Die EU-Kommission hat neue Stan­dard­ver­trags­klau­seln ver­ab­schie­det. Das in die Jah­re gekom­men, prä-DSGVO-Werk wur­de rund­erneu­ert. Die neu­en Klau­seln sind nicht nur auf die Vor­ga­ben der DSGVO ange­passt, Sie berück­sich­ti­gen auch das „Schrems II“-Urteil und set­zen eine kla­re Frist für Ver­ant­wort­li­che und Auftragsverarbeiter.

Für bestehen­de Ver­trä­ge gilt eine Über­gangs­frist von 18 Mona­ten. Bis Dezem­ber 2022 soll­ten alle nun­mehr alten SCC durch die Neu­en ersetzt wer­den. Eine Aus­rei­zung der Über­gangs­frist ist nicht emp­foh­len.” – Eileen Binder

Regel­mä­ßig haben wir hier auf unse­rem Blog über die aktu­el­len Ent­wick­lun­gen zum „Schrems II“-Urteil, den Brexit und die Daten­über­mitt­lun­gen in die USA infor­miert. Mit der Ver­ab­schie­dung der neu­en EU-Standardvertragsklauseln reiht sich nun ein  wei­te­rer wich­ti­ger Bau­stein in die Ent­wick­lung der Daten­trans­fers in Dritt­län­der ein.

———————————————————————–

Am 04. Juli 2021 hat die EU-Kommission die neu­en Stan­dard­ver­trags­klau­seln / Stan­dard Con­trac­tu­al Clau­sel (= SCC) ver­ab­schie­det. Die SCC sind die wesent­li­che Grund­la­ge, wenn per­so­nen­be­zo­ge­ne Daten in ein Dritt­land ohne ange­mes­se­nes Daten­schutz­ni­veau über­mit­telt wer­den sol­len. Sie ver­pflich­ten den Daten­im­por­teur, die Rege­lun­gen zum Schutz der Per­so­nen­da­ten trotz des Hei­mat­rechts ein­zu­hal­ten. Die­se Garan­tie war zuletzt durch das Schrems II-Urteil arg ins Wan­ken gera­ten. Die noch aktu­ell gel­ten­den SCC kön­nen den Schutz der Per­so­nen­da­ten bei einer Über­mitt­lung in die USA auf­grund deren Hei­mat­recht gera­de nicht garantieren.

Wesent­li­che Änderungen

  1. Modu­la­rer Aufbau

Die zen­tra­le Ände­rung der Stan­dard­ver­trags­klau­seln liegt dar­in, dass es nur noch ein gro­ßes, modu­lar auf­ge­bau­tes Werk geben wird. Aktu­ell gibt es zwei For­men der SCC – zwi­schen Daten­ex­por­teur (Ver­ant­wort­li­cher / Auf­trag­ge­ber) und Daten­im­por­teur (Auf­trag­neh­mer) sowie zwi­schen zwei Ver­ant­wort­li­chen. Die­se bei­den Ver­trags­for­men gibt es wei­ter­hin. Sie wer­den ergänzt um Fäl­le, in denen Per­so­nen­da­ten vom Auf­trag­neh­mer an einen Unter­auf­trag­neh­mer sowie vom Auf­trag­neh­mer an den Ver­ant­wort­li­chen wei­ter­ge­ge­ben werden.

Der modu­la­re Auf­bau wirkt zunächst über­wäl­ti­gend, der indi­vi­du­el­le Auf­wand zur Erstel­lung der rich­ti­gen Ver­trags­vor­la­ge wird erst ein­mal stei­gen, zuletzt dürf­te der Vor­teil aber über­wie­gen. So kön­nen zum Bei­spiel auch kom­pli­zier­te­re Fäl­le berück­sich­tigt werden.

  1. Anglei­chung an DSGVO

Dane­ben wur­den die SCC an die Vor­ga­ben der DSGVO ange­gli­chen. Die Daten­schutz­grund­sät­ze nach Art. 5 Abs. 1 DSGVO wie Trans­pa­renz, Rechts­mä­ßig­keit, Zweck­bin­dung und Rich­tig­keit sind auf­ge­nom­men wor­den. Die Mel­de­pflich­ten im Fal­le einer Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten („data breach“) sind eben­falls inte­griert wor­den wie auch erwei­ter­te Benachrichtigungs- und infor­ma­ti­ons­pflich­ten für den Datenimporteur.

