Heute hat die Europäische Kommission die finale Fassung der neuen Standardvertragsklauseln (SVK) für die Übermittlung personenbezogener Daten in Drittländer veröffentlicht. Im Zusammenhang mit dem Urteil des Europäischen Gerichtshofs (EuGH) in der Rechtssache Schrems II aus dem letzten Jahr bieten die neuen SVK betroffenen Unternehmen dringend benötigte Klarheit in Bezug auf die Übermittlung personenbezogener Daten in Länder außerhalb der EU. Von besonderem Interesse für unsere Kunden ist, dass die neuen SVK hinsichtlich der Frage, ob zusätzliche Schutzmaßnahmen zur Datenübermittlung notwendig sind, es als wichtigen Faktor ansehen, ob das jeweilige Unternehmen vonseiten der Behörden schon einmal zur Herausgabe von Daten aufgefordert wurde. Dieser Ansatz trägt sowohl dem risikobasierten Compliance-Modell der Datenschutz-Grundverordnung (DSGVO) als auch dem Schrems II-Urteil des EuGH Rechnung.
Im Folgenden finden Sie eine kurze Erläuterung zu den neuen SVK, Hinweise zu ihrer Bedeutung im Hinblick auf Schrems II sowie einige zukunftsgerichtete Überlegungen zum grenzüberschreitenden Datenverkehr.
Warum wurden die SVK neu aufgelegt?
In einer begleitenden Pressemitteilung zu den neuen SVK erklärte Vera Jourová, Vizepräsidentin der EU-Kommission für Werte und Transparenz:
„Wir wollen in Europa offen bleiben und freien Datenverkehr ermöglichen, sofern die Daten dabei geschützt sind. Die modernisierten Standardvertragsklauseln werden dabei helfen, dieses Ziel zu erreichen. Sie geben den Unternehmen ein nützliches Werkzeug an die Hand, mit dem diese sicherstellen können, dass sie die Datenschutzvorschriften sowohl bei ihren Tätigkeiten in der EU als auch bei internationalen Datenübermittlungen einhalten. Dies ist eine notwendige Lösung in der vernetzten digitalen Welt, in der sich Daten mit nur einem oder zwei Klicks übermitteln lassen.“
Die SVK wurden zuletzt in den Jahren 2004 (Klauseln für die Übermittlung vom Verantwortlichen zum Verantwortlichen) und 2010 (Klauseln für die Übermittlung vom Verantwortlichen zum Auftragsverarbeiter) aktualisiert. Seither wurden im Rahmen der DSGVO gesonderte Vorgaben eingeführt, die in die Datenverarbeitungsverträge aufgenommen werden müssen. Mit den neuen SVK werden diese Bestimmungen in den Datenübermittlungsmechanismus eingebunden. Außerdem werden sie der gegenwärtigen Realität in der Geschäftswelt besser gerecht, in der Unternehmen oft gleichzeitig als Verantwortlicher und Auftragsverarbeiter agieren. Die neuen SVK folgen einem modularen Ansatz, der den Vertragsprozess vereinfacht, und decken zwei zusätzliche Übermittlungsarten ab: vom Auftragsverarbeiter zum Verantwortlichen und vom Auftragsverarbeiter zum Auftragsverarbeiter.
Inwiefern hängen die neuen SVK mit Schrems II zusammen?
Nach Maßgabe des Schrems II-Urteils sind Unternehmen, die personenbezogene Daten aus der EU in Drittländer wie die USA übermitteln, verpflichtet, im Rahmen einer Einzelfallanalyse zu untersuchen, ob Zusatzmaßnahmen zum Schutz der übermittelten Daten nötig sind. Bei der Analyse müssen staatliche Überwachungspraktiken und die Rechte des Einzelnen in den Ländern berücksichtigt werden, in die die Daten übermittelt werden. Die neuen SVK bekräftigen diese Vorgabe und enthalten konkrete Sicherheitsmaßnahmen, darunter die Vorgabe, Auskunftsersuche von Behörden gegebenenfalls zu hinterfragen und anzufechten sowie den Datenexporteur über entsprechende Ersuche in Kenntnis zu setzen. Wir verstehen, dass unsere Kunden ebenso wie die Behörden entsprechende Garantien benötigen. Kundenservice und Integrität gehören zu den Kernprinzipien von Workday. Vor diesem Hintergrund veröffentlichen wir unsere Grundsätze für behördliche Auskunftsersuche und einen offiziellen Transparenzbericht für unsere Kunden.
Inwiefern hängen die neuen SVK mit dem kürzlich verabschiedeten „EU Cloud Code of Conduct“ zusammen?
Im Mai gab die belgische Datenschutzbehörde die Verabschiedung des „EU Data Protection Code of Conduct for Cloud Service Providers“ („EU Cloud CoC“) bekannt – des ersten transnationalen EU-Verhaltenskodexes seit Inkrafttreten der DSGVO. Der EU Cloud CoC ergänzt die SVK als Compliance-Mechanismus unter der DSGVO, doch der Verhaltenskodex fungiert nicht als Datenübermittlungsmechanismus. Im August 2019 wies Workday als erstes Unternehmen seine Einhaltung des EU Cloud CoC nach.
Wie geht es weiter?
Wir werden die neuen SVK einer gründlichen Prüfung unterziehen und die darin festgelegten vertraglichen Verpflichtungen gegenüber unseren Kunden erfüllen, deutlich vor dem Ablauf der Frist von 18 Monaten für bestehende Verträge. Wir gehen zudem davon aus, dass der Europäische Datenschutzausschuss Ende des Monats finale Empfehlungen in Bezug auf die Zusatzmaßnahmen zur Datenübermittlung herausgeben wird, und dass die Frage, ob ein Unternehmen schon einmal von Behörden zur Herausgabe personenbezogener Daten aufgefordert wurde, darin Berücksichtigung finden wird. Sowohl älteren als auch aktuellen Stellungnahmen vonseiten der Behörden ist zu entnehmen, dass Personal-, Finanz- und Analysedaten von geringem Interesse für die Behörden sind.
Darüber hinaus sind wir nach wie vor zuversichtlich, dass noch dieses Jahr ein Nachfolgeabkommen zum Privacy Shield vereinbart werden wird. Dessen ungeachtet haben wir bei Workday unsere Zertifizierung unter dem bisherigen Privacy Shield erneuert, um unseren Verpflichtungen gegenüber der US-Kartellbehörde und unseren Kunden hinsichtlich der Verarbeitung personenbezogener Daten gemäß den Grundsätzen des Privacy Shield auch in Zukunft nachzukommen.
Vor allem aber möchten wir betonen, dass Workday optimistisch ist, dass die Regierungen der USA und der EU weiterhin gemeinsam daran arbeiten werden, den grenzüberschreitenden Datenverkehr offen zu halten. Die Veröffentlichung der Standardvertragsklauseln sowie die aktuellen Bemühungen auf beiden Seiten bestätigen diese Annahme.