Data Protection Academy » Data Protection Wiki » EU Standard Contractual Clauses GDPR

The new EU standard contractual clauses GDPR

Version as of June 2021

EU Standard Contractual Clauses GDPR

Im Juni 2021 hat die Europäische Kommission die neue Version der EU Standardvertragsklauseln für den internationalen Datentransfer von personenbezogener Daten veröffentlicht.

Wir verschaffen Ihnen einen Überblick über die wichtigsten Änderungen und Vorteile. Denn die Aktualisierung betrifft alle Unternehmen, die mit Dienstleistern außerhalb des Europäischen Wirtschaftsraums, wie bspw. Microsoft, Google oder Facebook arbeiten. Die neuen Version ist inhaltlich an die DSGVO angepasst, enthält wesentliche Änderungen in Bezug auf Auftragsverhältnisse und Auftragsverarbeitungsverträge, bezieht das EuGH-Urteil „Schrems II“ ein und ist modular aufgebaut. Die EU-Standardvertragsklauseln gelten seit dem 07. Juni 2021, dies bedeutet dass bereits abgeschlossenen Standardvertragsklauseln, mit einer Übergangsfrist von 18 Monaten aktualisiert werden müssen.

Im folgenden Beitrag erfahren Sie, was Unternehmen jetzt beachten und erledigen müssen. Außerdem erhalten Sie Antworten auf die häufigsten Fragen zu den neuen EU-Standardvertragsklauseln.

Wichtigste Informationen über die EU Standardvertragsklauseln

  • at 07 June 2021 wurde die neue Version der EU Standardvertragsklauseln von der Europäischen Kommission veröffentlicht
  • Die Standardvertragsklauseln heißen im Englischen Standard Contractual Clauses und werden mit „SCC“ abgekürzt
  • Der wesentliche Grund für die Aktualisierung der Standardvertragsklauseln ist die Content adjustment to the GDPR which came into force in 2018
  • Die Standardvertragsklauseln sind in der neuen Version modular aufgebaut und bilden mehr Szenarien für den Datentransfer zwischen Verantwortlichen, Auftragsverarbeitern und Unterauftragsverarbeitern ab
  • Die EU Standardvertragsklauseln seit 07. Juni gültig, Vertragsklauseln die nach diesem Datum geschlossen wurden, müssen bereits die neuen Anforderungen enthalten, für alte Verträge gibt es eine Übergangsfrist von 18 Monaten
  • Even after the entry into force of the EU-US Data Privacy Frameworks at 10 July 2023 continued to exist.

Content on the subject of EU Standard Contractual Clauses:

Den aktuellen Durchführungsbeschluss der EU Kommission zu den Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates finden Sie auf dem Online-Portal für EU-Recht EUR-Lex.

Impact of the EU-US Data Privacy Framework coming into force on 10 July 2023

Die Standardvertragsklauseln (SCC) sind auch nach Inkrafttreten des EU-US Data Privacy Frameworks ein rechtssicheres Instrument zur Datenübermittlung. Alle von der US-Regierung eingeführten Schutzmaßnahmen gelten für alle Datenübermittlungen im Rahmen der DSGVO an Unternehmen in den USA, unabhängig von den verwendeten Übertragungsmechanismen.

Video zu den EU-Standardvertragsklauseln: was Unternehmen jetzt wissen müssen

What are the so-called EU standard contractual clauses of the GDPR?

Im Grundsatz geht es bei den Standardvertragsklausen um die Übermittlung personenbezogener Daten außerhalb des EU-Wirtschaftsraums, insofern es keinen Angemessenheitsbeschluss für dieses Land gibt. Der Angemessenheitsbeschluss, bedeutet das das datenschutzrechtlich Niveau in einem Land außerhalb der EU das gleiche Nivea, wie innerhalb der EU. Dies gilt bspw. für die Schweiz, Australien oder Israel. Liegt das Datenschutz-Niveau unterhalb des Europäischen Standards, kann man eventuell Verträge schließen, die den Datenschutz verpflichtend machen. Ein solcher Vertrag sind die EU-Standardvertragsklauseln, aber auch bspw. die Binding Corporate Rules. Die EU Standardvertragsklauseln sind von der EU-Kommission gestaltet wurden und dürfen nicht negativ unterschritten werden. Wollen Unternehmen personenbezogenen Daten also außerhalber der EU in sogenannte Drittländer weitergeben, benötigen sie Standardvertragsklauseln, um das Drittland zu verpflichten, die Verarbeitung der personenbezogener Daten an das EU-Datenschutzniveau anzugleichen.

Background information on the EU standard contractual clauses GDPR

How long have standard contractual clauses been in place?

In 2001 bzw. 2004 und 2010 wurden die ersten Standardvertragsklauseln verabschiedet, die den Transfer von Daten zwischen Verantwortlichen und den Datentransfer zwischen Verantwortlichen und Auftragsverarbeiter regelten. Anfang Juni 2021 verabschiedete die Europäischen Kommission eine neue Auflage der Standardvertragsklauseln.

Why were the new EU standard contract clauses adopted?

Für die Aktualisierung der Standardvertragsklauseln gab es gleich mehrere Gründe. Die alten Standardvertragsklauseln referenzierten noch auf die alte Bundesdatenschutzrichtlinie, die durch das BDSG und später durch die DSGVO abgelöst wurde. Außerdem wurde mit Inkrafttreten der DSGVO deutlich das es in der Zusammenarbeit mit Dienstleistern Szenarien gibt, die in den alten Standardvertragsklauseln nicht vollständig vorgesehen waren. So war nur die die Zusammenarbeit von Verantwortlichem und Auftragsverarbeiter oder zwischen zwei Verantwortlichen geregelt, allerdings nicht Fälle wie Unterauftragsverhältnisse in einem Drittstaat. Dadurch benötigen viele Unternehmen zusätzlich zu den Standardvertragsklauseln Dokumente, welche die Lücke zum Auftragsverarbeiter geschlossen haben. Seit dem Inkrafttreten der DSGVO in 2018 hatten Standardvertragsklauseln quasi immer einen Annex oder einen Zusatz, der nun mit den neuen Standardvertragsklauseln wegfallen kann.

Zusätzlich dazu hat das EuGH im Juli 2020 das EU-US Privacy Shield für unwirksam erklärt. Das Privacy Shield hat zuvor den Datentransfer zwischen den USA und die EU geregelt und für US-Unternehmen als Selbstzertifizierungsverfahren fungiert. Datenschutzaktivist Max Schrems argumentierte, dass die US-Behörden auch unter dem Privacy Shield Zugriff auf die elektronische Kommunikation von Nicht-US-Bürgern hätten. So stellte der Europäische Gerichtshof fest, dass die US keinen angemessenen Datenschutz gewährleisten, was gegen die Grundrechte der europäischen Bürger verstößt. Dieses Urteil wurde in die neuen EU-Standardvertragsklauseln eingearbeitet.

What are the advantages of the new EU standard contractual clauses?

  • Adaptation to the GDPR : The old standard contractual clauses were adopted before the entry into force of the GDPR, an update to the contents of the GDPR was made with the new standard contractual clauses.
  • Modular design and more processing scenarios: Die neuen EU Standardvertragsklauseln sind modular gestaltet und auf eine größere Zahl  an Verarbeitungsszenarien ausgelegt (inklusive Unterauftragsverhältnissen).
  • Ersatz für die Auftragsverarbeitungsverträge: Mit den neuen EU Standardvertragsklauseln sind gleichzeitig die Anforderungen an Auftragsverarbeitungsverträge abgedeckt. Als einziges davon ausgenommen, ist das Section II Clause 8 Module four the new standard contractual clauses.
  • EU standard contractual clauses take precedence: The standard contractual clauses take precedence over, for example, contradictory contractual clauses or general terms and conditions clauses, which are contained in Section 1 Clause 5 is regulated.
  • Das Schrems II Urteil des EuGH wurde berücksichtigt: Further down in the article sind die Änderungen näher beschrieben, diese Änderungen sind in Section III Clauses 14 and 15 defined in the standard contractual clauses.
  • Modular liability regulation: The new standard contractual clauses regulate in Clause 12 the liability of the contracting parties in modular liability clauses.

Was hat sich an den Standardvertragsklauseln geändert?

Modular approach

Die bisherigen Standardvertragsklauseln haben nur bestimmte Verarbeitungskonstellationen abgedeckt, nämlich Verantwortlicher zu Verantwortlichen und Verantwortlicher zu Auftragsverarbeiter. Die neue Standardvertragsklauseln sind modular aufgebaut und berücksichtigen die folgenden Situationen:

  • Data transfer between data controllers
  • Data transfer between controller and processor
  • Data transfer from processors to sub-processors
  • Data transfer from processor to controller

Erweiterter Kreis der möglichen Datenexporteure

Ebenfalls neu ist, dass Auftragsverarbeiter als Datenexporteure die Standardvertragsklauseln nutzen können. Dadurch ergibt sich die Möglichkeit, dass Auftragsverarbeiter mit Sitz innerhalb der EU, Subdienstleister außerhalb der EU einsetzen können.

Erfüllung der Pflichten aus Art. 28 DSGVO

In Art. 28 GDPR wird vorgeschrieben, dass die Übermittlung personenbezogener Daten an nicht europäische Auftragsverarbeiter einen separaten Auftragsverarbeitungsvertrag benötigt. Modules 2 and 3 der neuen Standardvertragsklauseln erfüllen diese Anforderungen.

Vorherige Analyse möglicher Risiken im Bestimmungsland

Die Schrems-II-Entscheidung und die EDSA-Empfehlung verpflichten Unternehmen, sich mit dem Schutz personenbezogener Daten im Drittland auseinanderzusetzten. Vertragspartner müssen das Datenschutzniveau und die Rechtsvorschriften des jeweiligen Landes überprüfen, ob sie die Standardvertragsklauseln widersprechen. Diese Analyse muss dokumentiert und auf Anfrage der zuständigen Aufsichtsbehörde zur Verfügung gestellt werden.

Pflichten des Datenimporteurs bei einem Zugang von Behörden zu den Daten

Datenimporteur sind dazu verpflichtet, betroffene Personen zu benachrichtigen, wenn Behörden auf den Daten den Datenexporteur zugreifen können

Connection clause

Es ist auch möglich die Standardvertragsklauseln zwischen mehrere Parteien abzuschließen. Dies bietet mehr Flexibilität für Unternehmen, weil Parteien, die nicht bereits Teil der geschlossenen Standardvertragsklauseln sind, mit der Zustimmung der Vertragsparteien als Datenexporteur oder Datenimporteur zu einem späteren Zeitpunkt beitreten dürfen.

Which modules are included in the EU standard contractual clauses?

  • Modul 1: Übermittlung von Verantwortlichen an Verantwortliche
  • Modul 2: Übermittlung von Verantwortlichen an Auftragsverarbeiter
    • Neu: kein zusätzlicher Auftragsverarbeitungsvertrag mehr erforderlich
  • Modul 3: Übermittlung von Auftragsverarbeitern an (Unter-)Auftragsverarbeiter
    • Neu: Standardvertragsklauseln können erst in der Fassung vom Juni 2021 zwischen zwei Auftragsverarbeitern verwendet werden.
    • New: No need to conclude a (subcontracting) processing contract.
    • New: The responsible party as a contracting party must, however, be named in the standard contractual clauses.
  • Modul 4: Übermittlung von Auftragsverarbeitern an Verantwortliche
    • Neu: Standardvertragsklauseln können erst in der Fassung vom Juni 2021 auf diese Weise verwendet werden, um Fälle abzudecken, bei denen ein Unternehmen außerhalb der EU einen Auftragsverarbeiter innerhalb der EU beauftragt.

How are the standard contractual clauses agreed in practice?

In der Regel werden Standardvertragsklauseln von Dienstleistern in Form von individuellen Verträgen bereitgestellt. Standardvertragsklauseln werden meistens als individuelle Verträge erfasst, wenn Unternehmen für EU-Kunden nicht im großen Umfang tätig sind. In bestimmten Fällen werden die Standardvertragsklauseln auch als Teil der AGBs angepasst, damit große US-Anbieter die Klauseln automatisch mit der Zusammenarbeit abschließen können.

Für Verantwortliche Unternehmen mit Sitz im europäischen Wirtschaftsraum ist der erste und wichtiges Schritt eine ordentlich geführte Datenschutz-Dokumentation:

  1. In the first step, a presentation of all processors and possible sub-processors in a list is necessary.
  2. Diese Liste wird durch den externen / internen Datenschutzbeauftragten oder Datenschutz-Verantwortlichen danach gefiltert, ob eine Datenübertragung in ein Drittland stattfindet.
  3. Für diese Fälle müssen die Standardvertragsklauseln aktualisiert werden.

Inwieweit wurde das Schrems II-Urteil berücksichtigt?

Die zwei wichtigsten Neuerungen auf Basis des „Schrems II“ Urteils zeigen sich im Zugriff auf Daten von EU-Bürgern von staatlichen Behörden in Drittländern und der Einzelfallprüfung geeigneter Datenschutz-Maßnahmen bei der Zusammenarbeit mit Unternehmen in Drittländern.

  • Data importers are obliged Anfragen von staatlichen Einrichtungen in Drittländern, die den Anforderungen und Sicherheitsmaßnahmen der Standardvertragsklauseln widersprechen, abzulehnen. Sie müssen verhindern, dass diese Einrichtungen, deren Sitz im Drittland ist, auf Daten europäischen Bürgern zugreifen. Der Zugriff auf diese Daten ist nur noch über den Rechtsweg möglich.
  • Companies are obliged to “Transfer Risk Assessment” (TRA) oder Daten-Transfer-Folgenabschätzung durchzuführen. Mit dieser Einzelfallprüfung wird sichergestellt, ob die Vertragspartner in dem Drittland fähig sind, den Pflichten der Standardvertragsklauseln nachzukommen und die Rechte und Freiheiten der Betroffenen zu gewährleisten.

