Neue Stan­dard­ver­trags­klau­seln: ver­pflich­tend ab dem 27.9.2021; Alt­ver­trä­ge: ab dem 27.12.2022

Die Euro­päi­sche Kom­mis­si­on hat mit Datum vom 4. Juni 2021 die neu­en Stan­dard­ver­trags­klau­seln (Stan­dard Con­trac­tu­al Clau­ses; SCC; deutsch / eng­lisch) ver­öf­fent­licht, nach dem Ent­wurf der SCC vom 12. Novem­ber 2020.

Wir hat­ten über den Ent­wurf berich­tet und die wesent­li­chen Neue­run­gen zusam­men­ge­fasst. Ein Del­ta­view zwi­schen dem Ent­wurf und der nun ver­ab­schie­de­ten Fas­sung ist hier ver­füg­bar (jeweils auf Englisch):

All­ge­mei­nes und Arbeitsmaterialien

Wie bereits der Ent­wurf sind die neu­en SCC modu­lar auf­ge­baut. Sie ent­hal­ten Modu­le für Übermittlungen:

  • Modul 1: DSGVO-Ver­ant­wort­li­cher an nNicht-DSGVO-Ver­ant­wort­li­che ohne Angemessenheitsbeschluss;
  • Modul 2: DSGVO-Ver­ant­wort­li­che an Nicht-DSGVO-Auftragsverarbeiter ;
  • Modul 3: DSGVO-Auf­trags­be­ar­bei­ter an Nicht-DSGVO-Unterauftragsverarbeiter;
  • Modul 4: DSGVO-Auf­trags­ver­ar­bei­ter an Nicht-DSGVO-Verantwortliche.

Eini­ge Klau­seln bezie­hen sich jeweils auf alle Modu­le, eine unter­schei­den nach Modu­len und eini­ge sind nicht auf alle Modu­le anwend­bar. Inner­halb ein­zel­ner Modu­le ste­hen teil­wei­se auch Optio­nen zur Ver­fü­gung, unter denen aus­zu­wäh­len ist. Das macht das Doku­ment nicht leicht verständlich.

Wir – d.h. Wal­der Wyss – haben daher eine Online-Ver­si­on der Klau­seln und Arbeits­ma­te­ria­li­en (inkl. Word-Doku­men­te, auch jeweils getrennt für die ein­zel­nen Modu­le) bereit­ge­stellt (wie immer ohne Gewähr).

Zeit­li­ches und Übergangsfristen

  • Der Durch­füh­rungs­be­schluss tritt in Kraft am 27. Juni 2021 (20 Tage nach der Publi­ka­ti­on im Amts­blatt vom 7. Juni 2021).
  • Die neu­en SCC sind ab dem 27. Sep­tem­ber 2021 zu ver­wen­den; mit die­sem Datum wer­den die heu­ti­gen SCC (d.h. die ihnen zugrun­de­lie­gen­den Durch­füh­rungs­be­schlüs­se) auf­ge­ho­ben. Es gilt bis also eine drei­mo­na­ti­ge Über­gangs­frist ab dem Inkraft­tre­ten des Durch­füh­rungs­be­schlus­ses. Ab dann kön­nen neue Ver­trä­ge nur noch die neu­en SCC ver­wen­den (Art. 4 Ziff. 2 und 3 des neu­en Durchführungsbeschlusses).
  • Die alten – also heu­ti­gen – SCC kön­nen für am 27. Sep­tem­ber 2021 bestehen­de Ver­trä­ge wäh­rend einer Über­gangs­frist von 15 Mona­ten wei­ter­hin ver­wen­det wer­den, nun auf der Grund­la­ge des neu­en Durch­füh­rungs­be­schlus­ses, also bis am 27. Dezem­ber 2022 (Art. 4 Ziff. 4 des Durch­füh­rungs­be­schlus­ses). Bis dahin müs­sen bestehen­de Ver­trä­ge auf die neu­en SCC migriert werden.

Wei­te­re Bemerkungen

  • Vor­ab ist fest­zu­hal­ten, dass die SCC nicht ver­wen­det wer­den kön­nen und – gemäss dem Durch­füh­rungs­be­schluss – dür­fen, wenn der Impor­teur der DSGVO unter­steht, und dies auch dann, wenn sich die Anwend­bar­keit der DSGVO aus Art. 3 Abs. 2 DSGVO ergibt, also dem daten­schutz­recht­lich kon­kre­ti­sier­ten Aus­wir­kungs­prin­zip (des­halb auch der Aus­druck “DSGVO-Ver­ant­wort­li­che” usw. oben). Der Expor­teur muss sich daher ver­ge­wis­sern, ob der Impor­teur der DSGVO unter­steht; und da Art. 3 Abs. 2 DSGVO jeweils nur bestimm­te Ver­ar­bei­tun­gen erfasst, ist die­se Fra­ge ggf. spe­zi­fisch für die Infra­ge­ste­hen­de Ver­ar­bei­tung zu beant­wor­ten. Dem­ge­gen­über kön­nen auch Expor­teu­re ausser­halb des EWR die neu­en Klau­seln ver­wen­den, wenn sie ihrer­seits nach Art. 3 Abs. 2 der DSGVO unterstehen.
  • Kon­zep­tio­nell neu sind die Modu­le 3 und 4, für Quer­lie­fe­run­gen zwi­schen Auf­trags­ver­ar­bei­tern und für Über­mitt­lun­gen von DSGVO-Auf­trags­ver­ar­bei­tern an Nicht-DSGVO-Verantwortliche.
  • Das Modul 2 für Con­trol­ler-to-Pro­ces­sor-Über­mitt­lun­gen ent­hält die Inhal­te nach Art. 28 Abs. 3 DSGVO. Es dürf­te also nicht mehr zwin­gend sein, neben den SCC einen zusätz­li­chen Auf­trags­ver­ar­bei­tungs­ver­trag zu schliessen.
  • Bestehen­den neu­en SCC kön­nen wei­te­re Par­tei­en jeder­zeit bei­tre­ten. Das dürf­te beson­ders im Kon­zern­ver­bund rele­vant werden.
  • Die SCC ent­hal­ten Haf­tungs­be­stim­mun­gen (eine Haf­tungs­zu­sa­ge, kei­ne Beschrän­kung). Ob die­se Haf­tungs­re­ge­lung dis­po­si­tiv sein soll, ist offen.
  • Der Ele­fant im Raum ist natür­lich Schrems II. Die Kom­mis­si­on ist der Auf­fas­sung – sie steht unter dem Vor­be­halt, dass der EuGH den Durch­füh­rungs­be­schluss in Schrems III, IV oder V über­prü­fen kann –, dass das Schrems II-The­ma durch die neu­en SCC nicht gelöst, aber adres­siert wird. Dazu ent­hal­ten die SCC – jeweils für alle vier Modu­le gleich­lau­tend – in Klau­seln 14 und 15 eige­ne Schrems-II-Klau­seln. Nach Klau­sel 14 gilt folgendes: 
    • Die Par­tei­en sichern sich gegen­sei­tig zu, dass sie dem Impor­teur zutrau­en, die SCC trotz sei­nes Hei­mat­rechts ein­hal­ten zu können,
    • Die­se Zusi­che­rung schöp­fen sie nicht aus der all­ge­mei­nen Lebens­er­fah­rung. Sie müs­sen die Aus­wir­kun­gen des Hei­mat­rechts des Impor­teurs viel­mehr ein­ge­hend abklä­ren, unter Mit­wir­kung des Impor­teurs – dies ist die Grund­la­ge der soge­nann­ten “Trans­fer Impact Assess­ments” (TIAs), die sich dadurch viel stär­ker durch­set­zen dürf­ten; dies ins­be­son­de­re auf­grund der Doku­men­ta­ti­ons­pflicht, die sich für den Expor­teur schon aus der DSGVO ergibt, die nun aber auch für den Impor­teur eine Ver­trags­pflicht wird. Die Pflicht zu TIA gilt auch bei Wei­ter­über­mitt­lun­gen eines durch die SCC gebun­de­nen Impor­teurs an wei­te­re Nicht-DSGVO-Impor­teu­re. Es steht zu erwar­ten, dass grö­sse­re Impor­teu­re – allen vor­an die US-Tech-Kon­zer­ne – stan­dar­di­sier­te TIAs aus­ar­bei­ten und bereit­stel­len werden.
    • Der Impor­teur muss den Expor­teur infor­mie­ren, wenn sich sein Recht oder die Behör­den­pra­xis rele­vant ändert. In die­sem Fall muss der Expor­teur Zusatz­mass­nah­men tref­fen und, falls dies schei­tert, die Über­mitt­lung aus­set­zen, und er kann die SCC in die­sem Fall auch kündigen.
  • Nach Klau­sel 15 gilt im Fall eines Behör­den­zu­griffs bzw. ‑zugangs weiter: 
    • Der Impor­teur muss den Expor­teur sofort benach­rich­ti­gen, soweit er das darf. Er infor­miert den Expor­teur regel­mä­ssig über law­ful access requests.
    • Der Impor­teur muss die Recht­mä­ssig­keit des Zugriffs prü­fen, die­se Prü­fung doku­men­tie­ren und ent­spre­chen­de Anord­nun­gen anfech­ten, sofern er das nicht für aus­sichts­los hal­ten darf. Er muss sogar vor­sorg­li­che Mass­nah­men beantragen.
  • Es liegt auf der Hand, dass die­se Anfor­de­run­gen die gro­ssen Anbie­ter bevor­zu­gen und damit den Kon­zen­tra­ti­ons­pro­zess bei den Clou­dan­bie­tern beschleunigen.
  • Bemer­kens­wert ist, dass die Kom­mis­si­on bei den TIA einem Risk-Based-Ansatz zu fol­gen scheint und nicht einem Rights-Based-Ansatz wie ten­den­zi­ell der EDSA in sei­nen Leit­li­ni­en für Daten­über­mitt­lun­gen nach Schrems II. Das zeigt sich etwa dar­in, dass die Par­tei­en die Umstän­de der Über­mitt­lung ein­schliess­lich der Art der Daten und die Behör­den­pra­xis im Emp­fän­ger­staat zu beach­ten haben. Die Leit­li­ni­en des EDSA lie­gen erst als Ent­wurf vor, dürf­ten aber in den näch­sten 10 Tagen defi­ni­tiv ver­ab­schie­det wer­den, dem Hören­sa­gen nach mit der glei­chen Stoss­rich­tung wie der Ent­wurf. Das Ver­hält­nis zwi­schen die­sen Leit­li­ni­en und den neu­en SCC wird also zwei­fel­los noch zu reden geben.
  • Soll­te die EU die Ange­mes­sen­heit des schwei­ze­ri­schen Daten­schutz­rechts nicht bestä­ti­gen, müs­sen EWR-Expor­teu­re mit CH-Impor­teu­ren SCC schlie­ssen, soweit nicht aus­nahms­wei­se eine Aus­nah­me greift. Das wäre für die Expor­teu­re sehr bela­stend, noch mehr aber für die Impor­teu­re, die de fac­to gezwun­gen wären, ihren EWR-Ver­trags­part­nern auf die Schweiz zuge­schnit­te­ne SCCs und Doku­men­ta­tio­nen bereit­stel­len müss­ten. In die­sem Fall stel­len das BJ oder der EDÖB hof­fent­lich rasch Grund­la­gen eines CH-TIA bereit, das die Impor­teu­re bran­chen­spe­zi­fisch auf­be­rei­ten könnten.
  • Der EDÖB hat die neu­en SCC noch nicht rati­fi­ziert, wird dies aber zwei­fel­los tun.