Die Europäische Kommission hat mit Datum vom 4. Juni 2021 die neuen Standardvertragsklauseln (Standard Contractual Clauses; SCC; deutsch / englisch) veröffentlicht, nach dem Entwurf der SCC vom 12. November 2020.
Wir hatten über den Entwurf berichtet und die wesentlichen Neuerungen zusammengefasst. Ein Deltaview zwischen dem Entwurf und der nun verabschiedeten Fassung ist hier verfügbar (jeweils auf Englisch):
- Durchführungsbeschluss (mit den zugrundeliegenden Erwägungen);
- SCC.
Allgemeines und Arbeitsmaterialien
Wie bereits der Entwurf sind die neuen SCC modular aufgebaut. Sie enthalten Module für Übermittlungen:
- Modul 1: DSGVO-Verantwortlicher an nNicht-DSGVO-Verantwortliche ohne Angemessenheitsbeschluss;
- Modul 2: DSGVO-Verantwortliche an Nicht-DSGVO-Auftragsverarbeiter ;
- Modul 3: DSGVO-Auftragsbearbeiter an Nicht-DSGVO-Unterauftragsverarbeiter;
- Modul 4: DSGVO-Auftragsverarbeiter an Nicht-DSGVO-Verantwortliche.
Einige Klauseln beziehen sich jeweils auf alle Module, eine unterscheiden nach Modulen und einige sind nicht auf alle Module anwendbar. Innerhalb einzelner Module stehen teilweise auch Optionen zur Verfügung, unter denen auszuwählen ist. Das macht das Dokument nicht leicht verständlich.
Zeitliches und Übergangsfristen
- Der Durchführungsbeschluss tritt in Kraft am 27. Juni 2021 (20 Tage nach der Publikation im Amtsblatt vom 7. Juni 2021).
- Die neuen SCC sind ab dem 27. September 2021 zu verwenden; mit diesem Datum werden die heutigen SCC (d.h. die ihnen zugrundeliegenden Durchführungsbeschlüsse) aufgehoben. Es gilt bis also eine dreimonatige Übergangsfrist ab dem Inkrafttreten des Durchführungsbeschlusses. Ab dann können neue Verträge nur noch die neuen SCC verwenden (Art. 4 Ziff. 2 und 3 des neuen Durchführungsbeschlusses).
- Die alten – also heutigen – SCC können für am 27. September 2021 bestehende Verträge während einer Übergangsfrist von 15 Monaten weiterhin verwendet werden, nun auf der Grundlage des neuen Durchführungsbeschlusses, also bis am 27. Dezember 2022 (Art. 4 Ziff. 4 des Durchführungsbeschlusses). Bis dahin müssen bestehende Verträge auf die neuen SCC migriert werden.
Weitere Bemerkungen
- Vorab ist festzuhalten, dass die SCC nicht verwendet werden können und – gemäss dem Durchführungsbeschluss – dürfen, wenn der Importeur der DSGVO untersteht, und dies auch dann, wenn sich die Anwendbarkeit der DSGVO aus Art. 3 Abs. 2 DSGVO ergibt, also dem datenschutzrechtlich konkretisierten Auswirkungsprinzip (deshalb auch der Ausdruck “DSGVO-Verantwortliche” usw. oben). Der Exporteur muss sich daher vergewissern, ob der Importeur der DSGVO untersteht; und da Art. 3 Abs. 2 DSGVO jeweils nur bestimmte Verarbeitungen erfasst, ist diese Frage ggf. spezifisch für die Infragestehende Verarbeitung zu beantworten. Demgegenüber können auch Exporteure ausserhalb des EWR die neuen Klauseln verwenden, wenn sie ihrerseits nach Art. 3 Abs. 2 der DSGVO unterstehen.
- Konzeptionell neu sind die Module 3 und 4, für Querlieferungen zwischen Auftragsverarbeitern und für Übermittlungen von DSGVO-Auftragsverarbeitern an Nicht-DSGVO-Verantwortliche.
- Das Modul 2 für Controller-to-Processor-Übermittlungen enthält die Inhalte nach Art. 28 Abs. 3 DSGVO. Es dürfte also nicht mehr zwingend sein, neben den SCC einen zusätzlichen Auftragsverarbeitungsvertrag zu schliessen.
- Bestehenden neuen SCC können weitere Parteien jederzeit beitreten. Das dürfte besonders im Konzernverbund relevant werden.
- Die SCC enthalten Haftungsbestimmungen (eine Haftungszusage, keine Beschränkung). Ob diese Haftungsregelung dispositiv sein soll, ist offen.
- Der Elefant im Raum ist natürlich Schrems II. Die Kommission ist der Auffassung – sie steht unter dem Vorbehalt, dass der EuGH den Durchführungsbeschluss in Schrems III, IV oder V überprüfen kann –, dass das Schrems II-Thema durch die neuen SCC nicht gelöst, aber adressiert wird. Dazu enthalten die SCC – jeweils für alle vier Module gleichlautend – in Klauseln 14 und 15 eigene Schrems-II-Klauseln. Nach Klausel 14 gilt folgendes:
- Die Parteien sichern sich gegenseitig zu, dass sie dem Importeur zutrauen, die SCC trotz seines Heimatrechts einhalten zu können,
- Diese Zusicherung schöpfen sie nicht aus der allgemeinen Lebenserfahrung. Sie müssen die Auswirkungen des Heimatrechts des Importeurs vielmehr eingehend abklären, unter Mitwirkung des Importeurs – dies ist die Grundlage der sogenannten “Transfer Impact Assessments” (TIAs), die sich dadurch viel stärker durchsetzen dürften; dies insbesondere aufgrund der Dokumentationspflicht, die sich für den Exporteur schon aus der DSGVO ergibt, die nun aber auch für den Importeur eine Vertragspflicht wird. Die Pflicht zu TIA gilt auch bei Weiterübermittlungen eines durch die SCC gebundenen Importeurs an weitere Nicht-DSGVO-Importeure. Es steht zu erwarten, dass grössere Importeure – allen voran die US-Tech-Konzerne – standardisierte TIAs ausarbeiten und bereitstellen werden.
- Der Importeur muss den Exporteur informieren, wenn sich sein Recht oder die Behördenpraxis relevant ändert. In diesem Fall muss der Exporteur Zusatzmassnahmen treffen und, falls dies scheitert, die Übermittlung aussetzen, und er kann die SCC in diesem Fall auch kündigen.
- Nach Klausel 15 gilt im Fall eines Behördenzugriffs bzw. ‑zugangs weiter:
- Der Importeur muss den Exporteur sofort benachrichtigen, soweit er das darf. Er informiert den Exporteur regelmässig über lawful access requests.
- Der Importeur muss die Rechtmässigkeit des Zugriffs prüfen, diese Prüfung dokumentieren und entsprechende Anordnungen anfechten, sofern er das nicht für aussichtslos halten darf. Er muss sogar vorsorgliche Massnahmen beantragen.
- Es liegt auf der Hand, dass diese Anforderungen die grossen Anbieter bevorzugen und damit den Konzentrationsprozess bei den Cloudanbietern beschleunigen.
- Bemerkenswert ist, dass die Kommission bei den TIA einem Risk-Based-Ansatz zu folgen scheint und nicht einem Rights-Based-Ansatz wie tendenziell der EDSA in seinen Leitlinien für Datenübermittlungen nach Schrems II. Das zeigt sich etwa darin, dass die Parteien die Umstände der Übermittlung einschliesslich der Art der Daten und die Behördenpraxis im Empfängerstaat zu beachten haben. Die Leitlinien des EDSA liegen erst als Entwurf vor, dürften aber in den nächsten 10 Tagen definitiv verabschiedet werden, dem Hörensagen nach mit der gleichen Stossrichtung wie der Entwurf. Das Verhältnis zwischen diesen Leitlinien und den neuen SCC wird also zweifellos noch zu reden geben.
- Sollte die EU die Angemessenheit des schweizerischen Datenschutzrechts nicht bestätigen, müssen EWR-Exporteure mit CH-Importeuren SCC schliessen, soweit nicht ausnahmsweise eine Ausnahme greift. Das wäre für die Exporteure sehr belastend, noch mehr aber für die Importeure, die de facto gezwungen wären, ihren EWR-Vertragspartnern auf die Schweiz zugeschnittene SCCs und Dokumentationen bereitstellen müssten. In diesem Fall stellen das BJ oder der EDÖB hoffentlich rasch Grundlagen eines CH-TIA bereit, das die Importeure branchenspezifisch aufbereiten könnten.
- Der EDÖB hat die neuen SCC noch nicht ratifiziert, wird dies aber zweifellos tun.