Wonach suchen Sie?

Skip to main content

Neue Standardvertragsklauseln

zur Legitimierung des Transfers personenbezogener Daten in Drittstaaten

28.10.2021 | Seit dem 27. Juni 2021 gelten neue Standardvertragsklauseln, um den Transfer personenbezogener Daten in Drittstaaten wie die USA zu legitimieren.

Über die notwendigen Maßnahmen zur Legitimierung des Transfers personenbezogener Daten in Drittstaaten außerhalb der EU bzw. des Europäischen Wirtschaftsraums (EWR) haben wir bereits im November 2020 in dem Blogbeitrag „Weitreichendes EuGH-Urteil: Was tun nach dem Wegfall des EU-US Privacy Shields?“ berichtet. Grundlage des damaligen Beitrags waren die vom Europäischen Gerichtshof (EuGH) in ihrer Gültigkeit bestätigten Standardvertragsklauseln.

In diesem Kurzbeitrag möchten wir Sie auf die neuen – seit dem 27. Juni 2021 gültigen – Standardvertragsklauseln der EU aufmerksam machen. Im November folgt ein weiterer ausführlicherer Beitrag hierzu.

Ab wann müssen die neuen Standardvertragsklauseln angewendet werden? Und was geschieht mit den bis dato geltenden Klauseln?

Mit dem Durchführungsbeschluss 2021/914 der europäischen Kommission vom 04. Juni 2021 traten die neuen Standardvertragsklauseln (SCC) zum 27. Juni 2021 in Kraft. Somit können sie seit diesem Zeitpunkt bereits verwendet werden. Die bisherigen SCC aus dem Jahr 2010 dürfen ab dem 27. September 2021 nicht mehr genutzt werden.
Bestehende Alt-Standardvertragsklauseln bleiben bis zum 27. Dezember 2022 gültig, sofern die Verarbeitungsvorgänge, welche Gegenstand des Vertrags sind, unverändert bleiben. Des Weiteren ist Voraussetzung, dass die Übermittlung personenbezogener Daten geeigneten Garantien unterliegt. Spätestens nach dem 27. Dezember 2022 müssen die Standardvertragsklauseln dann jedoch auf die neuen Klauseln umgestellt werden.

Was ändert sich mit den neuen SCC? Was sind die Vorteile?
  • Die SCC wurden inhaltlich an die Datenschutz-Grundverordnung (DSGVO) angepasst. Zusätzlich wurden Forderungen zur Angabe von erweiterten Garantien in die Klauseln mit aufgenommen. Die neuen Standardvertragsklauseln sind demzufolge aktuell; an die Verordnung und Rechtsprechung des EuGHs angepasst.
  • Es ist nun möglich, dass Dritte den Verträgen beitreten, d. h. mehrere Datenexporteure und Datenimporteure können in dem Vertrag eingeschlossen werden.
  • Die neuen Standardvertragsklauseln sind modular aufgebaut. Es werden unterdessen – im Vergleich zu den SCC aus dem Jahr 2010 – zwei weitere Konstellationen berücksichtigt, welche im Folgenden mit dem Vermerk „neu“ gekennzeichnet sind:
     
    ModulDatenexporteur
    (mit Sitz in der EU/im EWR; oder Vertretender)
    Datenimporteur (Drittland)
    IVerantwortlicherVerantwortlicher
    IIVerantwortlicherVerarbeiter
    III (neu)Verarbeiter(Unter-) Verarbeiter
    IV (neu)*VerarbeiterVerantwortlicher

     
  • Die neuen SCC entsprechen nunmehr zugleich den Anforderungen an einen Auftragsverarbeitungsvertrag (Art. 28 Abs. 3 und 4 DSGVO), d. h. in den Fällen des Moduls II und III kann auf einen gesonderten Vertrag zur Auftragsverarbeitung verzichtet werden.
  • Die SCC haben indes Vorrang und können widersprüchliche Vertrags- oder AGB-Klauseln verdrängen.
  • Die Haftungsregelung enthält jetzt modulare Haftungsklauseln. Die Haftung kann nicht durch externe Haftungsausschlüsse in AGBs eingeschränkt werden.

* In diesem Fall beauftragt ein Unternehmen aus einem Drittland Auftragsverarbeiter in der EU beispielsweise Daten von Bürgern aus dem Drittland zu verarbeiten. Dieser Fall wird selten vorkommen, zumal die Frage im Raum steht, ob dies ein Drittlandtransfer im Sinne des Art. 44 DSGVO ist.

Sind US-Datentransfers nun rechtssicher?

Hierzu gibt es eine klare Antwort: Nein. US-Datentransfers sind lediglich rechtssicherer zu gestalten als mit den bisherigen Klauseln. Die Legitimität kann nicht nur – wie im bereits erwähnten Blogbeitrag vom November 2020 dargestellt – durch das bloße Schließen dieser Standardvertragsklauseln gewährleistet werden, sondern bedarf noch einiger weiterer Maßnahmen und Prüfungen. Letzteres wird aber mit den neuen SCC erleichtert, da sie Anhänge mit den zu nennenden erweiterten Garantien der Datenimporteure enthalten. Es muss in jedem Fall geprüft werden, ob das zugesagte adäquate Datenschutzniveau auch eingehalten wird. Die erweiterten Garantien sollen verhindern oder zumindest deutlich erschweren, dass Behörden in Drittlandstaaten auf die personenbezogenen Daten des Unternehmens zugreifen können. Ebenso sollen sie gewährleisten, dass hier nach Möglichkeit vorab oder zumindest in der Folge darüber informiert wird. Zur Gewährleistung eines angemessenen Datenschutzniveaus tragen beispielsweise Verschlüsselungsverfahren, Pseudonymisierung, der Serverstandort in der EU oder auch ein geringes Risiko für die Daten der Betroffenen bei (siehe Abschnitt II Klausel 8.5).

Gerne unterstützen Sie unsere Experten dabei, das Datenschutzniveau bei Ihrem Datenimporteur zu prüfen sowie Standardvertragsklauseln abzuschließen.

Ihr persönlicher Ansprechpartner: