Neue EU-Standardvertragsklauseln für mehr Datenschutz

Wie Sie mit den neuen Standardvertragsklauseln sicherer Daten in Drittländer senden.



​​

Was ist passiert?

Liegt kein angemessenes Datenschutzniveau vor, ist eine Datenverarbeitung außerhalb der EU/EWR verboten. Bislang war diese Angemessenheit für die USA mit dem Privacy Shield, einem Abkommen zwischen den Vereinigten Staaten und der EU, gedeckt. Mit der Schrems II Entscheidung des Europäischen Gerichtshofs (EuGH) vom Juli letzten Jahres wurde das EU-US Privacy Shield für nichtig erklärt. Die datenschutzkonforme Datenübermittlung in die USA war für viele Unternehmen eine Herausforderung. Die bisherigen SCC, die in der “Überbrückungszeit” als Alternative genutzt werden sollten, existieren schon seit 2001 und sind daher nicht mehr auf dem neuesten datenschutzrechtlichen Stand gewesen. Nun hat die EU-Kommission neue Standardvertragsklauseln verabschiedet, die nicht nur mit den Regelungen der DSGVO, sondern auch mit den Urteilsgründen aus der Schrems II Entscheidung übereinstimmen.

Was hat sich geändert?

  • Von nun an existieren unterschiedliche Klausel-Sets für verschiedene Konstellationen

  • Das Schrems II Urteil ist bei der Erstellung der neuen SCC berücksichtigt worden

  • Die neuen SCC haben Vorrang vor anderen Verträgen, widersprechende Vertrags- oder AGB-Klauseln werden verdrängt

  • Nun werden zusätzliche dritte Personen in die Schutzwirkung bestimmter Standardvertragsklauseln einbezogen (z.B. Nutzer oder Kunden)

  • Andere Einrichtungen können auf Grundlage der SCC als Datenempfänger oder -übermittler dem abgeschlossenen Vertrag beitreten

  • In den neuen SCC sind Haftungsklauseln festgelegt, welche nicht durch externe Haftungsausschlüsse in den AGB eingeschränkt werden können

Das sind die verschiedenen Vertragskonstellationen

Kern der Neuerung der Standardvertragsklauseln ist der „modulare Aufbau“. Die SCC bleiben immer die gleichen, während die Module entsprechend dem Vertragsverhältnis der Parteien zueinander ausgewählt werden. Die neuen SCC gibt es für die vier folgenden verschiedenen Konstellationen (Module):

  • Modul 1: Übermittlung zwischen mehreren datenschutzrechtlichen Verantwortlichen (Verantwortlicher à Verantwortlicher)

  • Modul 2: Übermittlung von einem datenschutzrechtlichen Verantwortlichen zu einem Auftragsverarbeiter (Verantwortlicher à Auftragsverarbeiter)

  • Modul 3: Übermittlung zwischen mehreren Auftragsverarbeitern (Auftragsverarbeiter à Subunternehmer)

  • Modul 4: Übermittlung von einem Auftragsverarbeiter zum datenschutzrechtlichen Verantwortlichen (Auftragsverarbeiter à Verantwortlicher)


Wie werden die neuen SCC abgeschlossen?

Die Standardvertragsklauseln müssen zusammen mit einem Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden und können als Anhang zum AVV genommen werden. Hierbei ist wichtig, dass das richtige Modul ausgewählt und angehängt wird. Es ist empfehlenswert, neben den SCC zusätzliche Garantien einzuholen, wenn es sich beim Datenempfänger um ein Unternehmen in einem Zielland mit unzureichendem Datenschutzniveau handelt.

Was passiert mit den „alten SCC“ und bis wann habe ich Zeit für die Umstellung?

Die bisherigen SCC werden ungültig. Dies bedeutet handeln, und zwar möglichst zügig. Bei der Umstellung sollten Sie zwei Fristen beachten:

  • Sie dürfen die „alten“ SCC noch bis September 2021 abschließen.

