Die Europäische Kommission hat am 12. November 2020 den erwarteten Entwurf der revidierten Standardvertragsklauseln veröffentlicht (PDF mit Inhaltsverzeichnis), kurz nachdem der EDSA seine Empfehlungen für zusätzliche Massnahmen zum Schutz bei grenzüberschreitenden Übermittlungen vorgelegt hat. Die neuen Klauseln beruhen auf einer entsprechenden Entscheidung der EU-Kommission, die gewissermassen die Erwägungsgründe zu den Klauseln enthält.
Welche Klauseln gibt es?
Es gibt nur noch ein Paket von Standardklauseln, nicht mehr wie bisher zwei bzw. drei. Sie sind aber modular aufgebaut und decken auch Szenarien ab, für die heute Klauseln fehlen:
- Allgemeine Bestimmungen: Die Klauseln enthalten zunächst in einem ersten Abschnitt allgemeine Bestimmungen zum Anwendungsbereich.
- Besondere Bestimmungen: In einem zweiten Abschnitt (Sec. II) enthalten die Klauseln die Kernpflichten der Parteien (“Data protection safeguards”). Diese unterscheiden sich zunächst je nach den folgenden Konstellationen:
- Übermittlung zwischen Verantwortlichen (Module One);
- Übermittlungen eines Verantwortlichen an einen Auftragsverarbeiter (Module 2), wobei die gleichen Klauseln auch für eine Übermittlung durch einen Auftragsverarbeiter m EWR an einen Unterauftragsverarbeiter in einem Drittstaat verwendet werden können (was heute nach offizieller Lesart den direkten Abschluss der Standardklauseln zwischen dem Verantwortlichen und dem Unterauftragsverarbeiter voraussetzen würde);
- Übermittlungen eines Auftragsbearbeiters an einen weiteren Auftragsverarbeiter (Module 3);
- Übermittlungen eines Auftragsbearbeiters an einen Verantwortlichen (Module 4).
- Ebenfalls im zweiten Abschnitt finden sich weitere Bestimmungen, die sich teilweise je nach Modul unterscheiden, so über lokales Recht, das die Anwendung der Klauseln beeinflussen kann (alle Module); über Pflichten des Importeurs bei Behördenzugriffen (alle Module); über den Einsatz von Subprocessors (nur Module 2 und 3); Betroffenenrechte; Rechtsschutz (nur Module 1 – 3); Haftung (alle Module; nicht optional); Schadloshaltung (alle Module, keine Unterschiede) und Aufsicht (alle Module, keine Unterschiede).
- Der dritte Abschnitt enthält Schlussbestimmungen, die sich nicht nach Modulen unterscheiden (Verletzung und Beendigung; anwendbares Recht; Gerichtsstand).
- Anhang 1 enthält eine Liste der Parteien und eine Beschreibung der Übermittlung.
- Anhang 2 enthält eine Beschreibung der anwendbaren technischen und organisatorischen Massnahmen – hier werden die Empfehlungen des EDSA zu den Schrems-II-Massnahmen relevant sein, die durch den Text der neuen Klauseln nur ansatzweise umgesetzt sind). Anhang 2 nennt Beispiele von Massnahmen. Genannt sind naturgemäss nur technische und organisatorische Massnahmen, nicht aber begleitende vertragliche Massnahmen.
Was ist das Verhältnis zu den Schrems-II-Begleitmassnahmen?
- Die Standardklauseln sollen den nach der DSGVO erforderlichen Schutz gewähren. Ob sie das können, hängt vom lokalen Recht des Importeurs ab. Infolgedessen können die Klauseln nicht genügen und legitimieren sie keine Übermittlung, wenn dieses lokale Recht die Einhaltung der Klauseln nicht erlaubt. Der Exporteur muss daher auch bei den neuen Klauseln prüfen, ob das lokale Recht den Anforderungen entspricht:
The transfer and processing of personal data under standard contractual clauses should only take place if the laws of the third country of destination do not prevent the data importer from complying with those clauses. In this respect, laws that respect the essence of the fundamental rights and freedoms and do not exceed what is necessary and proportionate in a democratic society to safeguard one of the objectives listed in Article 23(1) of Regulation (EU) 2016/679 should not be considered as being in contradiction with the standard contractual clauses.
- Dies verlangt eine Prüfung bezogen auf die konkrete Übermittlung. Zeigt sich später, dass der Importeur die Klauseln nicht mehr einhalten kann, müssen die Parteien zusätzliche Massnahmen prüfen:
If the data exporter […] becomes aware that the data importer is no longer able to comply with the standard contractual clauses, it should identify appropriate measures to address the situation, if necessary in consultation with the competent supervisory authority. Such measures may include supplementary measures adopted by the data exporter and/or data importer, such as technical or organisational measures to ensure security and confidentiality.
- Die Entscheidung der EU-Kommission sagt nichts Ausdrückliches zur Frage, welche Bedeutung den Standardklauseln in diesem Fall noch zukommt, aber aus dem Kontext ist klar, dass die Standardklauseln in diesem Fall zwar weiterhin gelten können, aber nur im Verbund mit weiteren Massnahmen. Mit anderen Worten besteht das Schrems-II-Problem unverändert weiter, wann immer das lokale Recht mit den Pflichten der Klauseln nicht vereinbar ist. Der Exporteur ist der entsprechenden Prüfung daher genauso wenig enthoben, wie es mit den heutigen Klauseln der Fall ist. Im Gegenteil sehen die Klauseln konkrete Pflichten vor, wie das lokale Recht zu beurteilen und welche Risikofaktoren zu berücksichtigen sind (letzteres allerdings sehr oberflächlich), verbunden mit einer entsprechenden Dokumentationspflicht.
Wer kann die Klauseln schliessen?
- Die Klauseln stehen sowohl Privaten als auch Behörden offen (Clause 1(b)).
- Dritte können bereits geschlossenen Klauseln beitreten, sofern die Parteien zustimmen (“Docking Clause, optionale Clause 6). Der Beitritt setzt u.a. voraus, dass die entsprechende Konkretisierung der Übermittlungen (vgl. nächster Punkt) ggf. entsprechend ergänzt wird. Clause 6 stellt klar, dass das Beitrittsunternehmen durch den Beitritt keine vorbestehenden Pflichten übernimmt.
Wie sind die Klauseln zu konkretisieren?
- Wie unter den heutigen Klauseln müssen die einzelnen Datenflüsse auch unter den neuen Standardklauseln konkretisiert werden (Clause 5). Die neuen Klauseln halten nicht fest, ob dies nur im Einzelfall oder auch generisch erfolgen kann (z.B. durch eine Liste von Datenkategorien usw., die im konzerninternen Verhältnis ausgetauscht werden können), aber es dürfte ersteres gelten.
- Die Konkretisierung entspricht weitgehend dem heutigen Annex B der C2C-Klauseln. Zusätzlich sind aber besondere Schutzmassnahmen bei besonderen Kategorien von Personendaten und die maximale Speicherdauer anzugeben.
Was regeln die Klauseln?
- Die besonderen Pflichten (Sec. II) regeln insbesondere folgende Themen:
- Einhaltung der Zweckbindung durch den Importeur (Module 1, 2 und 3) und Weisungsbindung des Importeurs (Module 2, 3 und 4, im letzteren Fall Bindung des Exporteurs);
- Transparenz: Die Betroffenen sind zu informieren:
- Module 1 (C2C): durch den importierenden Verantwortlichen, u.a. über dessen Identität, weitere Bearbeitungszwecke und Weiterübermittlungen; auf Anfrage Kopie der Klauseln);
- Module 2 (C2P): auf Anfrage Kopie der Klauseln;
- Module 3 (P2P): auf Anfrage Kopie der Klauseln;
- Datenrichtigkeit und ‑minimierung:
- Module 1 (C2C): durch beide Parteien sicherzustellen, u.a. durch gegenseitige Information;
- Module 2 (C2P): gegenseitige Information bei Unrichtigkeit;
- Module 3 (P2P): gegenseitige Information bei Unrichtigkeit;
- Löschung bzw. Speicherbegrenzung:
- Module 1 (C2C): Löschpflicht des Importeurs nach Zweckerreichung;
- Module 2 (C2P): Löschpflicht des Importeurs nach Ablauf der Bearbeitung (die im Annex I zu konkretisieren ist);
- Module 3 (P2P): Löschpflicht des Importeurs nach Ablauf der Bearbeitung (die im Annex I zu konkretisieren ist);
- Datensicherheit:
- Module 1 (C2C): Pflicht zu angemessenen Massnahmen des Importeurs, im Transit aber auch des Exporteurs; weitere Pflichten des Importeurs: (regelmässige Prüfung der Massnahmen (ohne de-minimis-Klausel bei harmlosen Übermittlungen); Sicherstellung einer gesetzlichen oder vertraglichen Vertraulichkeitspflicht seiner Hilfspersonen; Mitigierungsmassnahmen im Fall eines Breach; Information ohne Verzug (ohne Höchstfrist) sowohl des Exporteurs als auch der Aufsichtsbehörde des Exporteurs (!) bei Verletzungen, bei denen mit erheblichen Folgen zu rechnen ist, und gleichzeitig der Betroffenen (!), sofern dies nicht unverhältnismässig wäre; Dokumentation aller Breaches und der getroffenen Massnahmen;
- Module 2 (C2P): Pflicht zu angemessenen Massnahmen des Importeurs, im Transit aber auch des Exporteurs; weitere Pflichten des Importeurs: Datenzugang nach dem need-to-know-Prinzip; Sicherstellung einer gesetzlichen oder vertraglichen Vertraulichkeitspflicht seiner Hilfspersonen; Mitigierungsmassnahmen im Fall eines Breach; Information ohne Verzug (ohne Höchstfrist) des Exporteurs (nicht aber auch der Aufsichtsbehörde oder der Betroffenen); Zusammenarbeit mit dem Exporteur;
- Module 3 (P2P): Pflicht zu angemessenen Massnahmen des Importeurs, im Transit aber auch des Exporteurs; weitere Pflichten des Importeurs: Datenzugang nach dem need-to-know-Prinzip; Sicherstellung einer gesetzlichen oder vertraglichen Vertraulichkeitspflicht seiner Hilfspersonen; Mitigierungsmassnahmen im Fall eines Breach; Information ohne Verzug (ohne Höchstfrist) des Exporteurs und ggf. des Verantwortlichen); Zusammenarbeit mit dem Exporteur;
- Module 4 (P2C): Pflicht zu angemessenen Sicherheitsmassnahmen der Parteien.
- besondere Kategorien von Personendaten:
- Module 1 (C2C): Pflicht zu angemessenen Sicherheitsmassnahmen;
- Module 2 (C2P): Pflicht zu den Sicherheitsmassnahmen gemäss Annex I.B (Beschreibung der Übermittlung);
- Module 3 (P2P): wie Module 2.
- Weiterübermittlung (Onward Transfer) in Drittstaaten:
- Module 1 (C2C): Verbot der Weiterübermittlung, soweit der Empfänger nicht ebenfalls an die Klauseln gebunden ist, die Übermittlung nach Art. 46 oder 47 DSGVO zulässig ist (geeignete Garantien oder BCR), der Empfängerstaat angemessenen Schutz bietet, der Importeur mit dem Dritten eine Vereinbarung schliesst, die den gleichen Schutz wie die Standardklauseln bietet (wobei der Importeur dem Exporteur eine Kopie zu übermitteln hat oder der Betroffene ausdrücklich eingewilligt hat (wobei der Importeur den Exporteur in diesem Fall entsprechend zu informieren hat).
