Standardvertragsklauseln oder Data Privacy Framework – was ist zu tun? (Q&A Teil 2)
Seit dem 10. Juli 2023 steht mit dem auf dem „EU/US Data Privacy Framework“ („DPF“) basierenden Angemessenheitsbeschluss eine neue Möglichkeit zur Verfügung, Datenexporte in die USA legitimieren. Bislang war der bevorzugte (weil: verhältnismäßig einfachste) Weg zur Legitimation solcher Datenexporte die Vereinbarung von Standardvertragsklauseln im Sinn von Art. 46 Abs. 2 (c) DSGVO („SCC“). Die meisten Unternehmen werden also aktuell zur Legitimation ihrer Datenexporte dieses Instrument vereinbart haben. Da nun mit dem „DPF“ eine weitere Möglichkeit ergibt, stellt sich die Frage: welches Instrument soll man nun nutzen – SCC oder DPF?
Wir wollen die damit verbundenen Fragen in einem Q&A beantworten – nach dem ersten Teil folgt hier nun der zweite:
Was ist der wesentliche Unterschied zwischen SCC und DPF?
Der wesentliche Unterschied liegt in der Rechtsnatur: die SCC sind ein Vertrag. Das DPF ist ein völkerrechtliches Abkommen, auf dessen Grundlage ein Angemessenheitsbeschluss gefasst wurde.
Als Vertrag müssen die SCC zunächst einmal explizit zwischen den Parteien vereinbart werden. Die SCC erfordern also die Erstellung und den Austausch von Dokumenten, insbesondere auch einer Risikofolgenabschätzung. Vor allem aber wirkt ein Vertrag nur zwischen den Vertragsparteien. Das trifft auch auf die SCC zu, wobei diese explizit zusätzlich Drittbegünstigte in den Vertrag miteinbeziehen. Drittbegünstigte der SCC sind die Betroffenen, also die Menschen deren Daten exportiert werden. Diese erwerben in den SCC unmittelbar eigene Rechte sowohl gegenüber dem Datenexporteur als auch dem Datenimporteur.
Das DPF – genauer gesagt: der darauf basierende Angemessenheitsbeschluss – ist ein Rechtsakt der Europäischen Kommission. Dieser Rechtsakt bestätigt pauschal die Rechtmäßigkeit des Datenexports, solange der Partner in den USA Teilnehmer des DPF ist. Weder aus dem DPF selbst noch aus dem Angemessenheitsbeschluss folgen direkt Pflichten für den Datenexporteur – jedoch durchaus für den Datenimporteur (vgl. dazu im Weiteren). Der Datenexporteur kann sich also ohne weitere Maßnahmen und ohne weitere Dokumentation auf das DPF, also auf Art. 45 Abs. 1 DSGVO als Legitimation seines Datenexports berufen.
Was gilt: Anwendbares Recht, Aufsicht und Gerichtsstand?
Ein europäisches Unternehmen wird für seine Handlungen – auch im Rahmen von Datenexporten – stets die Vorgaben der DSGVO befolgen, entsprechend alle sich daraus ergebenden Pflichten erfüllen und (sich gegebenenfalls daraus ergebende) Sanktionen erdulden müssen. Ebenso wird ein europäisches Unternehmen stets der Aufsicht der zuständigen europäischen Datenschutzaufsichtsbehörde sowie der Jurisdiktion der zuständigen europäischen Gerichte unterliegen.
In dieser Hinsicht macht es für ein europäisches Unternehmen als Datenexporteur keinen Unterschied, ob es SCC oder DPF als Legitimation für seine Datenexporte anwendet.
Für einen Datenimporteur in den USA ist der Unterschied jedoch erheblich: Anwendung und Durchsetzung der SCC erfolgt nach europäischem Recht. Der US-amerikanische Datenimporteur muss sich vertraglich den Regelungen der DSGVO, der Aufsicht der zuständigen europäischen Datenschutzaufsichtsbehörde sowie der Jurisdiktion der zuständigen europäischen Gerichte unterwerfen.
Das ist bei Anwendung des DPF nicht der Fall, da der Datenimporteur in diesem Fall ausschließlich nach dem anwendbaren US-amerikanischen Datenschutzrecht handelt und ausschließlich der Aufsicht US-amerikanischer Behörden (insbesondere der FTC) unterliegt. Gegenüber europäischen Datenschutzbehörden ist der Datenimporteur qua DPF lediglich zur Kooperation verpflichtet, diese können jedoch keine Maßnahmen gegen ihn ergreifen. Schließlich unterfallen die Handlungen des Datenimporteurs im Grundsatz der Jurisdiktion US-amerikanischer Gerichte, wobei jedoch die Eskalations- und Schiedsgerichtsmechanismen des DPF zu beachten sind.
Welche Formalitäten sind zwischen Datenexporteur und Datenimporteur zu beachten?
Die Anwendung von SCC erfordert die Vereinbarung von mehreren Dokumenten zwischen dem Datenexporteur und dem Datenimporteur: einerseits einen „Datenübermittlungsvertrag“ („Data Transfer Agreement“), sofern dieser nicht sinngemäß Bestandteil eines anderen, zwischen den Parteien bestehenden Vertrags (und/oder einer Vereinbarung über Auftragsverarbeitung) ist. Und andererseits die Vereinbarung eben der SCC. Diese erfordern zwingend eine Datenschutzfolgeabschätzung des Datenexports (ein „Data Transfer Impact Assessment“), die vor Beginn des Datenexports erfolgen und hinreichend dokumentiert sein muss. Sind diese Dokumente einmal erstellt, haben sie im Grundsatz eine unbegrenzte Haltbarkeit. Sie sind jedoch unflexibel, da sie immer dann angepasst werden müssen, wenn sich die Umstände des Datenexports ändern. Sollen zum Beispiel andere Arten von Daten exportiert werden, muss die Dokumentation von neuem erstellt werden.
Wird ein Datenexport über das DPF legitimiert, wird zwischen den Parteien zwar ebenfalls regelmäßig ein „Datenübermittlungsvertrag“ vorliegen, oder eine ähnliche Vereinbarung, auf deren Basis bzw. zu deren Erfüllung der Datenexport erfolgt. Allerdings müssen für die SCC zu beachtenden strengen Vorgaben nicht beachtet werden. Der schlichte Verweis auf das DPF ist insofern bereits ausreichend. Allerdings ist zwingend erforderlich, dass der Datenimporteur nach dem DPF in den USA wirksam zertifiziert ist und seine Zertifizierung regelmäßig erneuert. Zu beachten ist, dass nicht zwingend alle Unternehmen zertifiziert sind und auch, dass sich nicht alle Arten von Unternehmen sich zertifizieren lassen können. Ob ein Unternehmen zertifiziert ist, kann auf der Webseite www.dataprivacyframework.gov kontrolliert werden.
Fortsetzung folgt!
Den ersten Teil der Q&A finden Sie hier. Den dritten Teil dieser Q&A finden Sie hier.