Die EU-Kommission hat neue Standardvertragsklauseln verabschiedet. Das in die Jahre gekommen, prä-DSGVO-Werk wurde runderneuert. Die neuen Klauseln sind nicht nur auf die Vorgaben der DSGVO angepasst, Sie berücksichtigen auch das „Schrems II“-Urteil und setzen eine klare Frist für Verantwortliche und Auftragsverarbeiter.
“Für bestehende Verträge gilt eine Übergangsfrist von 18 Monaten. Bis Dezember 2022 sollten alle nunmehr alten SCC durch die Neuen ersetzt werden. Eine Ausreizung der Übergangsfrist ist nicht empfohlen.” – Eileen Binder
Regelmäßig haben wir hier auf unserem Blog über die aktuellen Entwicklungen zum „Schrems II“-Urteil, den Brexit und die Datenübermittlungen in die USA informiert. Mit der Verabschiedung der neuen EU-Standardvertragsklauseln reiht sich nun ein weiterer wichtiger Baustein in die Entwicklung der Datentransfers in Drittländer ein.
———————————————————————–
Am 04. Juli 2021 hat die EU-Kommission die neuen Standardvertragsklauseln / Standard Contractual Clausel (= SCC) verabschiedet. Die SCC sind die wesentliche Grundlage, wenn personenbezogene Daten in ein Drittland ohne angemessenes Datenschutzniveau übermittelt werden sollen. Sie verpflichten den Datenimporteur, die Regelungen zum Schutz der Personendaten trotz des Heimatrechts einzuhalten. Diese Garantie war zuletzt durch das Schrems II-Urteil arg ins Wanken geraten. Die noch aktuell geltenden SCC können den Schutz der Personendaten bei einer Übermittlung in die USA aufgrund deren Heimatrecht gerade nicht garantieren.
Wesentliche Änderungen
- Modularer Aufbau
Die zentrale Änderung der Standardvertragsklauseln liegt darin, dass es nur noch ein großes, modular aufgebautes Werk geben wird. Aktuell gibt es zwei Formen der SCC – zwischen Datenexporteur (Verantwortlicher / Auftraggeber) und Datenimporteur (Auftragnehmer) sowie zwischen zwei Verantwortlichen. Diese beiden Vertragsformen gibt es weiterhin. Sie werden ergänzt um Fälle, in denen Personendaten vom Auftragnehmer an einen Unterauftragnehmer sowie vom Auftragnehmer an den Verantwortlichen weitergegeben werden.
Der modulare Aufbau wirkt zunächst überwältigend, der individuelle Aufwand zur Erstellung der richtigen Vertragsvorlage wird erst einmal steigen, zuletzt dürfte der Vorteil aber überwiegen. So können zum Beispiel auch kompliziertere Fälle berücksichtigt werden.
- Angleichung an DSGVO
Daneben wurden die SCC an die Vorgaben der DSGVO angeglichen. Die Datenschutzgrundsätze nach Art. 5 Abs. 1 DSGVO wie Transparenz, Rechtsmäßigkeit, Zweckbindung und Richtigkeit sind aufgenommen worden. Die Meldepflichten im Falle einer Verletzung des Schutzes personenbezogener Daten („data breach“) sind ebenfalls integriert worden wie auch erweiterte Benachrichtigungs- und informationspflichten für den Datenimporteur.
- Berücksichtigung Schrems II-Urteil
Neu, bedingt durch das Schrems II-Urteil, hinzugekommen ist die Verpflichtung der Verantwortlichen zu einer Daten-Transfer-Folgenabschätzung („Data Impact Assessment“ – TIA), Klausel 14b. Zwar sichern sich in Klausel 14a beide Parteien zu, dass sie keinen Grund zu der Annahme zu haben, dass die für die Verarbeitung personenbezogener Daten durch den Datenimporteur geltenden Rechtsvorschriften und Gepflogenheiten im Bestimmungsdrittland, einschließlich Anforderungen zur Offenlegung personenbezogener Daten oder Maßnahmen, die öffentlichen Behörden den Zugang zu diesen Daten gestatten, den Datenimporteur an der Erfüllung seiner Pflichten gemäß diesen Klauseln hindern. Der Verantwortliche hat dennoch vor der Datenübermittlung mittels Folgenabschätzung eine einzelfallbezogene Bewertung vorzunehmen.
- Änderungen beim Auftragsverarbeitungsvertrag
Neuerungen gibt es auch hinsichtlich der Erforderlichkeit des Abschlusses von Auftragsverarbeitungsverträgen (= AVV). Ist unter den aktuellen SCC stets auch der Abschluss eines AVV erforderlich, entfällt diese Erforderlichkeit mit dem neuen SCC. Es ist nun möglich, in den Konstellationen Verantwortlicher – Auftragsverarbeiter und Auftragsverarbeiter – Unterauftragsverarbeiter nur noch mit den SCC zu arbeiten und damit eine Vereinbarung zu schließen. Die neuen SCC erfüllen auch die Anforderungen des Art. 28 Abs. 3 und 4 DSGVO. Daneben gilt weiterhin der Grundsatz, dass keine SCC abgeschlossen werden, wenn der Datenimporteur / Auftragnehmer der DSGVO unterliegt oder er gem. Art. 3 Abs. 2 DSGVO in den Anwendungsbereich der DSGVO fällt.
Übergangsfrist
Ende Juni 2021 treten die neuen SCC in Kraft. Wer sich aktuell in Vertragsverhandlungen befindet oder demnächst Vertragsverhandlungen aufnimmt, sollte bereits auf die neuen SCC zurückgreifen. Für bestehende Verträge gilt eine Übergangsfrist von 18 Monaten. Bis Dezember 2022 sollten alle dann alten SCC durch die Neuen ersetzt werden. Eine Ausreizung der Übergangsfrist ist nicht empfohlen. Wie in unserem Beitrag „Aufsichtsbehörden prüfen Datenübermittlung in die USA“ (hier geht’s zum Beitrag) beschrieben, prüft ein länderübergreifendes Verfahren mehrerer deutscher Aufsichtsbehörden stichprobenartig die Datenübermittlung in die USA durch deutsche Unternehmen.
Schweiz
Der Schweizer Datenschutzbeauftragte (EDÖB) hat die neuen SCC noch nicht ratifiziert, wird dies aber aller Voraussicht nach tun. Bis dahin müssen die alten SCC weiterhin verwendet werden.
Fazit
Mit den neuen Standard-Datenschutzklauseln kommt neue Arbeit auf die Verantwortlichen zu. Zunächst sollte die unternehmenseigene Übersicht nach den verschiedenen Datenübermitllungskonstellationen ausgewertet werden. Danach werden die neuen SCC anhand der Module erstellt und an die Vertragspartner versendet. Alternativ ist auch die Anfrage bei den Vertragspartnern möglich, die – sofern es sich um Auftragsverarbeiter handelt – in der Regel aufgrund der Vielzahl von Kunden eine Vorlage zur Verfügung stellen. Wer seit dem Schrems II-Urteil Maßnahmen zum Datenschutz bei Übermittlung in ein Drittland vorgenommen und einen guten Überblick über die relevanten Vertragspartner hat, dem sollte die Umstellung nicht allzu schwer fallen. Eine neue Herausforderung bietet sicherlich die neue Risikobewertung (TIA), die vom Verantwortlichen in jedem Einzelfall vorzunehmen und zu dokumentieren ist.
Was Sie noch interessieren könnte:
Die Haftung von Verantwortlichen, Gemeinsam Verantwortlichen und Auftragsverarbeitern
Die Funktion als Verantwortlicher, gemeinsam Verantwortlicher oder Auftragsverarbeiter ist für Unternehmen vor allem in Haftungssituationen rund um den Datenschutz […]
Die Erstellung eines Löschkonzepts – das gilt es zu beachten!
In der DSGVO finden sich an einigen Stellen Verpflichtungen zur Löschung personenbezogener Daten. Darunter beispielsweise das Recht auf Löschung in […]
Künstliche Intelligenz und Datenschutz – woran Verantwortliche im Unternehmen denken sollten
Laut dem statistischen Bundesamt nutzen Unternehmen Künstliche Intelligenz (KI) am häufigsten zur Spracherkennung, gefolgt von der Automatisierung von Arbeitsabläufen oder […]