- Module 2 (C2P): Verbot der Weiterübermittlung ausserhalb der Weisungen des Exporteurs und auch dann nur, wenn die Übermittlung nach Art. 46 oder 47 DSGVO zulässig ist oder der Empfängerstaat angemessenen Schutz bietet;
- Module 3 (P2P): wie Module 2.
- Dokumentation und Compliance:
- Module 1 (C2C): Die Parteien müssen die Einhaltung der Klauseln dokumentieren. Der Importeur muss die Dokumentation ggf. der zuständigen Aufsichtsbehörde offenlegen.
- Module 2 (C2P):
- Die Parteien müssen die Einhaltung der Klauseln nachweisen;
- Der Importeur muss Anfragen des Exporteurs beantworten; seine Bearbeitungen dokumentieren; dem Exporteur die erforderlichen Informationen offenlegen, damit dieser die Einhaltung der Klauseln nachweisen kann; Audits durch den Exporteur oder Beauftragte zulassen; der zuständigen Behörde auf Anfrage Informationen offenlegen.
- Module 3 (P2P):
- Die Parteien müssen die Einhaltung der Klauseln nachweisen;
- Der Importeur muss Anfragen des Exporteurs und des Verantwortlichen beantworten; seine Bearbeitungen dokumentieren; dem Exporteur und dem Verantwortlichen die erforderlichen Informationen offenlegen, damit diese die Einhaltung der Klauseln nachweisen können; Audits durch den Exporteur oder den Verantwortlichen oder Beauftragte zulassen; der zuständigen Behörde auf Anfrage Informationen offenlegen.
- Module 4 (P2C): Die Parteien müssen die Einhaltung der Klauseln nachweisen können.
- Lokales Recht (fast gleich bei allen Modulen):
- Gegenseitige (!) Zusicherung, dass kein Grund zur Annahme besteht, das lokale Recht stehe den Klauseln entgegen, und dass sie dies geprüft haben;
- Zusicherung des Importeurs, dass er den Exporteur entsprechend informiert hat;
- Dokumentationspflicht;
- Pflicht des Importeurs zur Information des Exporteurs, falls sich das lokale Recht ändert und nicht mehr mit den Klauseln vereinbar ist;
- Pflicht des Exporteurs, in diesem Fall sofort zusätzliche Massnahmen zu ergreifen, ggf. in Abstimmung mit der Aufsichtsbehörde. Kann die Übermittlung nicht ausreichend abgesichert werden, muss die Übermittlung eingestellt werden; der Exporteur hat in diesem Fall ein ausserordentliches Kündigungsrecht. In beiden Fällen – mit oder ohne ausreichende Massnahmen – muss der Exporteur seine Behörde informieren (!).
- Behördenzugriffe (fast gleich bei allen Modulen; im Modul 4 nur unter bestimmten Umständen anwendbar):
- Der Importeur muss den Exporteur sofort informieren; darf er dies nicht, muss er sich um eine Ausnahme bemühen; laufende Information des Exporteurs;
- Anfechtung des Zugriffsentscheids.
- Einsatz von Unterbeauftragten:
- Module 2 (C2P): Einsatz nur mit allgemeiner Genehmigung und Vetorecht oder Einzelgenehmigung; Überbindungspflicht und Offenlegung der Drittvereinbarung auf Anfrage; Haftung für den Unterbeauftragten und Pflicht, den Exporteur über Verletzungen des Unterbeauftragten zu informieren; Recht des Verantwortlichen, den Drittvertrag beim Ausfall des Auftragsverarbeiters direkt gegen den Unterbeauftragten durchzusetzen;
- Module 3 (P2P): Einsatz nur mit allgemeiner Genehmigung und Vetorecht oder Einzelgenehmigung des Verantwortlichen; Überbindungspflicht und Offenlegung der Drittvereinbarung gegenüber dem Exporteur oder dem Verantwortlichen auf Anfrage; Haftung für den Unterbeauftragten und Pflicht, den Exporteur über Verletzungen des Unterbeauftragten zu informieren; Recht des Exporteurs, den Drittvertrag beim Ausfall des Auftragsverarbeiters direkt gegen den Unterbeauftragten durchzusetzen.
- Rechte der Betroffenen:
- Module 1 (C2C): ausführliche Pflichten des Importeurs zum Umgang mit Betroffenenanfragen (auch z.B. bei automatisierten Einzelentscheidungen);
- Module 2 (C2P): Information des Verantwortlichen durch den Importeur;
- Module 3 (P2P): Information des Exporteurs und u.U. des Verantwortlichen durch den Importeur;
- Module 4 (P2C): Zusammenarbeit der Parteien.
- Rechtsschutz:
- Der Importeur muss den Betroffenen eine Ansprechperson für Fragen und Beschwerden angeben, z.B. durch Mitteilung oder über seine Website.
- Zudem müssen sich die Parteien über Dispute mit Betroffenen auf dem Laufenden halten. Beruft sich ein Betroffener auf Rechte aus den Standardklauseln (s. den folgenden Punkt), muss sich der Importeur einer Entscheidung einer zuständigen EWR-Stelle unterziehen (gilt nicht im Module 4).
- Haftung:
- Module 1 und 4 (C2C und P2C): Die Parteien haften sich gegenseitig und den Betroffenen (hier ggf. solidarisch) für materielle und immaterielle Schäden.
- Module 2 und 3 (C2P und P2P): Die Parteien haften sich gegenseitig, und der Exporteur haftet den Betroffenen für materielle und immaterielle Schäden.
- Schadloshaltung: Die Parteien haben einen Anspruch auf Schadloshaltung, wenn sie bei solidarischer Haftung über ihren Anteil hinaus in Anspruch genommen haben, sofern sie die andere Partei rechtzeitig über Drittansprüche informiert haben und diese bei der Abwehr unterstützen.
- Aufsicht: Zuständig ist die im Einzelnen zu bezeichnende Aufsichtsbehörde des Exporteurs. Fällt der Exporteur nur nach Art. 3 Abs. 2 unter die DSGVO (bspw. bei schweizerischer Niederlassung), ist die Behörde der betroffenen Personen zuständig. Der Importeur akzeptiert die Zuständigkeit dieser Behörde und arbeitet mit ihr zusammen.
- Beendigung:
- Der Exporteur kann und muss die Übermittlung suspendieren, wenn der Importeur die Klauseln verletzt oder sie nicht weiter einhalten kann.
- Die Klauseln können beendet werden, wenn Übermittlung suspendiert wurde, nach einer angemessenen Frist zur Wiederherstellung der Compliance des Importeurs, wenn der Importeur die Klauseln erheblich oder dauerhaft verletzt und wenn der Importeur eine Anordnung eines zuständigen Gerichts oder einer zuständigen Behörde verletzt. Der Importeur muss in diesen Fällen die Aufsichtsbehörde informieren.
- Im Beendigungsfall muss der Importeur die betroffenen Daten sofort zurückgeben und Kopien löschen, und die Löschung bestätigen (“certify”), sofern lokales Recht dem nicht entgegensteht.
- Anwendbares Recht und Gerichtsstand: Die Parteien können das Recht bzw. die Zuständigkeit der Gerichte eines Mitgliedstaats wählen.
Was ist weiter zu beachten?
- Wie heute können die Standardklauseln zwar nicht geändert werden, dürfen aber als Teil eines umfassenden Vertragswerks verwendet (z.B. eines Intragroup Data Protection Agreement) und können durch flankierende vertragliche Massnahmen ergänzt werden (Clause 1(c)).
- Die Standardklauseln gehen allen anderen vertraglichen Vereinbarungen zwischen den Parteien vor (Clause 4), was bereits heute i.d.R. vertraglich so vorgesehen wird.
