Inhaltsverzeichnis
- Definition: Was sind EU Standardvertragsklauseln?
- Wann benötige ich Standardvertragsklauseln?
- Was sind die neuen Standardvertragsklauseln der EU?
- Was sind Standardvertragsklauseln DSGVO?
- Wann treten die neuen Standardvertragsklauseln in Kraft?
Definition: Was sind EU Standardvertragsklauseln?
Standardvertragsklauseln sind Musterverträge, die bei Transfers von personenbezogenen Daten in Drittländer benötigt werden. Sie definieren die Rechte und Pflichten aller Vertragsparteien. Das Besondere an diesen Vertragsklauseln ist, dass sie von der EU-Kommission vorgegeben werden. Dadurch müssen sie nach Art. 46 Abs. 2 Eingangssatz DSGVO nicht vorab von einer Aufsichtsbehörde kontrolliert werden.
Das dazugehörige Regelwerk ist als Vertragstext mit den einzelnen Klauseln formuliert. Verwender müssen sich die entsprechenden Formulierungen für jede Klausel selbst heraussuchen und auf ihre Unterlagen übertragen. Sie dürfen allerdings nicht individuell angepasst werden.
Als Abkürzung für die Klauseln dient häufig die Kurzform der englische Bezeichnung „Standard Contractual Clauses“: „SCC“. Die Vorlagen sind erstmals im Jahr 2001 erschienen, gefolgt von Überarbeitungen in den Jahren 2004, 2010 und zuletzt 2021.
Wann benötige ich Standardvertragsklauseln?
Standardvertragsklauseln sind für jede Art von Drittlandtransfer außerhalb der EU bzw. des EWR notwendig, wenn keine Angemessenheitsbeschlüsse nach Art. 45 DSGVO für die jeweiligen Länder vorliegen. Die SCC gelten als rechtliche Grundlage für die Übermittlung der personenbezogenen Daten, da die DSGVO in den Drittstaaten nicht gilt. Um dennoch ein gleichwertiges Datenschutzniveau zu gewährleisten, veröffentlicht die EU-Kommission ihre Standardvertragsklauseln.
Vertragspartner können auch andere, frei formulierte Vertragsklauseln aushandeln bzw. weitere Formulierungen und Garantien ergänzen. Allerdings sind sie vor der Verwendung von einer Aufsichtsbehörde freizugeben. Außerdem dürfen die eigens formulierten Klauseln verglichen mit den SCC die Rechte der Betroffenen nicht einschränken.
Neben den vorgegeben Standardvertragsklauseln können Unternehmen auch eigens formulierte Verträge nutzen oder die SCC um weitere Punkte ergänzen. In diesen Fällen müssen die Klauseln zuvor von einer Aufsichtsbehörde freigegeben werden. |
Was sind die neuen Standardvertragsklauseln der EU?
Die neuen Standardvertragsklauseln hat die Europäische Kommission auf ihrer Website veröffentlicht. Dabei hat sich der Aufbau der Klauseln maßgeblich geändert: Sie sind nun in einzelne Module unterteilt. Hierdurch gibt es künftig nicht nur Klauseln für Verträge zwischen zwei Verantwortlichen (Controller to Controller) oder zwischen einem Verantwortlichen und einem Auftragsverarbeiter (Controller to Processor).
Stattdessen gibt es Klauseln für folgende Konstellationen:
• Modul 1 (Controller to Controller) | Übermittlung zwischen zwei Verantwortlichen |
• Modul 2 (Controller to Processor) | Übermittlung von Verantwortlichen an Auftragsverarbeiter |
• Modul 3 (Processor to Processor) → NEU | Übermittlung zwischen zwei Auftragsverarbeitern |
• Modul 4 (Processor to Controller) → NEU | Übermittlung von Auftragsverarbeiter an Verantwortlichen |
Dieser modulare Aufbau hilft dabei, neben dem klassischen Auftragsverarbeitungsvertrag (Art. 28 Abs. 7 DSGVO) die SCC beim Drittlandtransfer rechtssicher und datenschutzkonform zu formulieren. Für Unternehmen ohne eigene Vertragsklauseln stellt die EU-Kommission entsprechende Mustervorlagen zur Verfügung:
- Standardvertragsklauseln für Übermittlungen zwischen Verantwortlichen und Auftragsverarbeitern
- Standardvertragsklauseln für internationale Datentransfers
Wichtig: Die Vertragspartner müssen dabei auch die drei Anhänge des Klauselsets vollständig ausfüllen.
Die bisher gültige Version der Klauseln wurde am 04.06.2021 von der EU-Kommission angepasst. Anstoß war das sog. „Schrems-II-Urteil“ des EuGH vom 16.07.2020 (auch „Schrems-II-Entscheidung“). Darin hatte die Kommission bestimmt, dass Unternehmen aus der EU mit Systemen oder Servern in den USA nicht mehr auf den sog. „EU-US Privacy Shield“ zurückgreifen können, um ein ausreichendes Datenschutzniveau zu gewährleisten.
Durch das Urteil zweifelte der EuGH an, dass die bisherigen Standardvertragsklauseln für den Drittlandtransfer weiterhin uneingeschränkt tauglich wären. Daher passte die EU-Kommission die bisherigen Klauseln entsprechend an.
Neue Standardvertragsklauseln implementieren
Zunächst können Unternehmen die neuen Standardvertragsklauseln unkompliziert in ihre bisherigen Geschäftsprozesse integrieren. Hierfür müssen sie lediglich folgende Schritte befolgen:
1. | Nach Identifizierung der zutreffenden Verarbeitungssituation passende Vorlage von der Website der EU-Kommission herunterladen und die nicht zutreffenden Teile aus der Vertragsvorlage löschen. |
2. | Informationen aus den Vorlagen mit betriebseigenen Angaben ergänzen. |
3. | Die fertige Vereinbarung analog oder digital abschließen und dokumentieren. |
Wichtig: Die Vertragspartner dürfen die Klauseln, die die EU-Kommission vorgibt, nicht abändern, wenn sie diese nutzen wollen. Daher müssen bzw. dürfen die Unternehmen die SCC nicht anpassen, um sie z. B. an betriebsinterne Vorgaben anzugleichen. Das erleichtert meist die Implementierung, da weniger bürokratische Aufgaben auf die Unternehmen zukommen.
Mithilfe der ebenfalls neuen Kopplungsklausel können die SCC jetzt auch zwischen mehr als zwei Parteien geschlossen werden. Darüber hinaus können Dritte (unter bestimmten Umständen) sogar bereits geschlossenen Vertragsklauseln beitreten.
Da die Standardvertragsklauseln jedoch nicht bindend gelten für die Behörden im Drittland, sollten EU-Unternehmen neben der Verwendung der SCC weitere Maßnahmen ergreifen.
Vertragsklauseln sind ein wichtiger Bestandteil, um eine ausreichende Datensicherheit zu gewährleisten – insbesondere im Transfer mit Drittstaaten. Bild: © Wellnhofer Designs – stock.adobe.com |
Zusätzliche Maßnahmen zum Datenschutz
Der Europäische Datenschutzausschuss (EDSA) empfiehlt, zunächst die Rechtslage im Empfängerstaat zu prüfen. Hierfür sollten die Unternehmen folgende Punkte untersuchen:
- Wie funktioniert der Datentransfer in das Drittland?
- Reichen die Standardvertragsklauseln aus, um ausreichenden Datenschutz sicherzustellen?
- Können staatliche Stellen auf die übermittelten Daten zugreifen?
- Was sagen die örtlichen Gesetze und behördlichen Praktiken vor Ort?
Um diese Fragen zu klären, ist es hilfreich, eng mit den Datenschutzverantwortlichen des Empfängers zusammenzuarbeiten. Kommt das EU-Unternehmen nach seiner Analyse zu dem Entschluss, dass die Standardvertragsklauseln kein ausreichendes Datenschutzniveau bieten, sollte es weitere Sicherungsmaßnahmen ergreifen. Das sollten insbesondere technische und organisatorische Maßnahmen sein. Sinnvoll sind z. B. eine Pseudonymisierung und technische Verschlüsselung bei der Übermittlung und Speicherung personenbezogener Daten.
Kann ein Unternehmen selbst mithilfe der SCC und der o. g. Maßnahmen keinen hinreichenden Datenschutz gewährleisten, sollte der Datentransfer nicht stattfinden. Dieses Dilemma macht deutlich, dass auch die neuen Standardvertragsklauseln keine vollumfängliche Lösung darstellen. Im Gegenteil sollte jedes Unternehmen zuerst genau prüfen, ob eine geplante Datenübertragung unter Datenschutzaspekten sinnvoll ist. Dennoch bleibt eine teils erhebliche Rechtsunsicherheit für die Unternehmen vorhanden.
Eine Möglichkeit, mit der Unternehmen solchen Unsicherheiten entgegenwirken können, besteht darin, sich stetig über aktuelle Entwicklungen und Gerichtsurteile im Datenschutz zu informieren. Genau hierfür gibt es den „Infodienst Datenschutz für Praktiker“. In zehn Ausgaben pro Jahr berichtet er regelmäßig über die aktuelle Rechtsprechung und Gesetzgebung. Außerdem bietet er hilfreiche To-do-Listen und Tipps zur Umsetzung der aktuellen Datenschutzvorschriften.
Was sind Standardvertragsklauseln nach DSGVO?
In der DSGVO werden Standardvertragsklauseln im Zusammenhang mit Art. 44 ff. beschrieben. Demnach müssen für die Übermittlung personenbezogener Daten in Drittländer besondere Voraussetzungen erfüllt sein. Hierzu hat die Europäischen Kommission für (derzeit) 13 Staaten einen Angemessenheitsbeschluss verfasst (Art. 45 DSGVO). Gibt es für das Zielland keinen solchen Beschluss, sind alternative Konzepte notwendig, um im Empfängerland einen hinreichenden Datenschutz zu gewährleisten.
Als Alternative sind folgende Maßnahmen möglich:
- Geeignete Garantien (Art. 46 DSGVO), z. B. in Form von:
- Vertragsklauseln (wie die SCC): Sie werden vereinbart zwischen dem Verantwortlichen/Auftragsverarbeiter im Ursprungsland und dem Verantwortlichen/Auftragsverarbeiter/Empfänger der personenbezogenen Daten im Drittland.
- Bestimmungen: Sie werden in Verwaltungsvereinbarungen zwischen Behörden oder öffentlichen Stellen bestimmt und müssen durchsetzbare sowie wirksame Rechte für die Betroffenen beinhalten.
- Verbindliche interne Datenschutzvorschriften (Art. 47 DSGVO)
Durch das Schrems-II-Urteil müssen Unternehmen mit Systemen oder Servern in den USA eine der o. g. Maßnahmen nutzen, um weiterhin rechtssicher und DSGVO-konform zu arbeiten. Die meisten Unternehmen arbeiten hierfür mittlerweile mit den (neuen) Standardvertragsklauseln der EU.
Wann treten die neuen Standardvertragsklauseln in Kraft?
Für Unternehmen aus Europa galt eine Übergangsfrist zur Umsetzung der EU-Standardvertragsklauseln. So durften sie noch bis zum 27.09.2021 die bisherigen Klauselsets nutzen, um Auftragsverarbeitungsverträge abzuschließen. Dokumente, die dadurch noch die alten Klauseln enthalten, sind bis spätestens 27.12.2022 an die neuen Klauseln anzupassen. Alle Verträge, die nach dem 27.09.2021 abgeschlossen werden, müssen die neuen Standardvertragsklauseln vom 04.06.2021 beinhalten.
Achtung: Ändert sich die Verarbeitung der personenbezogenen Daten und damit der Inhalt der Vereinbarung, oder kommt z. B. ein neuer Auftragsverarbeiter hinzu, müssen auch die Altverträge ab dem 27.09.2021 zwingend die neuen Standardvertragsklauseln enthalten.
Quelle: „Infodienst Datenschutz für Praktiker“