Ent­wurf der neu­en Stan­dard­klau­seln veröffentlicht

Die Euro­päi­sche Kom­mis­si­on hat am 12. Novem­ber 2020 den erwar­te­ten Ent­wurf der revi­dier­ten Stan­dard­ver­trags­klau­seln ver­öf­fent­licht (PDF mit Inhalts­ver­zeich­nis), kurz nach­dem der EDSA sei­ne Emp­feh­lun­gen für zusätz­li­che Mass­nah­men zum Schutz bei grenz­über­schrei­ten­den Über­mitt­lun­gen vor­ge­legt hat. Die neu­en Klau­seln beru­hen auf einer ent­spre­chen­den Ent­schei­dung der EU-Kom­mis­si­on, die gewis­ser­ma­ssen die Erwä­gungs­grün­de zu den Klau­seln enthält.

Wel­che Klau­seln gibt es?

Es gibt nur noch ein Paket von Stan­dard­klau­seln, nicht mehr wie bis­her zwei bzw. drei. Sie sind aber modu­lar auf­ge­baut und decken auch Sze­na­ri­en ab, für die heu­te Klau­seln fehlen:

  • All­ge­mei­ne Bestim­mun­gen: Die Klau­seln ent­hal­ten zunächst in einem ersten Abschnitt all­ge­mei­ne Bestim­mun­gen zum Anwendungsbereich.
  • Beson­de­re Bestim­mun­gen: In einem zwei­ten Abschnitt (Sec. II) ent­hal­ten die Klau­seln die Kern­pflich­ten der Par­tei­en (“Data pro­tec­tion safe­guards”). Die­se unter­schei­den sich zunächst je nach den fol­gen­den Konstellationen: 
    • Über­mitt­lung zwi­schen Ver­ant­wort­li­chen (Modu­le One);
    • Über­mitt­lun­gen eines Ver­ant­wort­li­chen an einen Auf­trags­ver­ar­bei­ter (Modu­le 2), wobei die glei­chen Klau­seln auch für eine Über­mitt­lung durch einen Auf­trags­ver­ar­bei­ter m EWR an einen Unter­auf­trags­ver­ar­bei­ter in einem Dritt­staat ver­wen­det wer­den kön­nen (was heu­te nach offi­zi­el­ler Les­art den direk­ten Abschluss der Stan­dard­klau­seln zwi­schen dem Ver­ant­wort­li­chen und dem Unter­auf­trags­ver­ar­bei­ter vor­aus­set­zen würde);
    • Über­mitt­lun­gen eines Auf­trags­be­ar­bei­ters an einen wei­te­ren Auf­trags­ver­ar­bei­ter (Modu­le 3);
    • Über­mitt­lun­gen eines Auf­trags­be­ar­bei­ters an einen Ver­ant­wort­li­chen (Modu­le 4).
  • Eben­falls im zwei­ten Abschnitt fin­den sich wei­te­re Bestim­mun­gen, die sich teil­wei­se je nach Modul unter­schei­den, so über loka­les Recht, das die Anwen­dung der Klau­seln beein­flus­sen kann (alle Modu­le); über Pflich­ten des Impor­teurs bei Behör­den­zu­grif­fen (alle Modu­le); über den Ein­satz von Sub­pro­ces­sors (nur Modu­le 2 und 3); Betrof­fe­nen­rech­te; Rechts­schutz (nur Modu­le 1 – 3); Haf­tung (alle Modu­le; nicht optio­nal); Schad­los­hal­tung (alle Modu­le, kei­ne Unter­schie­de) und Auf­sicht (alle Modu­le, kei­ne Unterschiede).
  • Der drit­te Abschnitt ent­hält Schluss­be­stim­mun­gen, die sich nicht nach Modu­len unter­schei­den (Ver­let­zung und Been­di­gung; anwend­ba­res Recht; Gerichtsstand).
  • Anhang 1 ent­hält eine Liste der Par­tei­en und eine Beschrei­bung der Übermittlung.
  • Anhang 2 ent­hält eine Beschrei­bung der anwend­ba­ren tech­ni­schen und orga­ni­sa­to­ri­schen Mass­nah­men – hier wer­den die Emp­feh­lun­gen des EDSA zu den Schrems-II-Mass­nah­men rele­vant sein, die durch den Text der neu­en Klau­seln nur ansatz­wei­se umge­setzt sind). Anhang 2 nennt Bei­spie­le von Mass­nah­men. Genannt sind natur­ge­mäss nur tech­ni­sche und orga­ni­sa­to­ri­sche Mass­nah­men, nicht aber beglei­ten­de ver­trag­li­che Massnahmen.

Was ist das Ver­hält­nis zu den Schrems-II-Begleitmassnahmen?

  • Die Stan­dard­klau­seln sol­len den nach der DSGVO erfor­der­li­chen Schutz gewäh­ren. Ob sie das kön­nen, hängt vom loka­len Recht des Impor­teurs ab. Infol­ge­des­sen kön­nen die Klau­seln nicht genü­gen und legi­ti­mie­ren sie kei­ne Über­mitt­lung, wenn die­ses loka­le Recht die Ein­hal­tung der Klau­seln nicht erlaubt. Der Expor­teur muss daher auch bei den neu­en Klau­seln prü­fen, ob das loka­le Recht den Anfor­de­run­gen ent­spricht:

    The trans­fer and pro­ces­sing of per­so­nal data under stan­dard con­trac­tu­al clau­ses should only take place if the laws of the third coun­try of desti­na­ti­on do not pre­vent the data importer from com­ply­ing with tho­se clau­ses. In this respect, laws that respect the essence of the fun­da­men­tal rights and free­doms and do not exce­ed what is necessa­ry and pro­por­tio­na­te in a demo­cra­tic socie­ty to safe­guard one of the objec­ti­ves listed in Arti­cle 23(1) of Regu­la­ti­on (EU) 2016/679 should not be con­si­de­red as being in con­tra­dic­tion with the stan­dard con­trac­tu­al clauses.

  • Dies ver­langt eine Prü­fung bezo­gen auf die kon­kre­te Über­mitt­lung. Zeigt sich spä­ter, dass der Impor­teur die Klau­seln nicht mehr ein­hal­ten kann, müs­sen die Par­tei­en zusätz­li­che Mass­nah­men prü­fen:

    If the data exporter […] beco­mes awa­re that the data importer is no lon­ger able to com­ply with the stan­dard con­trac­tu­al clau­ses, it should iden­ti­fy appro­pria­te mea­su­res to address the situa­ti­on, if necessa­ry in con­sul­ta­ti­on with the com­pe­tent super­vi­so­ry aut­ho­ri­ty. Such mea­su­res may inclu­de sup­ple­men­ta­ry mea­su­res adop­ted by the data exporter and/or data importer, such as tech­ni­cal or orga­ni­sa­tio­nal mea­su­res to ensu­re secu­ri­ty and confidentiality.

  • Die Ent­schei­dung der EU-Kom­mis­si­on sagt nichts Aus­drück­li­ches zur Fra­ge, wel­che Bedeu­tung den Stan­dard­klau­seln in die­sem Fall noch zukommt, aber aus dem Kon­text ist klar, dass die Stan­dard­klau­seln in die­sem Fall zwar wei­ter­hin gel­ten kön­nen, aber nur im Ver­bund mit wei­te­ren Mass­nah­men. Mit ande­ren Wor­ten besteht das Schrems-II-Pro­blem unver­än­dert wei­ter, wann immer das loka­le Recht mit den Pflich­ten der Klau­seln nicht ver­ein­bar ist. Der Expor­teur ist der ent­spre­chen­den Prü­fung daher genau­so wenig ent­ho­ben, wie es mit den heu­ti­gen Klau­seln der Fall ist. Im Gegen­teil sehen die Klau­seln kon­kre­te Pflich­ten vor, wie das loka­le Recht zu beur­tei­len und wel­che Risi­ko­fak­to­ren zu berück­sich­ti­gen sind (letz­te­res aller­dings sehr ober­fläch­lich), ver­bun­den mit einer ent­spre­chen­den Dokumentationspflicht.