- Die Standardklauseln mit dem Modul 2 (C2P) überschneiden sich mit den Pflichten nach Art. 28 DSGVO, d.h. der Auftragsbearbeitungsvereinbarung. Inkonsistenzen müssen bei der vertraglichen Umsetzung vermieden werden. Das kann dazu führen, dass die Vertragswerke (nochmals) komplexer werden.
- Die Risiken der Parteien erhöhen sich, weil weitere Pflichten im Verletzungsfall nicht nur zu Sanktionen, sondern auch zu vertraglicher Haftung führen können (was heute schon der Fall ist, wenn ein Vertrag generell “compliance with applicable laws” verlangt). Dazu kommt, dass die Klauseln auch eine Haftung für immaterielle Schäden vorsehen, was das schweizerische Recht praktisch nirgends kennt.
- Die Aufsichtsbehörden haben eine sehr aktive Rolle und müssen u.U. in komplexen Fragen beraten. Ihre von der DSGVO vorgegebene Rolle wird mit anderen Worten vertraglich abgebildet. Wenn der EDÖB die Standardklauseln ebenfalls anerkennt, wird dies auch für ihn gelten müssen, was seine Aufgabe bis zu einem gewissen Grad jener einer EU-Aufsichtsbehörde annähert (und dasselbe gilt für kantonale Aufsichtsbehörden, wenn sie die Standardklauseln nach dem kantonalen Recht anerkennen).
Was ist zu tun?
- Vorerst sind die neuen Klauseln erst ein Entwurf. Die Anhörungsfrist endet am 10. Dezember 2020. Wann die Klauseln finalisiert und in Kraft gesetzt werden, ist unbekannt.
- Unternehmen werden aber auf die neuen Standardklauseln wechseln müssen, sofern sie für Übermittlungen in Drittländer auf die Klauseln setzen. Einige Provider werden von sich aus entsprechende Vertragsanpassungen veranlassen, aber nicht alle, und nicht nur Provider sind von den neuen Klauseln betroffen, sondern auch alle anderen Übermittlungen, die auf den Standardklauseln beruhen, auch konzerninterne Vertragswerke und Klauseln zwischen Verantwortlichen. Zudem sollten Übermittlungen, die heute noch unreguliert erfolgen, auf die Basis der Standardklauseln gestellt werden.
- Das erfordert erstens eine Bestimmung der grenzüberschreitenden Übermittlungen aus einem EWR-Staat oder aus anderen Staaten, die die Standardklauseln als potentiell ausreichend anerkennen, so insbesondere die Schweiz.
- In einem zweiten Schritt muss bestimmt werden, welche dieser Übermittlungen bisher und/oder in Zukunft mit den Standardklauseln legitimiert werden.
- Drittens müssen die entsprechenden Vertragswerke angepasst oder geschlossen werden. Bei einer Anpassung fragt sich, auf welche Weise sie erfolgen kann. Das ist in erster Linie von den entsprechenden Vertragswerken abhängig – neuere Verträge und insbesondere Auftragsbearbeitungsvereinbarungen geben dem Exporteur häufig das Recht, solche Änderungen einseitig aufzurufen.
- Viertens müssen die Informationen vorhanden sein, die nach den neuen Klauseln erforderlich sind. Das verlangt u.a. eine Bestimmung der technischen und organisatorischen Schutzmassnahmen für die einzelnen Übermittlungen (vgl. oben betr. Anhang 2).
- Fünftens muss der Exporteur prüfen, ob der Importeur in der Lage ist, die Klauseln einzuhalten. Ist dies nicht der Fall, muss er weitere Massnahmen (Schrems-II-Massnahmen) prüfen und implementieren.
- Sechstens müssen die weiteren Pflichten eingehalten werden, die sich im Zusammenhang mit den Übermittlungen aus der DSGVO Bzw. dem anwendbaren Recht ergeben, bspw. Informationspflichten oder die Pflicht, einen Auftragsverarbeitungsvertrag zu schliessen.