Ent­wurf der neu­en Stan­dard­klau­seln ver­öf­fent­licht

Die Euro­päi­sche Kom­mis­si­on hat am 12. Novem­ber 2020 den erwar­te­ten Ent­wurf der revi­dier­ten Stan­dard­ver­trags­klau­seln ver­öf­fent­licht (PDF mit Inhalts­ver­zeich­nis), kurz nach­dem der EDSA sei­ne Emp­feh­lun­gen für zusätz­li­che Mass­nah­men zum Schutz bei grenz­über­schrei­ten­den Über­mitt­lun­gen vor­ge­legt hat. Die neu­en Klau­seln beru­hen auf einer ent­spre­chen­den Ent­schei­dung der EU-Kom­mis­si­on, die gewis­ser­ma­ssen die Erwä­gungs­grün­de zu den Klau­seln ent­hält.

Wel­che Klau­seln gibt es?

Es gibt nur noch ein Paket von Stan­dard­klau­seln, nicht mehr wie bis­her zwei bzw. drei. Sie sind aber modu­lar auf­ge­baut und decken auch Sze­na­ri­en ab, für die heu­te Klau­seln feh­len:

  • All­ge­mei­ne Bestim­mun­gen: Die Klau­seln ent­hal­ten zunächst in einem ersten Abschnitt all­ge­mei­ne Bestim­mun­gen zum Anwen­dungs­be­reich.
  • Beson­de­re Bestim­mun­gen: In einem zwei­ten Abschnitt (Sec. II) ent­hal­ten die Klau­seln die Kern­pflich­ten der Par­tei­en (“Data pro­tec­tion safe­guards”). Die­se unter­schei­den sich zunächst je nach den fol­gen­den Kon­stel­la­tio­nen:
    • Über­mitt­lung zwi­schen Ver­ant­wort­li­chen (Modu­le One);
    • Über­mitt­lun­gen eines Ver­ant­wort­li­chen an einen Auf­trags­ver­ar­bei­ter (Modu­le 2), wobei die glei­chen Klau­seln auch für eine Über­mitt­lung durch einen Auf­trags­ver­ar­bei­ter m EWR an einen Unter­auf­trags­ver­ar­bei­ter in einem Dritt­staat ver­wen­det wer­den kön­nen (was heu­te nach offi­zi­el­ler Les­art den direk­ten Abschluss der Stan­dard­klau­seln zwi­schen dem Ver­ant­wort­li­chen und dem Unter­auf­trags­ver­ar­bei­ter vor­aus­set­zen wür­de);
    • Über­mitt­lun­gen eines Auf­trags­be­ar­bei­ters an einen wei­te­ren Auf­trags­ver­ar­bei­ter (Modu­le 3);
    • Über­mitt­lun­gen eines Auf­trags­be­ar­bei­ters an einen Ver­ant­wort­li­chen (Modu­le 4).
  • Eben­falls im zwei­ten Abschnitt fin­den sich wei­te­re Bestim­mun­gen, die sich teil­wei­se je nach Modul unter­schei­den, so über loka­les Recht, das die Anwen­dung der Klau­seln beein­flus­sen kann (alle Modu­le); über Pflich­ten des Impor­teurs bei Behör­den­zu­grif­fen (alle Modu­le); über den Ein­satz von Sub­pro­ces­sors (nur Modu­le 2 und 3); Betrof­fe­nen­rech­te; Rechts­schutz (nur Modu­le 1 – 3); Haf­tung (alle Modu­le; nicht optio­nal); Schad­los­hal­tung (alle Modu­le, kei­ne Unter­schie­de) und Auf­sicht (alle Modu­le, kei­ne Unter­schie­de).
  • Der drit­te Abschnitt ent­hält Schluss­be­stim­mun­gen, die sich nicht nach Modu­len unter­schei­den (Ver­let­zung und Been­di­gung; anwend­ba­res Recht; Gerichts­stand).
  • Anhang 1 ent­hält eine Liste der Par­tei­en und eine Beschrei­bung der Über­mitt­lung.
  • Anhang 2 ent­hält eine Beschrei­bung der anwend­ba­ren tech­ni­schen und orga­ni­sa­to­ri­schen Mass­nah­men – hier wer­den die Emp­feh­lun­gen des EDSA zu den Schrems-II-Mass­nah­men rele­vant sein, die durch den Text der neu­en Klau­seln nur ansatz­wei­se umge­setzt sind). Anhang 2 nennt Bei­spie­le von Mass­nah­men. Genannt sind natur­ge­mäss nur tech­ni­sche und orga­ni­sa­to­ri­sche Mass­nah­men, nicht aber beglei­ten­de ver­trag­li­che Mass­nah­men.

Was ist das Ver­hält­nis zu den Schrems-II-Begleit­mass­nah­men?

  • Die Stan­dard­klau­seln sol­len den nach der DSGVO erfor­der­li­chen Schutz gewäh­ren. Ob sie das kön­nen, hängt vom loka­len Recht des Impor­teurs ab. Infol­ge­des­sen kön­nen die Klau­seln nicht genü­gen und legi­ti­mie­ren sie kei­ne Über­mitt­lung, wenn die­ses loka­le Recht die Ein­hal­tung der Klau­seln nicht erlaubt. Der Expor­teur muss daher auch bei den neu­en Klau­seln prü­fen, ob das loka­le Recht den Anfor­de­run­gen ent­spricht:

    The trans­fer and pro­ces­sing of per­so­nal data under stan­dard con­trac­tu­al clau­ses should only take place if the laws of the third coun­try of desti­na­ti­on do not pre­vent the data importer from com­ply­ing with tho­se clau­ses. In this respect, laws that respect the essence of the fun­da­men­tal rights and free­doms and do not exce­ed what is necessa­ry and pro­por­tio­na­te in a demo­cra­tic socie­ty to safe­guard one of the objec­ti­ves listed in Arti­cle 23(1) of Regu­la­ti­on (EU) 2016/679 should not be con­si­de­red as being in con­tra­dic­tion with the stan­dard con­trac­tu­al clau­ses.

  • Dies ver­langt eine Prü­fung bezo­gen auf die kon­kre­te Über­mitt­lung. Zeigt sich spä­ter, dass der Impor­teur die Klau­seln nicht mehr ein­hal­ten kann, müs­sen die Par­tei­en zusätz­li­che Mass­nah­men prü­fen:

    If the data exporter […] beco­mes awa­re that the data importer is no lon­ger able to com­ply with the stan­dard con­trac­tu­al clau­ses, it should iden­ti­fy appro­pria­te mea­su­res to address the situa­ti­on, if necessa­ry in con­sul­ta­ti­on with the com­pe­tent super­vi­so­ry aut­ho­ri­ty. Such mea­su­res may inclu­de sup­ple­men­ta­ry mea­su­res adop­ted by the data exporter and/or data importer, such as tech­ni­cal or orga­ni­sa­tio­nal mea­su­res to ensu­re secu­ri­ty and con­fi­dentia­li­ty.

  • Die Ent­schei­dung der EU-Kom­mis­si­on sagt nichts Aus­drück­li­ches zur Fra­ge, wel­che Bedeu­tung den Stan­dard­klau­seln in die­sem Fall noch zukommt, aber aus dem Kon­text ist klar, dass die Stan­dard­klau­seln in die­sem Fall zwar wei­ter­hin gel­ten kön­nen, aber nur im Ver­bund mit wei­te­ren Mass­nah­men. Mit ande­ren Wor­ten besteht das Schrems-II-Pro­blem unver­än­dert wei­ter, wann immer das loka­le Recht mit den Pflich­ten der Klau­seln nicht ver­ein­bar ist. Der Expor­teur ist der ent­spre­chen­den Prü­fung daher genau­so wenig ent­ho­ben, wie es mit den heu­ti­gen Klau­seln der Fall ist. Im Gegen­teil sehen die Klau­seln kon­kre­te Pflich­ten vor, wie das loka­le Recht zu beur­tei­len und wel­che Risi­ko­fak­to­ren zu berück­sich­ti­gen sind (letz­te­res aller­dings sehr ober­fläch­lich), ver­bun­den mit einer ent­spre­chen­den Doku­men­ta­ti­ons­pflicht.

Wer kann die Klau­seln schlie­ssen?

  • Die Klau­seln ste­hen sowohl Pri­va­ten als auch Behör­den offen (Clau­se 1(b)).
  • Drit­te kön­nen bereits geschlos­se­nen Klau­seln bei­tre­ten, sofern die Par­tei­en zustim­men (“Docking Clau­se, optio­na­le Clau­se 6). Der Bei­tritt setzt u.a. vor­aus, dass die ent­spre­chen­de Kon­kre­ti­sie­rung der Über­mitt­lun­gen (vgl. näch­ster Punkt) ggf. ent­spre­chend ergänzt wird. Clau­se 6 stellt klar, dass das Bei­tritts­un­ter­neh­men durch den Bei­tritt kei­ne vor­be­stehen­den Pflich­ten über­nimmt.

Wie sind die Klau­seln zu kon­kre­ti­sie­ren?

  • Wie unter den heu­ti­gen Klau­seln müs­sen die ein­zel­nen Daten­flüs­se auch unter den neu­en Stan­dard­klau­seln kon­kre­ti­siert wer­den (Clau­se 5). Die neu­en Klau­seln hal­ten nicht fest, ob dies nur im Ein­zel­fall oder auch gene­risch erfol­gen kann (z.B. durch eine Liste von Daten­ka­te­go­rien usw., die im kon­zern­in­ter­nen Ver­hält­nis aus­ge­tauscht wer­den kön­nen), aber es dürf­te erste­res gel­ten.
  • Die Kon­kre­ti­sie­rung ent­spricht weit­ge­hend dem heu­ti­gen Annex B der C2C-Klau­seln. Zusätz­lich sind aber beson­de­re Schutz­mass­nah­men bei beson­de­ren Kate­go­rien von Per­so­nen­da­ten und die maxi­ma­le Spei­cher­dau­er anzu­ge­ben.

Was regeln die Klau­seln?

