Standardvertragsklauseln
Update der Standardvertragsklauseln bis zum 27.Dezember 2022

Update der Standardvertragsklauseln bis zum 27.Dezember 2022

Standardvertragsklauseln gab es schon lange vor der DSGVO. Allerdings haben die DSGVO und unter anderem das Schrems-II-Urteil dazu geführt, dass die EU-Kommission diese aktualisieren musste, um weiterhin Rechtssicherheit für Datentransfers außerhalb der EU zu gewährleisten. Die Hintergrundgeschichte könnt ihr in unserem anderen Blog-Beitrag lesen.

Umsetzungsfrist endet

Diese neuen Standardvertragsklauseln gibt es seit September 2021. Seitdem müssen alle neu abgeschlossenen Verträge mit Unternehmen außerhalb der EU diese neuen Klauseln enthalten. Für bereits bestehende Vertragsbeziehungen wurde eine Frist für die Umstellung gesetzt: 27. Dezember 2022. Bis dahin müssen alte Verträge mit den neuen Klauseln aktualisiert sein, ansonsten drohen Strafen der Datenschutzbehörden.

Die Umsetzungsfrist ist bindend und kann nicht verlängert werden. Das heißt, bis Ende Dezember müssen alle Altverträge durch die neuen ersetzt werden. Die Altverträge gewährleisten kein angemessenes Schutzniveau beim Datentransfer mehr. Sie werden unwirksam.

Dies lässt sich einfach erklären: In dem EuGH-Urteil „Schrems II“ hat das Gericht geurteilt, dass der bis dato existierende Angemessenheitsbeschluss „EU-US Privacy Shield“ für die Datenübermittlung in die USA ungültig ist. Gleichzeitig hat der EuGH auch die Anforderungen konkretisiert, die sich für alle Datenübermittlungen in Drittländern aus den Art. 44 ff. DSGVO ergeben. Es sei hier angemerkt, dass es sich bei den USA um ein sogenanntes unsicheres Drittland handelt, bei dem kein mit der EU vergleichbares und gleichwertiges Datenschutzniveau vorliegt.

Was ist bei den Standardvertragsklauseln neu?

Module

Die neuen SCCs (Standard Contractual Clauses) bestehen aus vier Modulen für verschiedene Szenarios der Beziehung zwischen Verantwortlichen und Auftragsverarbeitern im Sinne der DSGVO:

Modul 1: C2C – Verantwortlicher – Verantwortlicher/Controller to Controller
deckt die Datenübermittlung von einem Verantwortlichen in der EU an einen Verantwortlichen in einem Drittland ab. Bereits die alten SCCs haben diese Konstellation erfasst.

Modul 2: C2P – Verantwortlicher und Auftragsverarbeiter/Controller to Processor
deckt die Datenübermittlung von einem Verantwortlichen in der EU an einen Auftragsverarbeiter in einem Drittland ab. Auch diese Konstellation wurde von den alten SCCs erfasst. Allerdings haben die neuen SCCs den Vorteil, dass Verantwortliche mit Auftragsverarbeitern in einem Drittland keine gesonderte Auftragsverarbeitungsvereinbarung mehr abschließen müssen. Gemäß Artikel 28 DSGVO darf die Verarbeitung von Daten durch einen Auftragsverarbeiter nur auf Basis einer Auftragsverarbeitungsvereinbarung erfolgen. Modul 2 deckt diese Anforderung nun mit ab.

• Modul 3: P2P – Auftragsverarbeiter und (Unter-)Auftragsverarbeiter/Processor to Processor
erfasst die Konstellation, dass ein Auftragsverarbeiter in der EU, Daten an einen
Unterauftragsverarbeiter/Sub Processor in einem Drittland übermittelt. Auftragsverarbeiter in der EU können also Unterauftragsverarbeiter außerhalb der EU einsetzen. Diese Konstellation wurde neu eingeführt. Wollte ein Auftragsverarbeiter einen Unterauftragsverarbeiter unter den alten SCCs einsetzen, war es notwendig, dass der Verantwortliche selbst SCCs mit dem Unterauftragsverarbeiter abschließt. Der Auftragsverarbeiter konnte nicht selbstständig einen Unterauftragsverarbeiter einsetzen, obwohl zwischen ihm und dem Verantwortlichen eine Auftragsverarbeitungsvereinbarung bestand. Dies hat sich nun geändert. Modul 3 ähnelt Modul 2, mit der Folge, dass Parteien keine gesonderte Unterauftragsverarbeitungsvereinbarung mehr abschließen müssen. Hierdurch verringert sich der organisatorische Aufwand für den Verantwortlichen.

• Modul 4: P2C – Auftragsverarbeiter und Verantwortlicher/Processor to Controller
Die Parteienkonstellation unter Modul 4 ist ebenfalls neu und deckt die Daten(rück)übermittlung von einem Auftragsverarbeiter in der EU an einen Verantwortlichen in einem Drittland ab. Anders als Modul 2 und 3 erfüllt Modul 4 die Anforderung des Artikel 28 DSGVO nicht, sprich es müssen gesonderte Auftragsverarbeitungsvereinbarungen abgeschlossen werden.

Mehre Parteien

Des Weiteren gibt es die sogenannte Kopplungsklausel – diese besagt, dass die Standardvertragsklauseln auch zwischen mehr als zwei Parteien geschlossen werden können, auch können dritte Parteien bereits geschlossenen Standardvertragsklauseln beitreten.

Wichtig: Standardvertragsklauseln dürfen nicht abgeändert werden, sondern nur durch weitere Klauseln ergänzt werden, soweit sie dem Wortlaut der SVK nicht widersprechen.

Was sollte man als Nächstes tun?

Um drohende Strafen zu vermeiden, empfehlen wir, Datentransfers in unsichere Drittländer wie folgt zu prüfen:

Kontrolliert, auf welcher rechtlichen Basis und an welche Vertragspartner personenbezogene Daten in Drittländer übermittelt werden.
Findet heraus, welche der SCCs Module für Eure Drittlandtransfers abzuschließen sind.
• Führt die Risiko- und Folgenabschätzung (bekannt als „Transfer Impact Assessment“, TIA) gemäß den neuen SCCs für die jeweiligen Drittlandtransfers mit Unterstützung der Vertragspartner durch.
• Trefft angemessene Sicherheitsmaßnahmen, wie Pseudonymisierung, Anonymisierung und Verschlüsselung um die Risiken zu senken
Dokumentiert Eure Ergebnisse und legt mit den Vertragspartnern einen Termin für die nächste Evaluierung fest. Die neuen SCCs sind keine „Fire-and-Forget“-Lösung, sondern bedürfen entsprechender Anpassung gemäß den rechtlichen Risiken und Änderungen in den unsicheren Drittstaaten (z. B., wenn Angemessenheitsbeschlüsse betreffend Drittländer aufgehoben werden, – so geschehen bei den USA – oder bestimmte nationale Gesetze in Drittländern erlassen werden etc.).

Tipps

Einen detaillierten Einblick über die Interpretation und die einhergehende Empfehlungen des Europäischen Datenschutzausschusses (EDSA) findet ihr hier.
Und wie immer gilt; Solltet Ihr Unterstützung benötigen, unser Datenschutz-Team hilft gerne weiter.

Fazit

Euer Unternehmen muss bis zum 27.12.2022 die neuen Standardvertragsklauseln abschließen. Diese sind zwar erfreulicherweise an die DSGVO angepasst und allein dadurch schon etwas sicherer. Doch allein diese abzuschließen bietet Euch keinen Freifahrtschein: Ihr müsst zusätzlich eine Risikoabschätzung machen. Es gibt also viel zu tun und Ihr solltet euch so schnell wie möglich darum kümmern.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert