Datenschutz-Akademie » Datenschutz-Wiki » EU Standardvertragsklauseln
Version ab Juni 2021
EU Standardvertragsklauseln
Im Juni 2021 hat die Europäische Kommission die neue Version der EU Standardvertragsklauseln für den internationalen Datentransfer von personenbezogener Daten veröffentlicht.
Wir verschaffen Ihnen einen Überblick über die wichtigsten Änderungen und Vorteile. Denn die Aktualisierung betrifft alle Unternehmen, die mit Dienstleistern außerhalb des Europäischen Wirtschaftsraums, wie bspw. Microsoft, Google oder Facebook arbeiten. Die neuen Version ist inhaltlich an die DSGVO angepasst, enthält wesentliche Änderungen in Bezug auf Auftragsverhältnisse und Auftragsverarbeitungsverträge, bezieht das EuGH-Urteil „Schrems II“ ein und ist modular aufgebaut. Die EU-Standardvertragsklauseln gelten seit dem 07. Juni 2021, dies bedeutet dass bereits abgeschlossenen Standardvertragsklauseln, mit einer Übergangsfrist von 18 Monaten aktualisiert werden müssen.
Im folgenden Beitrag erfahren Sie, was Unternehmen jetzt beachten und erledigen müssen. Außerdem erhalten Sie Antworten auf die häufigsten Fragen zu den neuen EU-Standardvertragsklauseln.
Wichtigste Informationen über die EU Standardvertragsklauseln
- am 07. Juni 2021 wurde die neue Version der EU Standardvertragsklauseln von der Europäischen Kommission veröffentlicht
- Die Standardvertragsklauseln heißen im Englischen Standard Contractual Clauses und werden mit „SCC“ abgekürzt
- Der wesentliche Grund für die Aktualisierung der Standardvertragsklauseln ist die inhaltliche Anpassung an die DSGVO die 2018 in Kraft getreten ist
- Die Standardvertragsklauseln sind in der neuen Version modular aufgebaut und bilden mehr Szenarien für den Datentransfer zwischen Verantwortlichen, Auftragsverarbeitern und Unterauftragsverarbeitern ab
- Die EU Standardvertragsklauseln seit 07. Juni gültig, Vertragsklauseln die nach diesem Datum geschlossen wurden, müssen bereits die neuen Anforderungen enthalten, für alte Verträge gibt es eine Übergangsfrist von 18 Monaten
- Die SCC haben auch nach Inkrafttreten des EU-US Data Privacy Frameworks am 10. Juli 2023 weiterhin bestand.
Inhalt zum Thema EU Standardvertragsklauseln:
Den aktuellen Durchführungsbeschluss der EU Kommission zu den Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates finden Sie auf dem Online-Portal für EU-Recht EUR-Lex.
Auswirkungen des Inkrafttretens des EU-US Data Privacy Frameworks am 10. Juli 2023
Die Standardvertragsklauseln (SCC) sind auch nach Inkrafttreten des EU-US Data Privacy Frameworks ein rechtssicheres Instrument zur Datenübermittlung. Alle von der US-Regierung eingeführten Schutzmaßnahmen gelten für alle Datenübermittlungen im Rahmen der DSGVO an Unternehmen in den USA, unabhängig von den verwendeten Übertragungsmechanismen.
Video zu den EU-Standardvertragsklauseln: was Unternehmen jetzt wissen müssen
Was sind die sogenannten EU-Standardvertragsklauseln der DSGVO?
Im Grundsatz geht es bei den Standardvertragsklausen um die Übermittlung personenbezogener Daten außerhalb des EU-Wirtschaftsraums, insofern es keinen Angemessenheitsbeschluss für dieses Land gibt. Der Angemessenheitsbeschluss, bedeutet das das datenschutzrechtlich Niveau in einem Land außerhalb der EU das gleiche Nivea, wie innerhalb der EU. Dies gilt bspw. für die Schweiz, Australien oder Israel. Liegt das Datenschutz-Niveau unterhalb des Europäischen Standards, kann man eventuell Verträge schließen, die den Datenschutz verpflichtend machen. Ein solcher Vertrag sind die EU-Standardvertragsklauseln, aber auch bspw. die Binding Corporate Rules. Die EU Standardvertragsklauseln sind von der EU-Kommission gestaltet wurden und dürfen nicht negativ unterschritten werden. Wollen Unternehmen personenbezogenen Daten also außerhalber der EU in sogenannte Drittländer weitergeben, benötigen sie Standardvertragsklauseln, um das Drittland zu verpflichten, die Verarbeitung der personenbezogener Daten an das EU-Datenschutzniveau anzugleichen.
Hintergrundinformationen zu den EU-Standardvertragsklauseln DSGVO
Wie lange gibt es schon Standardvertragsklauseln?
In 2001 bzw. 2004 und 2010 wurden die ersten Standardvertragsklauseln verabschiedet, die den Transfer von Daten zwischen Verantwortlichen und den Datentransfer zwischen Verantwortlichen und Auftragsverarbeiter regelten. Anfang Juni 2021 verabschiedete die Europäischen Kommission eine neue Auflage der Standardvertragsklauseln.
Warum wurden die neue EU-Standardvertragsklauseln verabschiedet?
Für die Aktualisierung der Standardvertragsklauseln gab es gleich mehrere Gründe. Die alten Standardvertragsklauseln referenzierten noch auf die alte Bundesdatenschutzrichtlinie, die durch das BDSG und später durch die DSGVO abgelöst wurde. Außerdem wurde mit Inkrafttreten der DSGVO deutlich das es in der Zusammenarbeit mit Dienstleistern Szenarien gibt, die in den alten Standardvertragsklauseln nicht vollständig vorgesehen waren. So war nur die die Zusammenarbeit von Verantwortlichem und Auftragsverarbeiter oder zwischen zwei Verantwortlichen geregelt, allerdings nicht Fälle wie Unterauftragsverhältnisse in einem Drittstaat. Dadurch benötigen viele Unternehmen zusätzlich zu den Standardvertragsklauseln Dokumente, welche die Lücke zum Auftragsverarbeiter geschlossen haben. Seit dem Inkrafttreten der DSGVO in 2018 hatten Standardvertragsklauseln quasi immer einen Annex oder einen Zusatz, der nun mit den neuen Standardvertragsklauseln wegfallen kann.
Zusätzlich dazu hat das EuGH im Juli 2020 das EU-US Privacy Shield für unwirksam erklärt. Das Privacy Shield hat zuvor den Datentransfer zwischen den USA und die EU geregelt und für US-Unternehmen als Selbstzertifizierungsverfahren fungiert. Datenschutzaktivist Max Schrems argumentierte, dass die US-Behörden auch unter dem Privacy Shield Zugriff auf die elektronische Kommunikation von Nicht-US-Bürgern hätten. So stellte der Europäische Gerichtshof fest, dass die US keinen angemessenen Datenschutz gewährleisten, was gegen die Grundrechte der europäischen Bürger verstößt. Dieses Urteil wurde in die neuen EU-Standardvertragsklauseln eingearbeitet.
Welche Vorteile bieten die neuen EU Standardvertragsklauseln?
- Anpassung an die DSGVO : Die alten Standardvertragsklauseln wurden vor Inkrafttreten der DSGVO verabschiedet, eine Aktualisierung an die Inhalte der DSGVO wurde mit den neuen Standardvertragsklauseln vorgenommen.
- Modularer Aufbau und mehr Verarbeitungsszenarien: Die neuen EU Standardvertragsklauseln sind modular gestaltet und auf eine größere Zahl an Verarbeitungsszenarien ausgelegt (inklusive Unterauftragsverhältnissen).
- Ersatz für die Auftragsverarbeitungsverträge: Mit den neuen EU Standardvertragsklauseln sind gleichzeitig die Anforderungen an Auftragsverarbeitungsverträge abgedeckt. Als einziges davon ausgenommen, ist das Abschnitt II Klausel 8 Modul vier der neuen Standardvertragsklauseln.
- EU Standardvertragsklauseln haben Vorrang: Die Standardvertragsklauseln haben Vorrang vor bspw. widersprechende Vertrags- oder AGB-Klauseln, die ist in Abschnitt 1 Klausel 5 geregelt.
- Das Schrems II Urteil des EuGH wurde berücksichtigt: Weiter unten im Artikel sind die Änderungen näher beschrieben, diese Änderungen sind in Abschnitt III Klausel 14 und 15 der Standardvertragsklauseln definiert.
- Modulare Regelung der Haftung: Die neuen Standardvertragsklauseln regeln in Klausel 12 die Haftung der Vertragsparteien in modularen Haftungsklauseln.
Was hat sich an den Standardvertragsklauseln geändert?
Modularer Ansatz
Die bisherigen Standardvertragsklauseln haben nur bestimmte Verarbeitungskonstellationen abgedeckt, nämlich Verantwortlicher zu Verantwortlichen und Verantwortlicher zu Auftragsverarbeiter. Die neue Standardvertragsklauseln sind modular aufgebaut und berücksichtigen die folgenden Situationen:
- Datentransfer zwischen Verantwortlichen
- Datentransfer zwischen Verantwortlicher und Auftragsverarbeiter
- Datentransfer von Auftragsverarbeiter an Unterauftragsverarbeite
- Datentransfer von Auftragsverarbeiter an Verantwortlichen
Erweiterter Kreis der möglichen Datenexporteure
Ebenfalls neu ist, dass Auftragsverarbeiter als Datenexporteure die Standardvertragsklauseln nutzen können. Dadurch ergibt sich die Möglichkeit, dass Auftragsverarbeiter mit Sitz innerhalb der EU, Subdienstleister außerhalb der EU einsetzen können.