  • Die beson­de­ren Pflich­ten (Sec. II) regeln ins­be­son­de­re fol­gen­de The­men:
  • Ein­hal­tung der Zweck­bin­dung durch den Impor­teur (Modu­le 1, 2 und 3) und Wei­sungs­bin­dung des Impor­teurs (Modu­le 2, 3 und 4, im letz­te­ren Fall Bin­dung des Expor­teurs);
  • Trans­pa­renz: Die Betrof­fe­nen sind zu infor­mie­ren:
    • Modu­le 1 (C2C): durch den impor­tie­ren­den Ver­ant­wort­li­chen, u.a. über des­sen Iden­ti­tät, wei­te­re Bear­bei­tungs­zwecke und Wei­ter­über­mitt­lun­gen; auf Anfra­ge Kopie der Klau­seln);
    • Modu­le 2 (C2P): auf Anfra­ge Kopie der Klau­seln;
    • Modu­le 3 (P2P): auf Anfra­ge Kopie der Klau­seln;
  • Daten­rich­tig­keit und ‑mini­mie­rung:
    • Modu­le 1 (C2C): durch bei­de Par­tei­en sicher­zu­stel­len, u.a. durch gegen­sei­ti­ge Infor­ma­ti­on;
    • Modu­le 2 (C2P): gegen­sei­ti­ge Infor­ma­ti­on bei Unrich­tig­keit;
    • Modu­le 3 (P2P): gegen­sei­ti­ge Infor­ma­ti­on bei Unrich­tig­keit;
  • Löschung bzw. Spei­cher­be­gren­zung:
    • Modu­le 1 (C2C): Lösch­pflicht des Impor­teurs nach Zweck­er­rei­chung;
    • Modu­le 2 (C2P): Lösch­pflicht des Impor­teurs nach Ablauf der Bear­bei­tung (die im Annex I zu kon­kre­ti­sie­ren ist);
    • Modu­le 3 (P2P): Lösch­pflicht des Impor­teurs nach Ablauf der Bear­bei­tung (die im Annex I zu kon­kre­ti­sie­ren ist);
  • Daten­si­cher­heit:
    • Modu­le 1 (C2C): Pflicht zu ange­mes­se­nen Mass­nah­men des Impor­teurs, im Tran­sit aber auch des Expor­teurs; wei­te­re Pflich­ten des Impor­teurs: (regel­mä­ssi­ge Prü­fung der Mass­nah­men (ohne de-mini­mis-Klau­sel bei harm­lo­sen Über­mitt­lun­gen); Sicher­stel­lung einer gesetz­li­chen oder ver­trag­li­chen Ver­trau­lich­keits­pflicht sei­ner Hilfs­per­so­nen; Miti­gie­rungs­mass­nah­men im Fall eines Bre­ach; Infor­ma­ti­on ohne Ver­zug (ohne Höchst­frist) sowohl des Expor­teurs als auch der Auf­sichts­be­hör­de des Expor­teurs (!) bei Ver­let­zun­gen, bei denen mit erheb­li­chen Fol­gen zu rech­nen ist, und gleich­zei­tig der Betrof­fe­nen (!), sofern dies nicht unver­hält­nis­mä­ssig wäre; Doku­men­ta­ti­on aller Brea­ches und der getrof­fe­nen Mass­nah­men;
    • Modu­le 2 (C2P): Pflicht zu ange­mes­se­nen Mass­nah­men des Impor­teurs, im Tran­sit aber auch des Expor­teurs; wei­te­re Pflich­ten des Impor­teurs: Daten­zu­gang nach dem need-to-know-Prin­zip; Sicher­stel­lung einer gesetz­li­chen oder ver­trag­li­chen Ver­trau­lich­keits­pflicht sei­ner Hilfs­per­so­nen; Miti­gie­rungs­mass­nah­men im Fall eines Bre­ach; Infor­ma­ti­on ohne Ver­zug (ohne Höchst­frist) des Expor­teurs (nicht aber auch der Auf­sichts­be­hör­de oder der Betrof­fe­nen); Zusam­men­ar­beit mit dem Expor­teur;
    • Modu­le 3 (P2P): Pflicht zu ange­mes­se­nen Mass­nah­men des Impor­teurs, im Tran­sit aber auch des Expor­teurs; wei­te­re Pflich­ten des Impor­teurs: Daten­zu­gang nach dem need-to-know-Prin­zip; Sicher­stel­lung einer gesetz­li­chen oder ver­trag­li­chen Ver­trau­lich­keits­pflicht sei­ner Hilfs­per­so­nen; Miti­gie­rungs­mass­nah­men im Fall eines Bre­ach; Infor­ma­ti­on ohne Ver­zug (ohne Höchst­frist) des Expor­teurs und ggf. des Ver­ant­wort­li­chen); Zusam­men­ar­beit mit dem Expor­teur;
    • Modu­le 4 (P2C): Pflicht zu ange­mes­se­nen Sicher­heits­mass­nah­men der Par­tei­en.
  • beson­de­re Kate­go­rien von Per­so­nen­da­ten:
    • Modu­le 1 (C2C): Pflicht zu ange­mes­se­nen Sicher­heits­mass­nah­men;
    • Modu­le 2 (C2P): Pflicht zu den Sicher­heits­mass­nah­men gemäss Annex I.B (Beschrei­bung der Über­mitt­lung);
    • Modu­le 3 (P2P): wie Modu­le 2.
  • Wei­ter­über­mitt­lung (Onward Trans­fer) in Dritt­staa­ten:
