Die Europäische Kommission hat eine neue Version der sogenannten Standardvertragsklauseln veröffentlicht (“Standard Contractual Clauses”, kurz SCC).
Bei den Standardvertragsklauseln (im Gesetz als “Standardschutzklauseln” bezeichnet, Art. 46 Abs. 2 lit. c DSGVO) handelt es sich um Musterverträge, die im Fall von Transfers personenbezogener Daten durch “Datenexporteure” an “Datenimporteure” in Land außerhalb der EU/EWR erforderlich werden, für die es (im Wesentlichen) keinen Angemessenheitsbeschluss der EU gibt.
Bisher gab es verschiedene Fassungen von SCC, die alle insgesamt schon sehr alt sind und den Stand der DSGVO nicht (und des Schrems II Urteils des EuGH schon gar nicht) berücksichtigt haben. Nun gibt es anstatt drei Sets glücklicherweise nur noch ein Klauselwerk, das von der EU-Kommission angenommen wurden.
Die Fassung (Die SCC nennen sich genau genommen Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679.)finden Sie hier.
Die Standardvertragsklauseln sind nun modular aufgebaut und müssen individuell an die verschiedenen Konstellationen angepasst werden, was sie für Laien im Ergebnis nicht verständlicher machen dürfte. Allerdings werden die Anpassungen meist von den Dienstleister AGB-artig bereits vorgenommen werden, so dass individuelle Anpassungen wohl eher die Ausnahmen sein werden. Dies wird einem die inhaltliche Prüfung jedoch nicht ersparen.
Aus den folgenden wesentlichen Modulen bestehen die SCC:
Modul 1: Verantwortlicher – Verantwortlicher – Diese Konstellation gab es bereits in einem Set der alten Standardvertragsklauseln.
Modul 2: Verantwortlicher – Auftragsverarbeiter – Nach dieser Konstellation ist nunmehr kein zusätzlicher Auftragsverarbeitungsvertrag mehr erforderlich (vgl. Art. 28 Abs. 7 DSGVO).
Modul 3: Auftragsverarbeiter-Unterauftragsverarbeiter – Nun können die Standardvertragsklauseln in Konstellationen zwischen zwei Auftragsverarbeitern eingesetzt werden. Wie das Modul für den Verantwortlichen und den Auftragsverarbeiter, ist auch in dieser Konstellation der Abschluss eines (Unterauftrags)verarbeitungsvertrages nicht erforderlich. Zu beachten ist, dass im Anhang I A der Verantwortliche als Vertragspartei benannt werden muss.
Modul 4: Auftragsverarbeiter-Verantwortlicher – Diese Konstellation ist neu und soll Fälle abdecken, in denen ein Unternehmen aus einem Drittland einen Auftragsverarbeiter in der EU beauftragt
Die Anforderungen des Schrems II Urteils wurden in die Standardvertragsklauseln (Module 14 und 15) aufgenommen. Dort wird die, schon vom EDSA nach dem Schrems II Urteil von Unternehmen geforderte, dokumentierte Risikoeinschätzung ("Transfer Impact Assessment”) verbindlich geregelt. Die Parteien müssen z.B. versichern, dass keinen Grund zu der Annahme besteht, dass die für die Verarbeitung personenbezogener Daten durch den Datenimporteur geltenden Rechtsvorschriften und Gepflogenheiten den Datenimporteur an der Erfüllung seiner Pflichten gemäß der Standardvertragsklauseln hindern.
Die offizielle Version der neuen DSGVO-Standardvertragsklauseln wird in den kommenden Tagen im EU-Amtsblatt veröffentlicht. Ab dann läuft eine 18-monatige Übergangsfrist. An deren Enden müssen Unternehmen alle bisher abgeschlossenen Standardvertragsklauseln für die Übermittlung von Daten in Drittländer durch die neue Version ersetzt haben. Insbesondere in den Fällen der Verarbeitung von personenbezogene Daten in den USA, wird aufgrund der EUGH Rechtsprechung aber sicher schon deutlcih schneller eine Aktualisierung erfolgen (müssen).
Eine Checkliste für die Umsetzung der neuen SCC finden Sie z.B. auf der Seite von Dr. Schwenke am Ende des Textes oder bei der Kanzlei Härting, ebenfalls am Ende des Textes.