Erfüllung der Pflichten aus Art. 28 DSGVO
In Art. 28 DSGVO wird vorgeschrieben, dass die Übermittlung personenbezogener Daten an nicht europäische Auftragsverarbeiter einen separaten Auftragsverarbeitungsvertrag benötigt. Module 2 und 3 der neuen Standardvertragsklauseln erfüllen diese Anforderungen.
Vorherige Analyse möglicher Risiken im Bestimmungsland
Die Schrems-II-Entscheidung und die EDSA-Empfehlung verpflichten Unternehmen, sich mit dem Schutz personenbezogener Daten im Drittland auseinanderzusetzten. Vertragspartner müssen das Datenschutzniveau und die Rechtsvorschriften des jeweiligen Landes überprüfen, ob sie die Standardvertragsklauseln widersprechen. Diese Analyse muss dokumentiert und auf Anfrage der zuständigen Aufsichtsbehörde zur Verfügung gestellt werden.
Pflichten des Datenimporteurs bei einem Zugang von Behörden zu den Daten
Datenimporteur sind dazu verpflichtet, betroffene Personen zu benachrichtigen, wenn Behörden auf den Daten den Datenexporteur zugreifen können
Kopplungsklausel
Es ist auch möglich die Standardvertragsklauseln zwischen mehrere Parteien abzuschließen. Dies bietet mehr Flexibilität für Unternehmen, weil Parteien, die nicht bereits Teil der geschlossenen Standardvertragsklauseln sind, mit der Zustimmung der Vertragsparteien als Datenexporteur oder Datenimporteur zu einem späteren Zeitpunkt beitreten dürfen.
Welche Module enthalten die EU-Standardvertragsklauseln?
- Modul 1: Übermittlung von Verantwortlichen an Verantwortliche
- Modul 2: Übermittlung von Verantwortlichen an Auftragsverarbeiter
- Neu: kein zusätzlicher Auftragsverarbeitungsvertrag mehr erforderlich
- Modul 3: Übermittlung von Auftragsverarbeitern an (Unter-)Auftragsverarbeiter
- Neu: Standardvertragsklauseln können erst in der Fassung vom Juni 2021 zwischen zwei Auftragsverarbeitern verwendet werden.
- Neu: Kein Abschluss eines (Unterauftrags)verarbeitungsvertrages erforderlich.
- Neu: Der Verantwortliche als Vertragspartei muss allerdings in den Standardvertragsklauseln benannt werden
- Modul 4: Übermittlung von Auftragsverarbeitern an Verantwortliche
- Neu: Standardvertragsklauseln können erst in der Fassung vom Juni 2021 auf diese Weise verwendet werden, um Fälle abzudecken, bei denen ein Unternehmen außerhalb der EU einen Auftragsverarbeiter innerhalb der EU beauftragt.
Wie werden die Standardvertragsklauseln praktisch vereinbart?
In der Regel werden Standardvertragsklauseln von Dienstleistern in Form von individuellen Verträgen bereitgestellt. Standardvertragsklauseln werden meistens als individuelle Verträge erfasst, wenn Unternehmen für EU-Kunden nicht im großen Umfang tätig sind. In bestimmten Fällen werden die Standardvertragsklauseln auch als Teil der AGBs angepasst, damit große US-Anbieter die Klauseln automatisch mit der Zusammenarbeit abschließen können.
Für Verantwortliche Unternehmen mit Sitz im europäischen Wirtschaftsraum ist der erste und wichtiges Schritt eine ordentlich geführte Datenschutz-Dokumentation:
- Im ersten Schritt ist eine Darstellung aller Auftragsverarbeiter und eventueller Unteraufragsverarbeiter in einer Liste notwendig ist.
- Diese Liste wird durch den externen / internen Datenschutzbeauftragten oder Datenschutz-Verantwortlichen danach gefiltert, ob eine Datenübertragung in ein Drittland stattfindet.
- Für diese Fälle müssen die Standardvertragsklauseln aktualisiert werden.
Inwieweit wurde das Schrems II-Urteil berücksichtigt?
Die zwei wichtigsten Neuerungen auf Basis des „Schrems II“ Urteils zeigen sich im Zugriff auf Daten von EU-Bürgern von staatlichen Behörden in Drittländern und der Einzelfallprüfung geeigneter Datenschutz-Maßnahmen bei der Zusammenarbeit mit Unternehmen in Drittländern.