Wer kann die Klau­seln schliessen?

  • Die Klau­seln ste­hen sowohl Pri­va­ten als auch Behör­den offen (Clau­se 1(b)).
  • Drit­te kön­nen bereits geschlos­se­nen Klau­seln bei­tre­ten, sofern die Par­tei­en zustim­men (“Docking Clau­se, optio­na­le Clau­se 6). Der Bei­tritt setzt u.a. vor­aus, dass die ent­spre­chen­de Kon­kre­ti­sie­rung der Über­mitt­lun­gen (vgl. näch­ster Punkt) ggf. ent­spre­chend ergänzt wird. Clau­se 6 stellt klar, dass das Bei­tritts­un­ter­neh­men durch den Bei­tritt kei­ne vor­be­stehen­den Pflich­ten übernimmt.

Wie sind die Klau­seln zu konkretisieren?

  • Wie unter den heu­ti­gen Klau­seln müs­sen die ein­zel­nen Daten­flüs­se auch unter den neu­en Stan­dard­klau­seln kon­kre­ti­siert wer­den (Clau­se 5). Die neu­en Klau­seln hal­ten nicht fest, ob dies nur im Ein­zel­fall oder auch gene­risch erfol­gen kann (z.B. durch eine Liste von Daten­ka­te­go­rien usw., die im kon­zern­in­ter­nen Ver­hält­nis aus­ge­tauscht wer­den kön­nen), aber es dürf­te erste­res gelten.
  • Die Kon­kre­ti­sie­rung ent­spricht weit­ge­hend dem heu­ti­gen Annex B der C2C-Klau­seln. Zusätz­lich sind aber beson­de­re Schutz­mass­nah­men bei beson­de­ren Kate­go­rien von Per­so­nen­da­ten und die maxi­ma­le Spei­cher­dau­er anzugeben.

Was regeln die Klauseln?

  • Die beson­de­ren Pflich­ten (Sec. II) regeln ins­be­son­de­re fol­gen­de Themen:
  • Ein­hal­tung der Zweck­bin­dung durch den Impor­teur (Modu­le 1, 2 und 3) und Wei­sungs­bin­dung des Impor­teurs (Modu­le 2, 3 und 4, im letz­te­ren Fall Bin­dung des Exporteurs);
  • Trans­pa­renz: Die Betrof­fe­nen sind zu informieren: 
    • Modu­le 1 (C2C): durch den impor­tie­ren­den Ver­ant­wort­li­chen, u.a. über des­sen Iden­ti­tät, wei­te­re Bear­bei­tungs­zwecke und Wei­ter­über­mitt­lun­gen; auf Anfra­ge Kopie der Klauseln);
    • Modu­le 2 (C2P): auf Anfra­ge Kopie der Klauseln;
    • Modu­le 3 (P2P): auf Anfra­ge Kopie der Klauseln;
  • Daten­rich­tig­keit und ‑mini­mie­rung:
    • Modu­le 1 (C2C): durch bei­de Par­tei­en sicher­zu­stel­len, u.a. durch gegen­sei­ti­ge Information;
    • Modu­le 2 (C2P): gegen­sei­ti­ge Infor­ma­ti­on bei Unrichtigkeit;
    • Modu­le 3 (P2P): gegen­sei­ti­ge Infor­ma­ti­on bei Unrichtigkeit;
  • Löschung bzw. Spei­cher­be­gren­zung:
    • Modu­le 1 (C2C): Lösch­pflicht des Impor­teurs nach Zweckerreichung;
    • Modu­le 2 (C2P): Lösch­pflicht des Impor­teurs nach Ablauf der Bear­bei­tung (die im Annex I zu kon­kre­ti­sie­ren ist);
    • Modu­le 3 (P2P): Lösch­pflicht des Impor­teurs nach Ablauf der Bear­bei­tung (die im Annex I zu kon­kre­ti­sie­ren ist);
  • Daten­si­cher­heit:
    • Modu­le 1 (C2C): Pflicht zu ange­mes­se­nen Mass­nah­men des Impor­teurs, im Tran­sit aber auch des Expor­teurs; wei­te­re Pflich­ten des Impor­teurs: (regel­mä­ssi­ge Prü­fung der Mass­nah­men (ohne de-mini­mis-Klau­sel bei harm­lo­sen Über­mitt­lun­gen); Sicher­stel­lung einer gesetz­li­chen oder ver­trag­li­chen Ver­trau­lich­keits­pflicht sei­ner Hilfs­per­so­nen; Miti­gie­rungs­mass­nah­men im Fall eines Bre­ach; Infor­ma­ti­on ohne Ver­zug (ohne Höchst­frist) sowohl des Expor­teurs als auch der Auf­sichts­be­hör­de des Expor­teurs (!) bei Ver­let­zun­gen, bei denen mit erheb­li­chen Fol­gen zu rech­nen ist, und gleich­zei­tig der Betrof­fe­nen (!), sofern dies nicht unver­hält­nis­mä­ssig wäre; Doku­men­ta­ti­on aller Brea­ches und der getrof­fe­nen Massnahmen;
    • Modu­le 2 (C2P): Pflicht zu ange­mes­se­nen Mass­nah­men des Impor­teurs, im Tran­sit aber auch des Expor­teurs; wei­te­re Pflich­ten des Impor­teurs: Daten­zu­gang nach dem need-to-know-Prin­zip; Sicher­stel­lung einer gesetz­li­chen oder ver­trag­li­chen Ver­trau­lich­keits­pflicht sei­ner Hilfs­per­so­nen; Miti­gie­rungs­mass­nah­men im Fall eines Bre­ach; Infor­ma­ti­on ohne Ver­zug (ohne Höchst­frist) des Expor­teurs (nicht aber auch der Auf­sichts­be­hör­de oder der Betrof­fe­nen); Zusam­men­ar­beit mit dem Exporteur;
    • Modu­le 3 (P2P): Pflicht zu ange­mes­se­nen Mass­nah­men des Impor­teurs, im Tran­sit aber auch des Expor­teurs; wei­te­re Pflich­ten des Impor­teurs: Daten­zu­gang nach dem need-to-know-Prin­zip; Sicher­stel­lung einer gesetz­li­chen oder ver­trag­li­chen Ver­trau­lich­keits­pflicht sei­ner Hilfs­per­so­nen; Miti­gie­rungs­mass­nah­men im Fall eines Bre­ach; Infor­ma­ti­on ohne Ver­zug (ohne Höchst­frist) des Expor­teurs und ggf. des Ver­ant­wort­li­chen); Zusam­men­ar­beit mit dem Exporteur;
    • Modu­le 4 (P2C): Pflicht zu ange­mes­se­nen Sicher­heits­mass­nah­men der Parteien.
  • beson­de­re Kate­go­rien von Per­so­nen­da­ten:
    • Modu­le 1 (C2C): Pflicht zu ange­mes­se­nen Sicherheitsmassnahmen;
    • Modu­le 2 (C2P): Pflicht zu den Sicher­heits­mass­nah­men gemäss Annex I.B (Beschrei­bung der Übermittlung);
    • Modu­le 3 (P2P): wie Modu­le 2.
  • Wei­ter­über­mitt­lung (Onward Trans­fer) in Dritt­staa­ten:
    • Modu­le 1 (C2C): Ver­bot der Wei­ter­über­mitt­lung, soweit der Emp­fän­ger nicht eben­falls an die Klau­seln gebun­den ist, die Über­mitt­lung nach Art. 46 oder 47 DSGVO zuläs­sig ist (geeig­ne­te Garan­tien oder BCR), der Emp­fän­ger­staat ange­mes­se­nen Schutz bie­tet, der Impor­teur mit dem Drit­ten eine Ver­ein­ba­rung schliesst, die den glei­chen Schutz wie die Stan­dard­klau­seln bie­tet (wobei der Impor­teur dem Expor­teur eine Kopie zu über­mit­teln hat oder der Betrof­fe­ne aus­drück­lich ein­ge­wil­ligt hat (wobei der Impor­teur den Expor­teur in die­sem Fall ent­spre­chend zu infor­mie­ren hat).
    • Modu­le 2 (C2P): Ver­bot der Wei­ter­über­mitt­lung ausser­halb der Wei­sun­gen des Expor­teurs und auch dann nur, wenn die Über­mitt­lung nach Art. 46 oder 47 DSGVO zuläs­sig ist oder der Emp­fän­ger­staat ange­mes­se­nen Schutz bietet;
    • Modu­le 3 (P2P): wie Modu­le 2.
  • Doku­men­ta­ti­on und Com­pli­an­ce:
    • Modu­le 1 (C2C): Die Par­tei­en müs­sen die Ein­hal­tung der Klau­seln doku­men­tie­ren. Der Impor­teur muss die Doku­men­ta­ti­on ggf. der zustän­di­gen Auf­sichts­be­hör­de offenlegen.
    • Modu­le 2 (C2P):
      • Die Par­tei­en müs­sen die Ein­hal­tung der Klau­seln nachweisen;
      • Der Impor­teur muss Anfra­gen des Expor­teurs beant­wor­ten; sei­ne Bear­bei­tun­gen doku­men­tie­ren; dem Expor­teur die erfor­der­li­chen Infor­ma­tio­nen offen­le­gen, damit die­ser die Ein­hal­tung der Klau­seln nach­wei­sen kann; Audits durch den Expor­teur oder Beauf­trag­te zulas­sen; der zustän­di­gen Behör­de auf Anfra­ge Infor­ma­tio­nen offenlegen.
    • Modu­le 3 (P2P):
      • Die Par­tei­en müs­sen die Ein­hal­tung der Klau­seln nachweisen;
      • Der Impor­teur muss Anfra­gen des Expor­teurs und des Ver­ant­wort­li­chen beant­wor­ten; sei­ne Bear­bei­tun­gen doku­men­tie­ren; dem Expor­teur und dem Ver­ant­wort­li­chen die erfor­der­li­chen Infor­ma­tio­nen offen­le­gen, damit die­se die Ein­hal­tung der Klau­seln nach­wei­sen kön­nen; Audits durch den Expor­teur oder den Ver­ant­wort­li­chen oder Beauf­trag­te zulas­sen; der zustän­di­gen Behör­de auf Anfra­ge Infor­ma­tio­nen offenlegen.
    • Modu­le 4 (P2C): Die Par­tei­en müs­sen die Ein­hal­tung der Klau­seln nach­wei­sen können.
  • Loka­les Recht (fast gleich bei allen Modulen): 
    • Gegen­sei­ti­ge (!) Zusi­che­rung, dass kein Grund zur Annah­me besteht, das loka­le Recht ste­he den Klau­seln ent­ge­gen, und dass sie dies geprüft haben;
    • Zusi­che­rung des Impor­teurs, dass er den Expor­teur ent­spre­chend infor­miert hat;
    • Doku­men­ta­ti­ons­pflicht;
    • Pflicht des Impor­teurs zur Infor­ma­ti­on des Expor­teurs, falls sich das loka­le Recht ändert und nicht mehr mit den Klau­seln ver­ein­bar ist;
    • Pflicht des Expor­teurs, in die­sem Fall sofort zusätz­li­che Mass­nah­men zu ergrei­fen, ggf. in A