Seite wählen

Kurz und knapp

Ab dem 27.09.2021 gelten die neuen Standardvertragsklauseln (SCC).
Ergänzend ist es erforderlich ein Transfer-Impact-Assessment (TIA) durchzuführen.

Einleitung

Werden durch ein Unternehmen in der Rolle des Verantwortlichen oder der des Auftragsverarbeiters personenbezogene Daten in ein „Drittland“ transferiert sind gem. Art 44 ff. DSGVO geeignete Garantien zum Schutz dieser Daten erforderlich um sicherzustellen, dass das durch die DSGVO gewährleistete Schutzniveau nicht untergraben wird.

Sofern für das Drittland kein Angemessenheitsbeschluss der EU-Kommission vorliegt, werden die SCC meist ein wesentlicher Baustein hierfür sein.

Gemäß dem Schrems II-Urteil des Europäischen Gerichtshof (Urteil vom 16.07.2020, Rechtssache C 311/18), reichen die in Art. 44 ff. DSGVO aufgelisteten Garantien alleine nicht aus. Vielmehr muss sich mit der datenschutzrechtlichen Lage im Empfängerland auseinandergesetzt und geprüft sowie festgelegt werden, welche weiteren technischen und organisatorischen Maßnahmen (Verschlüsselung, Anonymisierung, Pseudonymisierung) für den jeweiligen Fall zusätzlich erforderlich sind.

Aufbau der neuen SCC

Die neuen SCC verfügen über einem modularen Aufbau und bieten deutlich mehr individuelle Anpassungsmöglichkeiten, jedoch auch einen erhöhten Aufwand bevor diese verwendet werden können.

In den neuen SCC können erstmals andere Einrichtungen einem auf Grundlage der Standardvertragsklauseln abgeschlossenen Vertrages als Datenimporteure oder -exporteure dem Vertrag beitreten.

Die neuen Standardvertragsklauseln sind modular aufgebaut und damit auf eine größere Anzahl von Verträgen anwendbar als zuvor und umfassen auch Verträge auf der Ebene der Unterauftragsverhältnisse. Dies erfordert eine individuelle Anpassung.

Mit Ausnahme der Auswahl des entsprechenden Moduls oder Module, bzw. der Ergänzung von Informationen in der Anlage dürfen keine weiteren Änderungen vorgenommen werden.

Es sind vier unterschiedliche Verarbeitungskonstellationen vorgesehen (Module), die entsprechend in den SCC ausgewählt werden müssen:

  • Modul Eins C2C Controller to Controller
    Übermittlung von einem Verantwortlichen (in der EU) an einen anderen Verantwortlichen (im Drittland)
  • Modul Zwei C2P Controller to Processor
    Übermittlung vom Verantwortlichen (in der EU) an den Auftragsverarbeiter (im Drittland)
  • Modul Drei P2P Processor to Processor
    Übermittlung von einem Auftragsverarbeiter (in der EU) an einen anderen (Sub-) Auftragsverarbeiter (im Drittland)
  • Modul Vier P2C Processor to Controller
    Übermittlung von einem Auftragsverarbeiter (in der EU) an den Verantwortlichen (im Drittland)

Jedoch dürfen die Standardvertragsklauseln in einen umfangreicheren Vertrag aufgenommen werden (z.B. als Anhang). Zudem dürfen auch weitere Klauseln oder zusätzliche Garantien hinzugefügt werden, sofern diese weder unmittelbar noch mittelbar im Widerspruch zu den sonstigen Regelungen der SCC stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneiden.

Wenn Dienstleister auf Weisung eines Unternehmens Daten verarbeiten, dann liegt eine Auftragsverarbeitung im Sinne der DSGVO vor. In solchen Fällen muss ein  Vertrag zur Auftragsverarbeitung oder auch Auftragsverarbeitungsvertrag (kurz „AVV“) abgeschlossen werden. Die neuen Standardvertragsklauseln entsprechen nunmehr zugleich den Anforderungen an einen Auftragsverarbeitungsvertrag. Dies bedeutet, wenn ein Vertrag auf Grundlage der Standardvertragsklauseln abgeschlossen wird, dann ist der Abschluss eines zusätzlichen Auftragsverarbeitungsvertrages nicht mehr zwingend erforderlich.

Speziell die Klauseln 14 und 15 der neuen SCC enthalten spezielle Sicherheitsmaßnahmen, die einigen der Ergänzungen entsprechen, die von Datenschutzbehörden und dem Europäischen Datenschutzausschuss (“EDSA”) bereits zu den alten Standardvertragsklauseln vorgeschlagen wurden um den Forderungen aus dem Schrems II-Urteil gerecht zu werden.

In den neuen SCC ist festgelegt, dass diese Vorrang haben und etwaige widersprechenden Vertrags- oder AGB-Klauseln verdrängen (Abschnitt I Klausel 5).

Der Abschnitt II enthält in Kapitel 12 modulare Haftungsklauseln und legt (gemeinsam mit der Regelung des Vorrangs der SCC) grundsätzlich fest, dass die Haftung der Vertragsparteien bspw. nicht durch externe Haftungsausschlüsse in AGB eingeschränkt wird.