  • Abgeschlossene SCC müssen bis spätestens März 2023 durch die neuen SCC ersetzt werden. Die „alten“ SCC verlieren ihre Gültigkeit, daher garantieren sie keine geeignete und sichere Datenübermittlung mehr

Folgen für die Unternehmen

Die neuen SCC können als Grundlage für Datenübermittlungen in unsichere Drittländer wie die USA genutzt werden. Hauptunterschied sind die erweiterten Pflichten beider Parteien. Betroffene, deren Daten in ein Drittland übermittelt werden, können sich nun direkt an beide Parteien wenden. Außerdem haften beide Parteien für alle materiellen und immateriellen Schäden als Gesamtschuldner.

Was Sie tun können Werden die neuen SCC und Voraussetzungen der Art. 44 ff. DSGVO zum sicheren Datentransfer in Länder außerhalb der EU nicht erfüllt, drohen Bußgelder von bis zu 20 Mio. Euro bzw. bis zu 4% des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs. Aus diesen Gründen empfehlen wir Ihnen Folgendes:

  • Binden Sie Ihren Datenschutzbeauftragten frühzeitig in die Umstellung ein 

  • Erstellen Sie eine Übersicht aller für Sie datenverarbeitenden Unternehmen, mit denen Sie zusammenarbeiten. Sie können dazu unsere Checkliste für Datentransfers in Drittstaaten nutzen, die wir auf Anfrage gerne zur Verfügung stellen

  • Vergessen Sie dabei nicht eigene Gesellschaften, Niederlassungen und Tochter-/ bzw. Mutterkonzerne, die sich außerhalb von EU und EWR befinden

  • Prüfen Sie, in welchen Fällen Sie welche Rolle einnehmen (datenschutzrechtlicher Verantwortlicher, gemeinsam Verantwortlicher, Auftragsverarbeiter) und dokumentieren dies

  • Aktualisieren Sie mit uns Ihre Verarbeitungsverzeichnisse bzgl. Datenübermittlungen und der jeweiligen Garantien

  • Ersetzen Sie die bisherigen SCC durch die neuen SCC. Das Gleiche empfehlen wir für Auftragsverarbeitungsverträge (AVV), in die speziellen Anforderungen für Datenübermittlungen aufgenommen werden sollten. Hier unterstützen wir Sie gerne mit unseren Mustern.

Allgemein gilts Folgendes zusätzlich zu den neuen SCC für Datenübermittlungen in unsichere Drittländer:

  • Datentransfer-Folgenabschätzung: Erstellen Sie eine Risikoabwägung (sog. Datentransfer-Folgenabschätzung bzw. Transfer Impact Assessment) hinsichtlich der Überwachungsbefugnisse der Behörden im Zielland und lassen sich vom Datenempfänger ein Dokument (z.B. ein Gutachten) vorlegen, das bescheinigt, dass dieser seinen Pflichten aus den SCC nachkommen kann. Datenübermittler haben weiterhin die Pflicht, glaubhaft darlegen zu können, dass der Datenempfänger im Drittland seinen Pflichten aus den SCC nachkommt.

  • Prüfen Sie zusammen mit Ihrem Datenschutzbeauftragten, ob zusätzlich zur Risikoabwägung und der Bescheinigung des Datenempfängers weitere technische oder organisatorische Maßnahmen zu ergreifen sind.

  • Implementieren Sie einen jährlichen Prozess, in dem die Datenempfänger nachweisen müssen, dass die Angaben aus der Risikoabwägung und der Bescheinigung weiterhin erfüllt werden.

Und was ist nun mit Großbritannien nach dem Brexit? Aufatmen können Sie bei Datentransfers in das Vereinigte Königreich. Die EU-Kommission teilte kürzlich mit, dass in den nächsten Tagen mit einem Angemessenheitsbeschluss zu rechnen sei. Wir empfehlen bei UK-Dienstleistern dementsprechend abzuwarten. Wir informieren Sie über die neusten Entwicklungen.

Wie wir Ihnen helfen können

Gerne unterstützen wir Sie bei dem Thema Standardvertragsklauseln und der Umsetzung. Sie haben weitere Fragen zu Datentransfer in Drittländer, Datenübermittlungen in die USA, SCC oder sehen Handlungsbedarf in einem anderen der genannten Felder? Dann kontaktieren Sie uns mit Ihrem Anliegen unkompliziert per Mail oder wenden sich telefonisch an uns.

Ihr entplexit Datenschutz Team