Von Susanne Werry*)

Das Schrems-II-Urteil des EuGH vom Juli 2020 und die darauffolgenden Vorgaben der europäischen Datenschutzbehörden haben große Rechtsunsicherheit beim internationalen Datenverkehr mit sich gebracht. Ein Jahr später gibt es nun zwei entscheidende Entwicklungen, die Unternehmen kennen und beachten sollten: Anfang Juni veröffentlichte die EU-Kommission die lang erwartete Neufassung der Standardvertragsklauseln, mit denen Unternehmen Datentransfers ins EU-Ausland rechtlich absichern können. Zeitgleich kündigten deutsche Datenschutzbehörden an, Drittstaatentransfers von Unternehmen systematisch zu prüfen.

Das EU-Datenschutzrecht soll personenbezogene Daten nicht nur innerhalb des Europäischen Wirtschaftsraums, sondern auch in Drittstaaten schützen. Ein Transfer von personenbezogenen Daten ins EU-Ausland darf nur unter Gewährleistung eines „angemessenen Schutzni­veaus“ erfolgen. Die EU-Kommission kann die Angemessenheit des in ei­nem Drittland gewährleisteten Schutzniveaus durch einen Durchführungsrechtsakt, den sogenannten An­gemessen­heitsbeschluss, grundsätzlich feststellen und damit den Datentransfer für Unternehmen in diesen Staat erheblich erleichtern. Fehlt solch ein Angemessenheitsbeschluss, müssen Datenexporteur und -importeur geeignete Garantien vorsehen und den betroffenen Personen müssen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. Mittel der Wahl für Datentransfers außerhalb der EU sind daher die sogenannten Standardvertragsklauseln.

Mit dem Schrems-II-Urteil hat der EuGH den Angemessenheitsbeschluss für die USA, den sogenannten Privacy Shield, aufgehoben. Damit gewannen die Standardvertragsklauseln weiter an Relevanz, stammten jedoch noch aus einer Zeit vor Erlass der DSGVO. Die jetzt veröffentlichte Neufassung der Standardvertragsklauseln war also dringend notwendig und bietet Unternehmen deutlich größere Sicherheit im Umgang mit internationalen Datentransfers. Darin enthalten sind nun zum Beispiel Klauseln für die Anwendung auf Vertragsbeziehungen in Verarbeitungsketten, was den konzerninternen Datenaustausch er­heblich erleichtert.

Die neuen Standardvertragsklauseln sind indes kein Allheilmittel. Im Schrems-II-Urteil hat der EuGH entschieden, dass das Unternehmen in der EU und das Empfängerunternehmen im Drittstaat verpflichtet sind, zu prüfen, ob das unionsrechtlich geforderte Schutzniveau im Drittstaat eingehalten wird. Ist dies nicht der Fall, muss die Datenübermittlung unterbleiben. Die Kommission bietet in den neuen Standardvertragsklauseln nur eine vermeintliche Lösung für dieses Problem: Die Parteien müssen sich zusichern, dass sie zum Zeitpunkt des Vertragsabschlusses keinen Grund zur Annahme haben, dass die für den Datenimporteur geltenden Rechtsvorschriften und Gepflogenheiten der Erfüllung der vertraglichen Pflichten entgegenstehen.

Rein vertragliche Regelungen zwischen den Parteien reichen jedoch regelmäßig nicht aus, um im Drittstaat ein mit der DSGVO vergleichbares Schutzniveau zu erreichen und so den Anforderungen des EuGHs gerecht zu werden. Dazu müssen die Parteien gegebenenfalls weitere, insbesondere technische Sicherheitsvorkehrungen treffen.

Im Ergebnis müssen Unternehmen somit auch unter den neuen Standardvertragsklauseln Experten im nationalen Recht sämtlicher Länder werden, in die sie Daten transferieren. Diese Beurteilung ist für große Unternehmen schon sehr schwer, für kleine und mittelständische nahezu nicht zu bewerkstelligen, da sie er­hebliche personelle Ressourcen, Ex­pertise und komplexe Entscheidungsprozesse benötigt. Diese Be­ur­teilung gehört daher in die Zuständigkeit der EU-Kommission, die klare Standards setzen und damit Rechtssicherheit herstellen sollte.

Deutschlandweit finden seit Anfang Juni Befragungen von Unternehmen durch Datenschutzbehörden statt, zum Beispiel zum Umgang mit Daten, die in Bewerberportalen gesammelt werden. Unternehmen sollten sich auf diese Prüfungen vorbereiten, indem sie konsequent Standardvertragsklauseln mit Dienstleistern außerhalb der EU nutzen.

Die Anpassung bestehender Verträge­ ist bis spätestens 27. De­zem­ber 2022 erforderlich, für neue Verträge sind die neuen Regelungen ab dem 28. September 2021 einzubeziehen.

Vor dem Hintergrund der großen Verunsicherung bei der Umsetzung des Schrems-II-Urteils werden die Behörden bei Verstößen, die bei den Prüfungen offensichtlich werden, zunächst wohl eher beratend tätig sein. Sollten Unternehmen aber die Zusammenarbeit verweigern, drohen im Zweifelsfall auch Bußgelder oder ein Verbot des Auslandstransfers von Daten. Dann müssten Unternehmen neue Prozesse entwickeln oder andere Dienstleister suchen, was zeitaufwendig und kostspielig wäre.

Keine Relevanz werden die neuen Standardvertragsklauseln für Datentransfers nach Großbritannien haben. Pünktlich zum Ablauf der Bre­xit-Übergangsfrist am 30. Juni 2021 wurde der Angemessenheitsbeschluss am 28.6.2021 angenommen. Unternehmen können also diesbezüglich erst einmal aufatmen. Vor dem Hintergrund der Kritik von Datenschützern und des EU-Parlaments an dem Beschluss und den Entwicklungen der britischen Politik sollten sie das Thema jedoch weiter beobachten.

*) Susanne Werry ist Counsel von Clifford Chance in Frankfurt.