seit 2011 Managing Consultant der Firma migosens GmbH. Zu den Aufgaben von Herrn Zechel gehören u.a. die Beratung, Betreuung und Schulung zu den Themen Datenschutz und Informationssicherheit, sowie die Übernahme der Funktion des externen Datenschutzbeauftragten oder des externen Informationssicherheitsbeauftragten.