- Datenimporteure sind verpflichtet Anfragen von staatlichen Einrichtungen in Drittländern, die den Anforderungen und Sicherheitsmaßnahmen der Standardvertragsklauseln widersprechen, abzulehnen. Sie müssen verhindern, dass diese Einrichtungen, deren Sitz im Drittland ist, auf Daten europäischen Bürgern zugreifen. Der Zugriff auf diese Daten ist nur noch über den Rechtsweg möglich.
- Unternehmen sind verpflichtet ein “Transfer Risk Assessment” (TRA) oder Daten-Transfer-Folgenabschätzung durchzuführen. Mit dieser Einzelfallprüfung wird sichergestellt, ob die Vertragspartner in dem Drittland fähig sind, den Pflichten der Standardvertragsklauseln nachzukommen und die Rechte und Freiheiten der Betroffenen zu gewährleisten.
Ab wann gelten die neuen Standardvertragsklauseln?
Die neuen EU Standardvertragsklauseln sind im Juni von der EU-Kommission verabschiedet wurden und gelten bereits, dies bedeutet das die alten Verträge zum Stand heute nicht mehr gelten. Allerdings beträgt die Übergangsfrist der Anpassung zu den neuen Standardvertragsklauseln 18 Monate.
Die Standardvertragsklauseln bieten eine Grundlage für den Datentransfer und die Zusammenarbeit mit Unternehmen in Drittländern ohne Angemessenheitsbeschluss. Jedoch ist diese Grundlage datenschutzrechtlich nicht hundertprozentig rechtssicher, um den Schutz der Daten der EU-Bürger zu gewährleisten. Denn es gibt mit den neuen EU Standardvertragsklauseln nach wie vor eine Einzellfall-Prüfung die in Verantwortlichkeit des Datenexporteurs liegt. Der Vertragstext und das tatsächliche Datenschutzniveau müssen geprüft werden, um sicherzustellen wie angemessen der Datenschutz ist.
Bei der Anpassung der Standardvertragsklauseln müssen sich Verantwortliche mit u.a. folgenden Fragen auseinander setzen.
- Vertragstext prüfen: Wurden die richtigen Standardvertragsklauseln gewählt und inhaltlich angepasst? Sind die Anhänge ordnungsgemäß ausgefüllt?
- Datenschutzniveau prüfen: Halten die Zusagen das angemessene Datenschutzniveau ein durch z. B. Pseudonymisierung, EU-Serverstandort Verschlüsselungsverfahren? Wird das Risiko des Zugriffs auf die Daten durch US-Behörden verhindert?
Privacy Review – Der Podcast für Datenschützer
#16: EU Standardvertragsklauseln mit Rechtsanwalt Richard Bode
Darum geht es im Podcast:
Im Juni 2021 veröffentlichte die EU-Kommission die neuen EU-Standardvertragsklauseln für die Datenübermittlung in Drittländer. Im Podcast informierten Prof. Dr. Andre Döring und Rechtsanwalt Richard Bode zu folgenden Punkte:
- Rechtssicherer Transfer von Daten außerhalb des EU-Wirtschaftsraums
- Neuerungen und Geltungsbereich der EU-Standardvertragsklauseln
- Inkrafttreten, Übergangsfristen und notwendigen Tätigkeiten
- Datenübermittlungsszenarien und Komplexität von Verarbeitungsketten
- Pflichten des Datenimporteurs: Zugang von Behörden zu den Daten
- Verpflichtung des Datenexporteurs: Einzelfallprüfung des Datenimporteurs
Fazit und Praxisempfehlung
Mit den neuen EU-Standardvertragsklauseln bekommen Unternehmen mehr Flexibilität in der Gestaltung des Datentransfers in Drittländer. Es muss Unternehmen trotzdem bewusst sein, dass die neue Standardvertragsklauseln zeit- und ressourcenintensiver geworden sind. Das heißt, dass die Auseinandersetzung mit dem Datentransfer in Drittländer eine fortlaufende Aufgabe ist. Unternehmen müssen die Umstände des Datenschutzes in den jeweiligen Drittländern berücksichtigen und kontinuierlich die Datenschutzverträge prüfen und ergänzen. Die neuen Standardvertragsklauseln sind somit eine gute gelungene Aktualisierung, bieten aber auch keine 100 prozentige Rechtssicherheit, weil die Einzelfallprüfung der Verarbeitungen in Drittländern von nach wie vor Unternehmen bewertet werden muss.
- Internes Kontrollsystem - 10. September 2024
- TISAX-Anforderungen: Schritt für Schritt Zertifizierung vorbereiten - 8. Januar 2024
- Audit-Management: Audits effizienter umsetzen - 26. Oktober 2023