  1. Berück­sich­ti­gung Schrems II-Urteil

Neu, bedingt durch das Schrems II-Urteil, hin­zu­ge­kom­men ist die Ver­pflich­tung der Ver­ant­wort­li­chen zu einer Daten-Transfer-Folgenabschätzung („Data Impact Assess­ment“ – TIA), Klau­sel 14b. Zwar sichern sich in Klau­sel 14a bei­de Par­tei­en zu, dass sie kei­nen Grund zu der Annah­me zu haben, dass die für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch den Daten­im­por­teur gel­ten­den Rechts­vor­schrif­ten und Gepflo­gen­hei­ten im Bestim­mungs­dritt­land, ein­schließ­lich Anfor­de­run­gen zur Offen­le­gung per­so­nen­be­zo­ge­ner Daten oder Maß­nah­men, die öffent­li­chen Behör­den den Zugang zu die­sen Daten gestat­ten, den Daten­im­por­teur an der Erfül­lung sei­ner Pflich­ten gemäß die­sen Klau­seln hin­dern. Der Ver­ant­wort­li­che hat den­noch vor der Daten­über­mitt­lung mit­tels Fol­gen­ab­schät­zung eine ein­zel­fall­be­zo­ge­ne Bewer­tung vorzunehmen.

  1. Ände­run­gen beim Auftragsverarbeitungsvertrag

Neue­run­gen gibt es auch hin­sicht­lich der Erfor­der­lich­keit des Abschlus­ses von Auf­trags­ver­ar­bei­tungs­ver­trä­gen (= AVV). Ist unter den aktu­el­len SCC stets auch der Abschluss eines AVV erfor­der­lich, ent­fällt die­se Erfor­der­lich­keit mit dem neu­en SCC. Es ist nun mög­lich, in den Kon­stel­la­tio­nen Ver­ant­wort­li­cher – Auf­trags­ver­ar­bei­ter und Auf­trags­ver­ar­bei­ter – Unter­auf­trags­ver­ar­bei­ter nur noch mit den SCC zu arbei­ten und damit eine Ver­ein­ba­rung zu schlie­ßen. Die neu­en SCC erfül­len auch die Anfor­de­run­gen des Art. 28 Abs. 3 und 4 DSGVO. Dane­ben gilt wei­ter­hin der Grund­satz, dass kei­ne SCC abge­schlos­sen wer­den, wenn der Daten­im­por­teur / Auf­trag­neh­mer der DSGVO unter­liegt oder er gem. Art. 3 Abs. 2 DSGVO in den Anwen­dungs­be­reich der DSGVO fällt.

Über­gangs­frist

Ende Juni 2021 tre­ten die neu­en SCC in Kraft. Wer sich aktu­ell in Ver­trags­ver­hand­lun­gen befin­det oder dem­nächst Ver­trags­ver­hand­lun­gen auf­nimmt, soll­te bereits auf die neu­en SCC zurück­grei­fen. Für bestehen­de Ver­trä­ge gilt eine Über­gangs­frist von 18 Mona­ten. Bis Dezem­ber 2022 soll­ten alle dann alten SCC durch die Neu­en ersetzt wer­den. Eine Aus­rei­zung der Über­gangs­frist ist nicht emp­foh­len. Wie in unse­rem Bei­trag „Auf­sichts­be­hör­den prü­fen Daten­über­mitt­lung in die USA“ (hier geht’s zum Bei­trag) beschrie­ben, prüft ein län­der­über­grei­fen­des Ver­fah­ren meh­re­rer deut­scher Auf­sichts­be­hör­den stich­pro­ben­ar­tig die Daten­über­mitt­lung in die USA durch deut­sche Unternehmen.

Schweiz

Der Schwei­zer Daten­schutz­be­auf­trag­te (EDÖB) hat die neu­en SCC noch nicht rati­fi­ziert, wird dies aber aller Vor­aus­sicht nach tun. Bis dahin müs­sen die alten SCC wei­ter­hin ver­wen­det werden.

Fazit

Mit den neu­en Standard-Datenschutzklauseln kommt neue Arbeit auf die Ver­ant­wort­li­chen zu. Zunächst soll­te die unter­neh­mens­ei­ge­ne Über­sicht nach den ver­schie­de­nen Daten­über­mitl­lungs­kon­stel­la­tio­nen aus­ge­wer­tet wer­den. Danach wer­den die neu­en SCC anhand der Modu­le erstellt und an die Ver­trags­part­ner ver­sen­det. Alter­na­tiv ist auch die Anfra­ge bei den Ver­trags­part­nern mög­lich, die – sofern es sich um Auf­trags­ver­ar­bei­ter han­delt – in der Regel auf­grund der Viel­zahl von Kun­den eine Vor­la­ge zur Ver­fü­gung stel­len. Wer seit dem Schrems II-Urteil Maß­nah­men zum Daten­schutz bei Über­mitt­lung in ein Dritt­land vor­ge­nom­men und einen guten Über­blick über die rele­van­ten Ver­trags­part­ner hat, dem soll­te die Umstel­lung nicht all­zu schwer fal­len. Eine neue Her­aus­for­de­rung bie­tet sicher­lich die neue Risi­ko­be­wer­tung (TIA), die vom Ver­ant­wort­li­chen in jedem Ein­zel­fall vor­zu­neh­men und zu doku­men­tie­ren ist.

Was Sie noch interessieren könnte:

Autorin des Artikels:

Eileen Binder

Wirtschaftsjuristin LL.B. & Beraterin im Datenschutz