Informationen zur Verwendung der neuen EU-Standardvertragsklauseln

 

die Europäische Kommission hat als Reaktion auf das Schrems II Urteil des Europäischen Gerichtshofs (EuGH) eine neue Version von Standardvertragsklauseln („Standard Contractual Clauses“, „SCC“) veröffentlicht, die hier zur Verfügung stehen: https://ec.europa.eu/germany/news/20210604-datentransfers-eu_de

 

Kurzgefasst:

Die bisher geltenden Klauseln müssen angepasst oder gegebenenfalls vollständig ersetzt werden. Es gilt eine Umsetzungsfrist bis zum 27.12.2022. Bereits ab dem 27. September diesen Jahres dürfen bei Abschluss neuer Verträge jedoch ausschließlich die neuen SCC verwendet werden.

 

Überblick:

  1. Standardvertragsklauseln: Was ist das? Wofür benötigt man sie?
  2. Zum Hintergrund
  3. Was sind die wesentlichen Veränderungen?
  4. Welche Fristen sind einzuhalten?
  5. Standardvertragsklauseln: Was ist das? Wofür benötigt man sie?

Seit Inkrafttreten der Datenschutzgrundverordnung haben wir in der EU ein weitgehend einheitliches Schutzniveau für personenbezogene Daten. Da wir in unserer global vernetzten Welt auch sicher Daten in andere Staaten, d.h. außerhalb der EU und des Europäischen Wirtschaftsraumes, übermitteln wollen, müssen wir Regelungen finden, die einen sicheren Transfer und eine sichere Verarbeitung im Drittland garantieren. Standardvertragsklauseln (im Folgenden auch „SCC“ = Standard Contractual Clauses) sind Musterverträge der EU, die herangezogen werden, um solch einen rechtmäßigen Transfer von personenbezogenen Daten in Staaten außerhalb der EU/ des EWR, wie beispielsweise die USA, zu ermöglichen. Es ist die mit am häufigsten verwendete Rechtsgrundlage für eine Datenübermittlung in einen Drittstaat. Die Vertragsparteien verpflichten sich dadurch zur Einhaltung des Datenschutzniveaus der EU.

  1. Zum Hintergrund

Die neuen SCC wurden aufgrund einer Entscheidung des EuGH aus dem Jahr 2020 erforderlich, dem sogenannten „Schrems II“-Urteil. Der streitige Datentransfer betraf eine Datenübermittlung in die USA, für die als Rechtsgrundlage das damals geltende so genannte „Privacy Shield“ der EU-Kommission genutzt wurde. Das Gericht entschied jedoch, dass die USA keinen vergleichbaren Datenschutz gewährleisten können und das Privacy Shield somit ungültig ist.

Was hat das nun mit den Standardvertragsklausel zu tun?

Der EuGH beanstandete die Standardvertragsklauseln als Instrument für einen rechtmäßigen Datentransfer in seinem Urteil im Grundsatz nicht. Er stellte aber fest, dass die Klauseln ein der EU vergleichbares Datenschutzniveau sichern müssen. Dabei muss gewährleistet sein, dass die darin festgelegten Schutzmechanismen zum Datenschutz auch eingehalten werden. Mangels weiterer Konkretisierung seitens des Gerichts musste die Kommission handeln. Im Ergebnis führte dies zu den neuen Standardvertragsklauseln, die im Übrigen nicht nur für die USA sondern für alle Transfers personenbezogener Daten in Drittstaaten außerhalb des EWR genutzt werden können.

 

  1. Was sind die wesentlichen Veränderungen?
  • Umsetzung der Schrems II-Vorgaben: Es werden hohe Sicherheitsmaßnahmen gefordert, um eine sichere Verarbeitung zu gewährleisten (Klauseln 14 und 15): Die Exporteure von personenbezogenen Daten (z.B. Unternehmen, die Verträge mit US-Dienstleistern schließen) werden verpflichtet, ein so genanntes „Transfer Impact Assessment“ durchzuführen, eine „Daten-Transfer-Folgenabschätzung“. Das bedeutet, dass Unternehmen oder Organisationen als Datenexporteur die Pflicht haben, sich davon zu überzeugen, dass der Vertragspartner aus dem Drittland in der Lage ist, seinen Pflichten aus den Klauseln nachzukommen. Sie sind verpflichtet, sich mit den Umständen der Übermittlung und der Rechtslage im Empfängerland auseinanderzusetzen und diese zu analysieren. Zusätzliche Sicherheitsmaßnahmen technischer oder vertraglicher Art könnten hier erforderlich werden. Dies entspricht weitgehend den EDSA-Empfehlungen.
  • Durch den modularen Aufbau der neuen SCC ist es möglich, eine Vielzahl von Verträgen, auch auf der Ebene von Unterauftragsverhältnissen zu rechtfertigen. Bisher konnte zum Beispiel ein Datentransfer zwischen einem Auftragsverarbeiter und einem Unterauftragsverarbeiter nicht auf die Standardvertragsklauseln gestützt werden.
  • Wegfall von Auftragsverarbeitungsverträgen (AVV): Die neuen SCC entsprechen grundsätzlich den Anforderungen an einen AVV im Sinne des Art. 28 DSGVO, sodass ein separater Abschluss eines AVV entbehrlich ist. Eine Ausnahme besteht im Modul 4.
  • Haftungsregelungen und Vorrang der SCC: Die Klauseln etablieren den Vorrang der SCC vor widersprechenden Vertrags- und/oder AGB-Klauseln und geben modular auswählbare Haftungsregeln vor, die nicht durch AGB-Regelungen beschränkt werden dürfen.

Zusammenfassend lässt sich feststellen, dass die neuen Standardertragsklauseln nicht nur an die Rechtsprechung des EuGHs und DSGVO-Anforderungen angepasst wurden, sondern mit der modularen Aufbauweise erweiterte und flexiblere Nutzungsmöglichkeiten bieten.

 

  1. Welche Fristen sind einzuhalten?

Folgende Timeline veranschaulicht, welche Fristen für die Umsetzung einzuhalten sind. Insbesondere ist auf die Unterscheidung zwischen der Anpassung von alten Verträgen und dem Abschluss neuer Verträge zu achten.

DatumFolge
27. Juni 2021Inkrafttreten: Die SCC können ab diesem Zeitpunkt verwendet werden, müssen aber noch nicht verwendet werden
27. September 2021Bei neuen Vertragsabschlüssen dürfen ausschließlich die neuen SCC abgeschlossen werden
27. Dezember 2022Alle SCC müssen dem Inhalt nach den neuenRegelungen entsprechen. D.h. bis zu diesem Datum müssen alle alten SCCs auf die neuen SCCs angepasst werden.

 

Wir empfehlen einen zeitnahen Beginn der Umsetzung der Änderungen. Zudem ist zu beachten, dass sämtliche neu vorgelegte Verträge auf eine korrekte Übereinstimmung mit den neuen Musterklauseln, insbesondere bezüglich richtiger Modulwahl, zu überprüfen. Gerne unterstützen wir Sie bei einer individuellen Umsetzung.