Standardvertragsklauseln oder Data Privacy Framework – was ist zu tun? (Q&A Teil 3)

von am 7. August 2023

Bislang war der bevorzugte (weil: verhältnismäßig einfachste) Weg zur Legitimation solcher Datenexporte die Vereinbarung von Standardvertragsklauseln im Sinn von Art. 46 Abs. 2 (c) DSGVO („SCC“). Die meisten Unternehmen werden also aktuell zur Legitimation ihrer Datenexporte dieses Instrument vereinbart haben. Da nun mit dem „DPF“ eine weitere Möglichkeit ergibt, stellt sich die Frage: welches Instrument soll man nun nutzen – SCC oder DPF?

Wir wollen die damit verbundenen Fragen in einem Q&A beantworten – nach dem ersten und zweiten Teil hier nun der dritte und letzte Teil:

Wie unterscheiden sich die Formalitäten gegenüber den Betroffenen bei SCC bzw. DPF?

Für den Datenexporteur besteht insofern im Grundsatz kein wesentlicher Unterschied zwischen der Anwendung von SCC und DPF. In beiden Fällen muss der Betroffene im Sinn von Art. 13 DSGVO über den Datenexport sowie dessen Rechtsgrundlage aufgeklärt werden. Auch muss der Datenexporteur natürlich die Betroffenenrechte gemäß Art. 15 ff DSGVO bedienen, unabhängig davon, ob SCC oder DPF genutzt werden.

Für den Datenimporteur ergeben sich bei der Anwendung der SCC die darin angelegten Pflichten, die die Betroffenenrechte gemäß Art. 15 ff. DSGVO spiegeln und insbesondere auch gegenüber den Betroffenen als Drittbegünstigte der SCC bestehen. Bei der Anwendung des DPF ergeben sich für den Datenimporteur keine Pflichten aus den SCC bzw. dem europäischen Recht. Jedoch ergeben sich aus der Zertifizierung für das DPF für den Datenimporteur eine Reihe an Pflichten, die sich inhaltlich zwar an teilweise den Betroffenenrechten der DSGVO orientieren, jedoch deutlich weniger umfassend sind.

Wie unterscheidet sich das Verhältnis zwischen Datenexporteur und Datenimporteur bei SCC bzw. DPF?

Bei Nutzung der SCC besteht zwischen dem Datenexporteur und Datenimporteur stets eine vertragliche Bindung, die das Verhältnis zwischen den Parteien umfassend regelt. So muss der Datenexporteur gemäß Ziffer 8 der SCC garantieren, dass der Datenimporteur in der Lage ist, die Regelungen der SCC zu befolgen. Dem ist ein gewisses Haftungsrisiko für den Datenexporteur inhärent, gerade auch gegenüber dem Betroffenen als Drittbegünstigten. Spiegelbildlich dazu enthalten die SCC aber auch strikte Regeln für den Datenimporteur und geben dem Datenexporteur Mittel an die Hand, die Einhaltung dieser Regeln durch den Datenimporteur durchzusetzen und auch zu sanktionieren. Ziffer 12 der SCC sieht eine Verteilung der Haftungsrisiken zwischen den Parteien vor, die im Grundsatz der Regelung von Art. 82 DSGVO entspricht.

Bei der Nutzung des DPF bestehen neben dem zwischen den Parteien bestehenden „Datenübermittlungsvertrag“ (bzw. dem Vertrag, aus dem der Datenexport resultiert) im Grundsatz keine weitergehenden Rechte und Pflichten. Insbesondere bestehen keine Möglichkeiten des Datenexporteurs, die Einhaltung des DPF zu durchzusetzen und zu sanktionieren – das ist allein Sache der US-amerikanischen Behörden. Dies ist aber auch nicht erforderlich, da der Datenexporteur bei Anwendung des DPF keine Haftung für das Verhalten des Datenimporteurs übernimmt.

Also: was ist besser, SCC oder DPF?

Die vorliegende Betrachtung ist nur kursorisch und kann eine Beurteilung der Bedürfnisse und Interessen im Einzelfall nicht ersetzen. Es spricht aber sowohl aus der Perspektive eines Datenexporteurs als auch der eines Datenimporteurs durchaus viel dafür, anstatt der SCC das DPF als Legitimation für Datenexporte zu nutzen.

Ein wesentlicher Vorteil des DPF ist die deutlich einfachere praktische Anwendung. Die Nutzung der SCC erfordert einen hohen administrativen Aufwand. Dieser entfällt für den Datenexporteur der bei der Anwendung des DPF vollständig, während der Datenimporteur gewisse Aufwände für seine Zertifizierung nach dem DPF einkalkulieren muss. Für beide Seiten jedoch ist das DPF in der Anwendung wesentlich flexibler: ist ein Datenimporteur einmal für den DPF zertifiziert, kann der DPF wahrscheinlich für alle seine Datenimporte genutzt werden. Die SCC hingegen müssen stets für vorab konkret definierte Datenexporte abgeschlossen werden und müssen entsprechend bei jeder Änderung angepasst oder neu abgeschlossen werden.

Vor allem aber begründen die SCC ein zusätzliches vertragliches Verhältnis zwischen Datenexporteur und Datenimporteur. Nicht nur muss dieses Vertragsverhältnis sorgfältig umgesetzt werden, um überhaupt wirksam zu sein (was wie gesagt einen hohen administrativen Aufwand erfordert und einige Fallstricke bereithält). Auch ist das zusätzliche Vertragsverhältnis für beide Parteien mit besonderen, zusätzlichen Rechten und Pflichten, also in der Konsequenz auch mit zusätzlichen Risiken verbunden. Diese zusätzlichen Rechte und Pflichten fallen bei Anwendung des DPF für den Datenexporteur weg: beruft sich der Datenexporteur auf das DPF, ist sein Datenexport kraft Rechtsakt rechtmäßig.

Auch für den Datenimporteur erscheint die Nutzung des DPF vorteilhaft. Zwar muss er sich im Rahmen der Zertifizierung für die Teilnahme am DPF eine Reihe von Pflichten auf sich nehmen, gerade auch den Betroffenen gegenüber. Diese ähneln in weiten Teilen den Vorgaben der SCC, sind jedoch im Ergebnis nicht so strikt wie die SCC. Insbesondere entzieht der DPF den Datenimporteur dem Zugriff der europäischen Datenschutzaufsicht – und damit in der Konsequenz auch europäischen Bußgeldern und Schadensersatzansprüchen. Der Datenimporteur untersteht allein der Aufsicht der U.S.-amerikanischen Behörden, weswegen es jedenfalls ratsam ist, die dem anwendbaren U.S.-Recht immanenten Risiken mit einem kundigen U.S.-amerikanischen Anwalt zu klären.

Wird das DPF denn langfristig wirksam bleiben?

Wahrscheinlich nicht. Nicht wenige Datenschutzexperten und Aufsichtsbehörden halten das DPF für unzureichend. Max Schrems, also die treibende Kraft hinter den „Schrems I“ und „Schrems II“ Urteilen, hat bereits angekündigt, dass er auch das DPF gerichtlich angreifen wird.

Es steht also zu vermuten, dass das DPF eine begrenzte Haltbarkeitsdauer haben wird. Sollte ein zukünftiges „Schrems III“ Urteil den Angemessenheitsbeschluss für unwirksam erklären, wird das DPF, wie schon 2020 das „Privacy Shield“, ad hoc nicht weiter zur Legitimation von Datenexporten zur Verfügung stehen und ad hoc wiederum die Verwendung von SCC die (im Wesentlichen) einzige Legitimationsmöglichkeit sein. Es ist kaum zu prognostizieren, wann diese Situation – wenn überhaupt – eintreten wird. Vor 2026 sollte dies jedoch kaum der Fall sein.

Es liegt nun an jedem Verantwortlichen, die mit diesem Szenario für ihn verbundenen Risiken zu wägen. Zumindest mittelfristig sollte eine Anwendung des DPF unproblematisch möglich sein.Wer jedoch eine dauerhaft verlässlich wirksame Lösung für seine Datenexporte wünscht, sollte weiterhin die SCC verwenden.

Was muss ich tun, wenn ich auf eine Nutzung des DPF wechseln will?

Wie im ersten Teil unserer Serie erwähnt, ist bei Vorliegen wirksam vereinbarter SCC ein Wechsel zur Nutzung des DPF nicht zwingend erforderlich. Wirksam vereinbarte SCC bleiben weiterhin vollständig wirksam.

Wer dennoch einen Wechsel auf die Nutzung des DPF vollziehen möchte, muss beachten, dass hierfür unbedingt eine Anpassung der Dokumentation erforderlich ist. Es müssen insbesondere alle relevanten Datenschutzerklärungen, relevanten Verträge und relevanten Vereinbarungen zu Auftragsverarbeitungen angepasst werden.

Wir unterstützen Sie dabei gerne.

 

Den ersten Teil der Q&A finden Sie hier. Den zweiten Teil der Q&A finden Sie hier.

 

Share this