Endlich sind die Standardvertragsregelungen an die DS-GVO angepasst und berücksichtigen die EuGH-Rechtsprechung zum Privacy Shield.

Achtung, alle bereits abgeschlossenen Standardvertragsklauseln müssen innerhalb von 18 Monaten, bis zum 27. Dezember 2022 aktualisiert werden.  Bei allen neu geschlossenen Verträgen müssen ab dem 29. September 2021 die neuen Standardvertragsklauseln berücksichtigt werden.

Wie werden die Standardvertragsklauseln in der Praxis abgeschlossen?

In der Praxis werden die Standardvertragsklauseln in der Regel von den Dienstleistern in diesen Formen bereitgestellt:

  • Individueller Vertrag – Vor allem bei Vertragsschlüssen mit Unternehmen, welche nicht im großen Umfang für EU-Kunden tätig sind, werden die Standardvertragsklauseln in Form eines Vertrages vorgelegt (meistens als PDF-Datei), welcher dann individuell unterschrieben oder signiert wird.
  • Bestandteil von AGB – Große US-Anbieter bieten Standardvertragsklauseln als Teile oder Anhänge zu ihren AGBs an, so dass die Standardvertragsklauseln automatisch mit dem Vertragsschluss abgeschlossen werden (Beispiel der E-Mail-Plattform MailChimp).

Allerdings ist der Abschluss der Standardvertragsklauseln allein noch nicht ausreichend. Es muss das Datenschutzniveau im Einzelfall geprüft werden. So lehnt der EuGH und die Datenschutzaufsichtsbehörden den Datentransfer in Drittländer (z. B. USA) nicht ab, möchte jedoch die Sicherheit geprüft wissen.

  • Prüfung des Vertragstextes – Sie müssen prüfen, ob die für die jeweilige Vertragskonstellation richtige Standardvertragsklauseln gewählt und inhaltlich nicht verändert wurden. Ebenso muss geprüft werden, ob die Anhänge ordnungsgemäß ausgefüllt sind.
  • Prüfung des tatsächlichen Datenschutzniveaus – Sie müssen ebenfalls prüfen, ob die Zusagen das adäquate Datenschutzniveau, auch tatsächlich eingehalten werden. Das heißt, Sie müssen überprüfen, ob das vom EuGH beschriebene Risiko des Zugriffes auf die Daten durch US-Behörden verhindert wird. Zur Sicherung eines angemessenen Datenschutzniveaus tragen z. B. Verschlüsselungsverfahren, Pseudonymisierung, Serverstandort in der EU oder auch ein geringes Risiko für die Daten der Betroffenen bei.

Allerdings gibt es Interpretationsmissverständnisse in den Erwägungsgründen der neuen Standardvertragsklauseln, enthalten in der Ziffer 7:

Die Standardvertragsklauseln dürfen nur insoweit für derartige Datenübermittlungen verwendet werden, als die Verarbeitung durch den Datenimporteur nicht in den Anwendungsbereich der Verordnung (EU) 2016/679 fällt.

Dieser Erwägungsgrund würde bedeuten, dass die Standardvertragsklauseln immer dann nicht abzuschließen wären, wenn z. B. ein US-Cloud-Dienst der DSGVO darunterfällt. Das wäre z. B. der Fall, wenn Dropbox, Microsoft- oder die Google Cloud sich auch an EU-Bürger richten würden. Wenn dann ein EU-­Unternehmen z. B. Kundendaten in dieser Cloud speichert, dürften / müssten mit Dropbox, Microsoft oder Google keine Standardvertragsklauseln abgeschlossen werden. Dieses Ergebnis widerspricht jedoch dem Wortlaut des Art. 44 ff. DSGVO, welcher bei Verarbeitung im Drittland keine solche Ausnahme vorsieht. Es bleibt also zu hoffen, dass die EU-Kommission bald eine Interpretationshilfe für ihre erratischen Interpretationsvorgaben veröffentlicht.

D. h., dass Sie aktiv werden und folgende Maßnahmen ergreifen müssen:

  • Bestandsaufnahme beim eigenen Unternehmen – Prüfung, ob Daten von Kunden, Nutzern, Mitgliedern, etc. in Drittländern und insbesondere den USA verarbeitet werden (bzw. von Unternehmen, welche in diesen Ländern sitzen).
  • Bestandsaufnahme bei Subunternehmern – Ebenso muss geprüft werden, ob Subunternehmer und Dienstleister, z. B. der Webhoster oder Buchhaltungsdienst, Anbieter aus Drittländern / USA einsetzen (z. B. Server von Amazon Webservices mieten).
  • Anfrage nach neuen Standardvertragsklauseln – Die Anbieter aus Drittländern müssen um die Vorlage der neuen Standardvertragsklauseln gebeten werden (alternativ, auch wenn weniger üblich, können ihnen Standardvertragsklauseln zur Prüfung und Unterschrift gestellt werden). Ebenso müssen Subunternehmer gefragt werden, ob entsprechende Standardvertragsklauseln wiederum mit deren Subunternehmern in Drittländern geschlossen wurden (im Optimalfall sollte um Kopien gebeten werden).
  • Anfrage nach Sicherheitsmaßnahmen – Die Anbieter aus Drittländern müssen um Nennung von Sicherheitsmaßnahmen gebeten werden, mit welchen die besonderen Risiken des Drittlandtransfers aufgefangen werden (z. B. Verschlüsselung, Serverstandort EU, Pseudonymisierung). Ebenso müssen Subunternehmer gefragt werden, ob wiederum deren Subunternehmer aus Drittländern entsprechende Schutzmaßnahmen nachgewiesen haben (im Optimalfall sollte auch hier um deren Auflistung und Kopien der Bestätigungen gebeten werden).
  • Prüfung der Standardvertragsklauseln – Sie müssen überprüfen, ob die Module der Standardvertragsklauseln richtig ausgewählt sind, deren Text nicht modifiziert wurde und die Anhänge ordnungsgemäß ausgefüllt sind.
  • Prüfung des Datenschutzniveaus – Sie müssen anhand der mitgeteilten Sicherheitsmaßnahmen prüfen, ob bei der jeweiligen Verarbeitung der Daten durch Dienstleister und Subunternehmer ein hinreichendes Datenschutzniveau gesichert ist.
  • Protokollierung – Sie müssen die Prüfverfahren aus Nachweisgründen festhalten (z. B. in einer Tabelle mit Anbietern, Zeitpunkten der Anfragen, Ergebnissen und Begründung Ihres Prüfungsergebnisses).

Empfehlung

Auch wenn Ende 2022 noch weit in der Zukunft liegt, sollten Sie Ihre Vertragspartner darauf drängen, die Standardvertragsklauseln möglichst schnell auszutauschen. Vor allem, weil die neuen Standardvertragsklauseln die Forderungen der Datenschutzaufsicht nach Ergänzung der bisherigen Klauseln in Folge der Rechtsprechung des EuGHs zu US-Datentransfers umsetzen. Daher ist davon auszugehen, dass Aufsichtsbehörden den Einsatz von US-Anbietern auf Grundlage alter Standardvertragsklauseln, sehr bald für unzulässig erklären werden.