    • Modu­le 1 (C2C): Ver­bot der Wei­ter­über­mitt­lung, soweit der Emp­fän­ger nicht eben­falls an die Klau­seln gebun­den ist, die Über­mitt­lung nach Art. 46 oder 47 DSGVO zuläs­sig ist (geeig­ne­te Garan­tien oder BCR), der Emp­fän­ger­staat ange­mes­se­nen Schutz bie­tet, der Impor­teur mit dem Drit­ten eine Ver­ein­ba­rung schliesst, die den glei­chen Schutz wie die Stan­dard­klau­seln bie­tet (wobei der Impor­teur dem Expor­teur eine Kopie zu über­mit­teln hat oder der Betrof­fe­ne aus­drück­lich ein­ge­wil­ligt hat (wobei der Impor­teur den Expor­teur in die­sem Fall ent­spre­chend zu infor­mie­ren hat).
    • Modu­le 2 (C2P): Ver­bot der Wei­ter­über­mitt­lung ausser­halb der Wei­sun­gen des Expor­teurs und auch dann nur, wenn die Über­mitt­lung nach Art. 46 oder 47 DSGVO zuläs­sig ist oder der Emp­fän­ger­staat ange­mes­se­nen Schutz bie­tet;
    • Modu­le 3 (P2P): wie Modu­le 2.
  • Doku­men­ta­ti­on und Com­pli­an­ce:
    • Modu­le 1 (C2C): Die Par­tei­en müs­sen die Ein­hal­tung der Klau­seln doku­men­tie­ren. Der Impor­teur muss die Doku­men­ta­ti­on ggf. der zustän­di­gen Auf­sichts­be­hör­de offen­le­gen.
    • Modu­le 2 (C2P):
      • Die Par­tei­en müs­sen die Ein­hal­tung der Klau­seln nach­wei­sen;
      • Der Impor­teur muss Anfra­gen des Expor­teurs beant­wor­ten; sei­ne Bear­bei­tun­gen doku­men­tie­ren; dem Expor­teur die erfor­der­li­chen Infor­ma­tio­nen offen­le­gen, damit die­ser die Ein­hal­tung der Klau­seln nach­wei­sen kann; Audits durch den Expor­teur oder Beauf­trag­te zulas­sen; der zustän­di­gen Behör­de auf Anfra­ge Infor­ma­tio­nen offen­le­gen.
    • Modu­le 3 (P2P):
      • Die Par­tei­en müs­sen die Ein­hal­tung der Klau­seln nach­wei­sen;
      • Der Impor­teur muss Anfra­gen des Expor­teurs und des Ver­ant­wort­li­chen beant­wor­ten; sei­ne Bear­bei­tun­gen doku­men­tie­ren; dem Expor­teur und dem Ver­ant­wort­li­chen die erfor­der­li­chen Infor­ma­tio­nen offen­le­gen, damit die­se die Ein­hal­tung der Klau­seln nach­wei­sen kön­nen; Audits durch den Expor­teur oder den Ver­ant­wort­li­chen oder Beauf­trag­te zulas­sen; der zustän­di­gen Behör­de auf Anfra­ge Infor­ma­tio­nen offen­le­gen.
    • Modu­le 4 (P2C): Die Par­tei­en müs­sen die Ein­hal­tung der Klau­seln nach­wei­sen kön­nen.
  • Loka­les Recht (fast gleich bei allen Modu­len):
    • Gegen­sei­ti­ge (!) Zusi­che­rung, dass kein Grund zur Annah­me besteht, das loka­le Recht ste­he den Klau­seln ent­ge­gen, und dass sie dies geprüft haben;
    • Zusi­che­rung des Impor­teurs, dass er den Expor­teur ent­spre­chend infor­miert hat;
    • Doku­men­ta­ti­ons­pflicht;
    • Pflicht des Impor­teurs zur Infor­ma­ti­on des Expor­teurs, falls sich das loka­le Recht ändert und nicht mehr mit den Klau­seln ver­ein­bar ist;
    • Pflicht des Expor­teurs, in die­sem Fall sofort zusätz­li­che Mass­nah­men zu ergrei­fen, ggf. in Abstim­mung mit der Auf­sichts­be­hör­de. Kann die Über­mitt­lung nicht aus­rei­chend abge­si­chert wer­den, muss die Über­mitt­lung ein­ge­stellt wer­den; der Expor­teur hat in die­sem Fall ein ausser­or­dent­li­ches Kün­di­gungs­recht. In bei­den Fäl­len – mit oder ohne aus­rei­chen­de Mass­nah­men – muss der Expor­teur sei­ne Behör­de infor­mie­ren (!).
  • Behör­den­zu­grif­fe (fast gleich bei allen Modu­len; im Modul 4 nur unter bestimm­ten Umstän­den anwend­bar):
    • Der Impor­teur muss den Expor­teur sofort infor­mie­ren; darf er dies nicht, muss er sich um eine Aus­nah­me bemü­hen; lau­fen­de Infor­ma­ti­on des Expor­teurs;
    • Anfech­tung des Zugriffs­ent­scheids.
  • Ein­satz von Unter­be­auf­trag­ten:
    • Modu­le 2 (C2P): Ein­satz nur mit all­ge­mei­ner Geneh­mi­gung und Veto­recht oder Ein­zel­ge­neh­mi­gung; Über­bin­dungs­pflicht und Offen­le­gung der Dritt­ver­ein­ba­rung auf Anfra­ge; Haf­tung für den Unter­be­auf­trag­ten und Pflicht, den Expor­teur über Ver­let­zun­gen des Unter­be­auf­trag­ten zu infor­mie­ren; Recht des Ver­ant­wort­li­chen, den Dritt­ver­trag beim Aus­fall des Auf­trags­ver­ar­bei­ters direkt gegen den Unter­be­auf­trag­ten durch­zu­set­zen;
    • Modu­le 3 (P2P): Ein­satz nur mit all­ge­mei­ner Geneh­mi­gung und Veto­recht oder Ein­zel­ge­neh­mi­gung des Ver­ant­wort­li­chen; Über­bin­dungs­pflicht und Offen­le­gung der Dritt­ver­ein­ba­rung gegen­über dem Expor­teur oder dem Ver­ant­wort­li­chen auf Anfra­ge; Haf­tung für den Unter­be­auf­trag­ten und Pflicht, den Expor­teur über Ver­let­zun­gen des Unter­be­auf­trag­ten zu infor­mie­ren; Recht des Expor­teurs, den Dritt­ver­trag beim Aus­fall des Auf­trags­ver­ar­bei­ters direkt gegen den Unter­be­auf­trag­ten durch­zu­set­zen.
  • Rech­te der Betrof­fe­nen:
    • Modu­le 1 (C2C): aus­führ­li­che Pflich­ten des Impor­teurs zum Umgang mit Betrof­fe­nen­an­fra­gen (auch z.B. bei auto­ma­ti­sier­ten Ein­zel­ent­schei­dun­gen);
    • Modu­le 2 (C2P): Infor­ma­ti­on des Ver­ant­wort­li­chen durch den Impor­teur;
    • Modu­le 3 (P2P): Infor­ma­ti­on des Expor­teurs und u.U. des Ver­ant­wort­li­chen durch den Impor­teur;
    • Modu­le 4 (P2C): Zusam­men­ar­beit der Par­tei­en.
  • Rechts­schutz:
    • Der Impor­teur muss den Betrof­fe­nen eine Ansprech­per­son für Fra­gen und Beschwer­den ange­ben, z.B. durch Mit­tei­lung oder über sei­ne Web­site.
    • Zudem müs­sen sich die Par­tei­en über Dis­pu­te mit Betrof­fe­nen auf dem Lau­fen­den hal­ten. Beruft sich ein Betrof­fe­ner auf Rech­te aus den Stan­dard­klau­seln (s. den fol­gen­den Punkt), muss sich der Impor­teur einer Ent­schei­dung einer zustän­di­gen EWR-Stel­le unter­zie­hen (gilt nicht im Modu­le 4).
  • Haf­tung:
    • Modu­le 1 und 4 (C2C und P2C): Die Par­tei­en haf­ten sich gegen­sei­tig und den Betrof­fe­nen (hier ggf. soli­da­risch) für mate­ri­el­le und imma­te­ri­el­le Schä­den.
    • Modu­le 2 und 3 (C2P und P2P): Die Par­tei­en haf­ten sich gegen­sei­tig, und der Expor­teur haf­tet den Betrof­fe­nen für mate­ri­el­le und imma­te­ri­el­le Schä­den.
  • Schad­los­hal­tung: Die Par­tei­en haben einen Anspruch auf Schad­los­hal­tung, wenn sie bei soli­da­ri­scher Haf­tung über ihren Anteil hin­aus in Anspruch genom­men haben, sofern sie die ande­re Par­tei recht­zei­tig über Dritt­an­sprü­che infor­miert haben und die­se bei der Abwehr unter­stüt­zen.
  • Auf­sicht: Zustän­dig ist die im Ein­zel­nen zu bezeich­nen­de Auf­sichts­be­hör­de des Expor­teurs. Fällt der Expor­teur nur nach Art. 3 Abs. 2 unter die DSGVO (bspw. bei schwei­ze­ri­scher Nie­der­las­sung), ist die Behör­de der betrof­fe­nen Per­so­nen zustän­dig. Der Impor­teur akzep­tiert die Zustän­dig­keit die­ser Behör­de und arbei­tet mit ihr zusam­men.
  • Been­di­gung:
    • Der Expor­teur kann und muss die Über­mitt­lung sus­pen­die­ren, wenn der Impor­teur die Klau­seln ver­letzt oder sie nicht wei­ter ein­hal­ten kann.
    • Die Klau­seln kön­nen been­det wer­den, wenn Über­mitt­lung sus­pen­diert wur­de, nach einer ange­mes­se­nen Frist zur Wie­der­her­stel­lung der Com­pli­an­ce des Impor­teurs, wenn der Impor­teur die Klau­seln erheb­lich oder dau­er­haft ver­letzt und wenn der Impor­teur eine Anord­nung eines zustän­di­gen Gerichts oder einer zustän­di­gen Behör­de ver­letzt. Der Impor­teur muss in die­sen Fäl­len die Auf­sichts­be­hör­de infor­mie­ren.
    • Im Been­di­gungs­fall muss der Impor­teur die betrof­fe­nen Daten sofort zurück­ge­ben und Kopien löschen, und die Löschung bestä­ti­gen (“cer­ti­fy”), sofern loka­les Recht dem nicht ent­ge­gen­steht.
  • Anwend­ba­res Recht und Gerichts­stand: Die Par­tei­en kön­nen das Recht bzw. die Zustän­dig­keit der Gerich­te eines Mit­glied­staats wäh­len.

Was ist wei­ter zu beach­ten?

  • Wie heu­te kön­nen die Stan­dard­klau­seln zwar nicht geän­dert wer­den, dür­fen aber als Teil eines umfas­sen­den Ver­trags­werks ver­wen­det (z.B. eines Intra­group Data Pro­tec­tion Agree­ment) und kön­nen durch flan­kie­ren­de ver­trag­li­che Mass­nah­men ergänzt wer­den (Clau­se 1(c)).
  • Die Stan­dard­klau­seln gehen allen ande­ren ver­trag­li­chen Ver­ein­ba­run­gen zwi­schen den Par­tei­en vor (Clau­se 4), was bereits heu­te i.d.R. ver­trag­lich so vor­ge­se­hen wird.
  • Die Stan­dard­klau­seln mit dem Modul 2 (C2P) über­schnei­den sich mit den Pflich­ten nach Art. 28 DSGVO, d.h. der Auf­trags­be­ar­bei­tungs­ver­ein­ba­rung. Inkon­si­sten­zen müs­sen bei der ver­trag­li­chen Umset­zung ver­mie­den wer­den. Das kann dazu füh­ren, dass die Ver­trags­wer­ke (noch­mals) kom­ple­xer wer­den.
  • Die Risi­ken der Par­tei­en erhö­hen sich, weil wei­te­re Pflich­ten im Ver­let­zungs­fall nicht nur zu Sank­tio­nen, son­dern auch zu ver­trag­li­cher Haf­tung füh­ren kön­nen (was heu­te schon der Fall ist, wenn ein Ver­trag gene­rell “com­pli­an­ce with app­li­ca­ble laws” ver­langt). Dazu kommt, dass die Klau­seln auch eine Haf­tung für imma­te­ri­el­le Schä­den vor­se­hen, was das schwei­ze­ri­sche Recht prak­tisch nir­gends kennt.
  • Die Auf­sichts­be­hör­den haben eine sehr akti­ve Rol­le und müs­sen u.U. in kom­ple­xen Fra­gen bera­ten. Ihre von der DSGVO vor­ge­ge­be­ne Rol­le wird mit ande­ren Wor­ten ver­trag­lich abge­bil­det. Wenn der EDÖB die Stan­dard­klau­seln eben­falls aner­kennt, wird dies auch für ihn gel­ten müs­sen, was sei­ne Auf­ga­be bis zu einem gewis­sen Grad jener einer EU-Auf­sichts­be­hör­de annä­hert (und das­sel­be gilt für kan­to­na­le Auf­sichts­be­hör­den, wenn sie die Stan­dard­klau­seln nach dem kan­to­na­len Recht aner­ken­nen).

Was ist zu tun?

  • Vor­erst sind die neu­en Klau­seln erst ein Ent­wurf. Die Anhö­rungs­frist endet am 10. Dezem­ber 2020. Wann die Klau­seln fina­li­siert und in Kraft gesetzt wer­den, ist unbe­kannt.
  • Unter­neh­men wer­den aber auf die neu­en Stan­dard­klau­seln wech­seln müs­sen, sofern sie für Über­mitt­lun­gen in Dritt­län­der auf die Klau­seln set­zen. Eini­ge Pro­vi­der wer­den von sich aus ent­spre­chen­de Ver­trags­an­pas­sun­gen ver­an­las­sen, aber nicht alle, und nicht nur Pro­vi­der sind von den neu­en Klau­seln betrof­fen, son­dern auch alle ande­ren Über­mitt­lun­gen, die auf den Stan­dard­klau­seln beru­hen, auch kon­zern­in­ter­ne Ver­trags­wer­ke und Klau­seln zwi­schen Ver­ant­wort­li­chen. Zudem soll­ten Über­mitt­lun­gen, die heu­te noch unre­gu­liert erfol­gen, auf die Basis der Stan­dard­klau­seln gestellt wer­den.
  • Das erfor­dert erstens eine Bestim­mung der grenz­über­schrei­ten­den Über­mitt­lun­gen aus einem EWR-Staat oder aus ande­ren Staa­ten, die die Stan­dard­klau­seln als poten­ti­ell aus­rei­chend aner­ken­nen, so ins­be­son­de­re die Schweiz.
  • In einem zwei­ten Schritt muss bestimmt wer­den, wel­che die­ser Über­mitt­lun­gen bis­her und/oder in Zukunft mit den Stan­dard­klau­seln legi­ti­miert wer­den.
  • Drit­tens müs­sen die ent­spre­chen­den Ver­trags­wer­ke ange­passt oder geschlos­sen wer­den. Bei einer Anpas­sung fragt sich, auf wel­che Wei­se sie erfol­gen kann. Das ist in erster Linie von den ent­spre­chen­den Ver­trags­wer­ken abhän­gig – neue­re Ver­trä­ge und ins­be­son­de­re Auf­trags­be­ar­bei­tungs­ver­ein­ba­run­gen geben dem Expor­teur häu­fig das Recht, sol­che Ände­run­gen ein­sei­tig auf­zu­ru­fen.
  • Vier­tens müs­sen die Infor­ma­tio­nen vor­han­den sein, die nach den neu­en Klau­seln erfor­der­lich sind. Das ver­langt u.a. eine Bestim­mung der tech­ni­schen und orga­ni­sa­to­ri­schen Schutz­mass­nah­men für die ein­zel­nen Über­mitt­lun­gen (vgl. oben betr. Anhang 2).
  • Fünf­tens muss der Expor­teur prü­fen, ob der Impor­teur in der Lage ist, die Klau­seln ein­zu­hal­ten. Ist dies nicht der Fall, muss er wei­te­re Mass­nah­men (Schrems-II-Mass­nah­men) prü­fen und imple­men­tie­ren.
  • Sech­stens müs­sen die wei­te­ren Pflich­ten ein­ge­hal­ten wer­den, die sich im Zusam­men­hang mit den Über­mitt­lun­gen aus der DSGVO Bzw. dem anwend­ba­ren Recht erge­ben, bspw. Infor­ma­ti­ons­pflich­ten oder die Pflicht, einen Auf­trags­ver­ar­bei­tungs­ver­trag zu schlie­ssen.