When will the new standard contractual clauses apply?

Die neuen EU Standardvertragsklauseln sind im Juni von der EU-Kommission verabschiedet wurden und gelten bereits, dies bedeutet das die alten Verträge zum Stand heute nicht mehr gelten. Allerdings beträgt die Übergangsfrist the adaptation to the new standard contractual clauses 18 months.

Die Standardvertragsklauseln bieten eine Grundlage für den Datentransfer und die Zusammenarbeit mit Unternehmen in Drittländern ohne Angemessenheitsbeschluss. Jedoch ist diese Grundlage datenschutzrechtlich nicht hundertprozentig rechtssicher, um den Schutz der Daten der EU-Bürger zu gewährleisten. Denn es gibt mit den neuen EU Standardvertragsklauseln nach wie vor eine Einzellfall-Prüfung die in Verantwortlichkeit des Datenexporteurs liegt. Der Vertragstext und das tatsächliche Datenschutzniveau müssen geprüft werden, um sicherzustellen wie angemessen der Datenschutz ist.

Bei der Anpassung der Standardvertragsklauseln müssen sich Verantwortliche mit u.a. folgenden Fragen auseinander setzen.

  • Vertragstext prüfen: Wurden die richtigen Standardvertragsklauseln gewählt und inhaltlich angepasst? Sind die Anhänge ordnungsgemäß ausgefüllt?
  • Datenschutzniveau prüfen: Halten die Zusagen das angemessene Datenschutzniveau ein durch z. B. Pseudonymisierung, EU-Serverstandort Verschlüsselungsverfahren? Wird das Risiko des Zugriffs auf die Daten durch US-Behörden verhindert?

Privacy Review – Der Podcast für Datenschützer

#16: EU Standard Contractual Clauses with lawyer Richard Bode (only available in german)

That's what the podcast is about:

Im Juni 2021 veröffentlichte die EU-Kommission die neuen EU-Standardvertragsklauseln für die Datenübermittlung in Drittländer. Im Podcast informierten Prof. Dr. Andre Döring und Rechtsanwalt Richard Bode zu folgenden Punkte:

  • Rechtssicherer Transfer von Daten außerhalb des EU-Wirtschaftsraums
  • Innovations and scope of the EU standard contractual clauses
  • Inkrafttreten, Übergangsfristen und notwendigen Tätigkeiten
  • Datenübermittlungsszenarien und Komplexität von Verarbeitungsketten
  • Pflichten des Datenimporteurs: Zugang von Behörden zu den Daten
  • Verpflichtung des Datenexporteurs: Einzelfallprüfung des Datenimporteurs

Conclusion and practical recommendation

Mit den neuen EU-Standardvertragsklauseln bekommen Unternehmen mehr Flexibilität in der Gestaltung des Datentransfers in Drittländer. Es muss Unternehmen trotzdem bewusst sein, dass die neue Standardvertragsklauseln zeit- und ressourcenintensiver geworden sind. Das heißt, dass die Auseinandersetzung mit dem Datentransfer in Drittländer eine fortlaufende Aufgabe ist. Unternehmen müssen die Umstände des Datenschutzes in den jeweiligen Drittländern berücksichtigen und kontinuierlich die Datenschutzverträge prüfen und ergänzen. Die neuen Standardvertragsklauseln sind somit eine gute gelungene Aktualisierung, bieten aber auch keine 100 prozentige Rechtssicherheit, weil die Einzelfallprüfung der Verarbeitungen in Drittländern von nach wie vor Unternehmen bewertet werden muss.

Caroline Schwabe
Latest posts by Caroline Schwabe (see all)

Das könnte Sie auch interessieren:

NIS2: EU-Richtlinie für mehr Cybersicherheit

Was bedeutet die NIS-2-Richtlinie für Organisationen in Deutschland? Umsetzungspflichten, Sanktionen, Tipps zur Umsetzung.
Read more

DSMS according to GDPR: Structure & practical implementation

Erfahren Sie alles über Vorlagen, Aufbau und Umsetzung eines DSGVO-konformen Datenschutz-Management-System (DSMS).
Read more
künstliche intelligenz

AI and data protection in practice

Erfahren Sie, wie Künstliche Intelligenz DSGVO-konform eingesetzt werden kann. Ein praxisnaher Leitfaden.
Read more