INFORMATIONEN

Was jetzt getan werden muss, ist die Schaffung neuer Standardvertragsklauseln für das Jahr 2022.

Die überarbeiteten Standardvertragsbestimmungen für die Übermittlung personenbezogener Daten in Drittländer wie die Vereinigten Staaten wurden von der EU in einer neuen Fassung angenommen. Wir zeigen Ihnen, wie Sie die neuen EU-Standardvertragsklauseln in die Praxis umsetzen können.

Die neuen EU-Standardvertragsklauseln wurden in einigen Bereichen sehnlichst erwartet. Sie sind nun auch DSGVO-konform und bieten angesichts der Schrems-II-Entscheidung mehr Rechtssicherheit. Sie bedeuten aber auch, dass die Unternehmen handeln müssen. Wir erläutern Ihnen, was Sie wissen und tun müssen.

Welche Standardvertragsklauseln gibt es in der Europäischen Union?

Für die Übermittlung personenbezogener Daten in Drittländer außerhalb der EU sind Standardvertragsklauseln, sogenannte SCC, erforderlich. Da die Datenschutz-Grundverordnung für bestimmte Drittländer nicht gilt, sind zusätzliche Datenschutzgarantien erforderlich, um ein angemessenes Datenschutzniveau bei Datenübermittlungen zu gewährleisten. Hier kommen die SCC ins Spiel: Sie müssen bei der Übermittlung personenbezogener Daten in Drittländer das gleiche Maß an Datenschutz gewährleisten wie die DSGVO.

Typische vertragliche Vereinbarungen werden zwischen der verantwortlichen Person und der ausländischen Stelle getroffen, an die die Daten übermittelt werden, häufig eine Firma oder ein Internetdienst wie Mailchimp.

Die Verantwortlichen können sich auf die Vertragsvorlagen der Europäischen Kommission stützen, die für neue Verträge ausgefüllt werden müssen. Wer hingegen benötigt SCC?

Was ist der Zweck der Standardvertragsklauseln der DSGVO?

Personenbezogene Daten müssen auf zwei Arten an einen Nicht-EU-Staat übermittelt werden:

  • Eine gültige Rechtsgrundlage
  • Eine geeignete Garantie im Sinne von Art. 44 ff. DSGVO.
  • Wie bereits erwähnt, wird diese Garantie zum Beispiel durch die Durchführung konventioneller vertraglicher Vereinbarungen gegeben. Die EU-Kommission hat mehreren Drittstaaten solche Garantien durch den sogenannten Angemessenheitsbeschluss gegeben. Für die Drittstaaten, für die keine solchen Entscheidungen getroffen wurden, müssen SCCs ausgefüllt werden.

    DSGVO-Standardvertragsklauseln sind in der Praxis erforderlich, zum Beispiel, wenn:

  • Sie nutzen Software oder einen Dienst wie Google Analytics oder YouTube, der personenbezogene Daten in ein Nicht-EU-Land sendet.
  • Sie bieten Software oder eine Dienstleistung an und arbeiten mit Freiberuflern aus Nicht-EU-Ländern zusammen. Dies ist zum Beispiel bei internationalen Programmierern und ausländischen Callcentern der Fall.
  • Was sind die neuen EU-Standardvertragsbestimmungen und was hat sich geändert?

    Die neuen EU-Standardvertragsvereinbarungen sind flexibler, was die Ausgestaltung von Datenübermittlungen in Drittstaaten angeht, aber auch umfassender. Im Vergleich zum bisherigen SCC haben sich die folgenden Punkte geändert:

  • Die bisherige lineare Konstellation zwischen Verantwortlichem und Zuständigem bzw. Verantwortlichem und Bearbeiter wird durch diese neue Struktur aufgebrochen. Bei der Vervollständigung eines SCC können Sie nun aus einer Vielzahl von Modulen für unterschiedliche Einsatzszenarien wählen. Im Folgenden sind einige davon aufgeführt:
  • Modul 1: Datenübertragung zwischen zwei rechenschaftspflichtigen Personen
  • Modul 2: Datenübermittlung von der verantwortlichen Person an den Auftragsverarbeiter
  • Modul 3: Datenübertragung von einem Prozessor zu einem (Sub-)Prozessor
  • Modul 4: Datenübermittlung (Rücksendung) von Verarbeitern innerhalb der EU an einen Verantwortlichen in einem Drittland.
  • Wenn die Behörden Zugang zu den übermittelten Daten verlangen, muss der Datenimporteur den Datenexporteur und alle anderen betroffenen Parteien benachrichtigen.
  • Verträge, einschließlich Standardvertragsklauseln, können nun von mehr als zwei Parteien geschlossen werden. Unter bestimmten Umständen können auch Dritte einer bereits gegründeten SCC beitreten.
  • Wann müssen Sie die neuen Standardvertragsklauseln verwenden?

    Bei der Umsetzung der neuen Standardvertragsklauseln der DSGVO sind zwei wichtige Daten zu beachten:

  • 09/27/2021: Alle neuen Verträge müssen bis zu diesem Datum oder später mit der neuen SCC unterzeichnet werden. Es ist dann untersagt, die bestehenden Standardvertragsklauselvorlagen zu verwenden.
  • 27.12.2022: Alle Verantwortlichen haben nun mehr als ein Jahr Zeit, die alten Standardvertragsbedingungen ihres Unternehmens zu ändern und durch die neuen Vorlagen zu ersetzen. Wenn diese Frist nicht eingehalten wird, können Sanktionen verhängt werden.
  • In der Praxis bedeutet dies, dass alle bestehenden SCCs geändert werden müssen. Wenn neue Standardvertragsklauseln erreicht werden, ist wie folgt vorzugehen:

  • Vergewissern Sie sich, dass Sie das richtige Modul aus den vier Optionen auswählen und verwenden.
  • Führen Sie die beschriebene Risikoanalyse durch, bevor Sie sie beenden. Um in dieser Situation rechtlich auf der sicheren Seite zu sein, sollten Sie unbedingt Ihren Datenschutzbeauftragten konsultieren.
  • Da das neue SCC eine detaillierte Dokumentationspflicht vorsieht, sollten Sie alle abgeschlossenen Verfahren genauestens dokumentieren.
  • Beachten Sie die Fristen!
  • Viele große Unternehmen haben ihren eigenen SCC. Wenn Sie noch keine haben, können Sie sie hier anfordern: Muster für Standardvertragsklauseln

  • Eine Vorlage für Standardvertragsklauseln zwischen für die Verarbeitung Verantwortlichen und Auftragsverarbeitern
  • Standardvertragsklauseln für internationale Datenübermittlungen