Die Vertragsparteien können nun im Abschnitt IV (Klauseln 17 & 18) die Geltung eines bestimmten nationalen Rechts und des Gerichtsstandes (innerhalb der EU) festlegen.

In Hinblick auf die derzeit stattfindenden Diskussionen zu Datenübermittlungen in die USA oder andere Drittländer verpflichtet sich der Datenimporteuer in Klausel 15 u.a. dazu:

  • Sich nach besten Kräften um eine Aufhebung des Verbots der Benachrichtigung des Datenexporteurs / Betroffenen zu bemühen. Das Ziel soll es dabei sein, dass möglichst viele Informationen und so schnell wie möglich mitgeteilt werden können. Der Datenimporteur verpflichtet sich daher, seine unternommenen Anstrengungen zu dokumentieren, um diese auf Verlangen des Datenexporteurs nachweisen zu können.
  • Die Rechtmäßigkeit des Offenlegungsersuchens zu überprüfen, insbesondere ob das Ersuchen im Rahmen der Befugnisse liegt, die der ersuchenden Behörde übertragen wurden, und das Ersuchen anzufechten, wenn er nach sorgfältiger Beurteilung zu dem Schluss kommt, dass hinreichende Gründe zu der Annahme bestehen, dass das Ersuchen nach den Rechtsvorschriften des Bestimmungslandes, gemäß geltenden völkerrechtlichen Verpflichtungen und nach den Grundsätzen der „Völkercourtoisie“ (Hierbei handelt es sich um Handlungen, Praktiken und Regeln, die im internationalen Verkehr zwischen Staaten wegen ihrer Souveränität aufgrund Freundschaft, Nachbarschaft und wechselseitigem Respekt beachtet werden) rechtswidrig ist. Unter den genannten Bedingungen sind vom Datenimporteur mögliche Rechtsmittel einzulegen. Bei der Anfechtung eines Ersuchens erwirkt der Datenimporteur einstweilige Maßnahmen, um die Wirkung des Ersuchens auszusetzen, bis die zuständige Justizbehörde über dessen Begründetheit entschieden hat. Er legt die angeforderten personenbezogenen Daten erst offen, wenn dies nach den geltenden Verfahrensregeln erforderlich ist.

Beide Vertragsparteien verpflichten sich in Klausel 14, dazu, dass sie insbesondere die folgenden Aspekte gebührend berücksichtigt haben:

  • die besonderen Umstände der Übermittlung, einschließlich der Länge der Verarbeitungskette, der Anzahl der beteiligten Akteure und der verwendeten Übertragungskanäle, beabsichtigte Datenweiterleitungen, die Art des Empfängers, den Zweck der Verarbeitung, die Kategorien und das Format der übermittelten personenbezogenen Daten, den Wirtschaftszweig, in dem die Übertragung erfolgt, den Speicherort der übermittelten Daten,
  • die angesichts der besonderen Umstände der Übermittlung relevanten Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes (einschließlich solcher, die die Offenlegung von Daten gegenüber Behörden vorschreiben oder den Zugang von Behörden zu diesen Daten gestatten) sowie die geltenden Beschränkungen und Garantien,
  • alle relevanten vertraglichen, technischen oder organisatorischen Garantien, die zur Ergänzung der Garantien gemäß diesen Klauseln eingerichtet wurden, einschließlich Maßnahmen, die während der Übermittlung und bei der Verarbeitung personenbezogener Daten im Bestimmungsland angewandt werden.

Diese drei Punkte sind somit insbesondere bei Drittlandsübermittlungen im Rahmen der Risikobewertung zu beachten und dies ist zu dokumentieren.

Transfer-Impact-Assessment

Es ist im Rahmen einer Risikobewertung, bzw. Transfer-Impact-Assessment (TIA), die datenschutzrechtliche Situation im Empfängerland zu bewerten und basierend darauf geeignete Schutzmaßnahmen festzulegen.

Ein mögliches Ergebnis eines solchen TIA kann auch die Entscheidung sein, die geplante Datenübermittlung nicht durchführen zu können und stattdessen eine europäische Lösung finden zu müssen.

Gültigkeit

Bei allen neu geschlossenen Verträgen müssen ab dem 27. September 2021 die neuen Standardvertragsklauseln berücksichtigt werden. Bis dahin könnten noch die alten SCC verwendet werden. Spätestens bis zum 27. Dezember 2022 sind diese jedoch durch die neuen SCC auszutauschen.

Im Falle relevanter Vertragsänderungen sollte der Datenexporteur die Möglichkeit sofort nutzen und die bestehenden SCC durch die neuen ersetzen.

Sobald ein Datentransfer in ein Land außerhalb der EU / des EWR stattfinden soll, sind die neuen SCC zwischen den jeweiligen Beteiligten zu schließen.

Link zu den neuen SCC

Die neue Version der SCC steht unter https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?locale=en in allen europäischen Sprachen zur Verfügung und kann entsprechend genutzt werden. Wir empfehlen, dass die Sprachversion verwendet wird, die Sie in Ihrer Kommunikation mit dem jeweiligen Vertragspartner überwiegend verwenden, bzw. die Sprache in dem sie die anderen Vertragsdokumente erstellt haben.