Auslandsdatenverarbeitung: Neue EU-Standardvertragsklauseln durch die EU verabschiedet

08.06.2021. 12:07

 

Die Europäische Kommission hat eine neue Version der sogenannten Standardvertragsklauseln veröffentlicht (“Standard Contractual Clauses”, kurz SCC).

Bei den Standardvertragsklauseln (im Gesetz als “Standardschutzklauseln” bezeichnet, Art. 46 Abs. 2 lit. c DSGVO) handelt es sich um Musterverträge, die im Fall von Transfers personenbezogener Daten durch “Datenexporteure” an “Datenimporteure” in Land außerhalb der EU/EWR erforderlich werden, für die es (im Wesentlichen) keinen Angemessenheitsbeschluss der EU gibt.

Bisher gab es verschiedene Fassungen von SCC, die alle insgesamt schon sehr alt sind und den Stand der DSGVO nicht (und des Schrems II Urteils des EuGH schon gar nicht) berücksichtigt haben. Nun gibt es anstatt drei Sets glücklicherweise nur noch ein Klauselwerk, das von der EU-Kommission angenommen wurden.

Die Fassung (Die SCC nennen sich genau genommen Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679.)finden Sie hier.

 

Die Standardvertragsklauseln sind nun modular aufgebaut und müssen individuell an die verschiedenen Konstellationen angepasst werden, was sie für Laien im Ergebnis nicht verständlicher machen dürfte. Allerdings werden die Anpassungen meist von den Dienstleister AGB-artig bereits vorgenommen werden, so dass individuelle Anpassungen wohl eher die Ausnahmen sein werden. Dies wird einem die inhaltliche Prüfung jedoch nicht ersparen.

Aus den folgenden wesentlichen Modulen bestehen die SCC:

Modul 1: Verantwortlicher – Verantwortlicher – Diese Konstellation gab es bereits in einem Set der alten Standardvertragsklauseln.
Modul 2: Verantwortlicher – Auftragsverarbeiter – Nach dieser Konstellation  ist nunmehr kein zusätzlicher Auftragsverarbeitungsvertrag mehr erforderlich (vgl. Art. 28 Abs. 7 DSGVO).
Modul 3: Auftragsverarbeiter-Unterauftragsverarbeiter – Nun können die Standardvertragsklauseln in Konstellationen zwischen zwei Auftragsverarbeitern eingesetzt werden. Wie das Modul für den Verantwortlichen und den Auftragsverarbeiter, ist auch in dieser Konstellation der Abschluss eines (Unterauftrags)verarbeitungsvertrages nicht erforderlich. Zu beachten ist, dass im Anhang I A der Verantwortliche als Vertragspartei benannt werden muss.
Modul 4: Auftragsverarbeiter-Verantwortlicher – Diese Konstellation ist neu und soll Fälle abdecken, in denen ein Unternehmen aus einem Drittland einen Auftragsverarbeiter in der EU beauftragt

Die Anforderungen des Schrems II Urteils wurden in die Standardvertragsklauseln (Module 14 und 15) aufgenommen. Dort wird die, schon vom EDSA nach dem Schrems II Urteil von Unternehmen geforderte, dokumentierte Risikoeinschätzung ("Transfer Impact Assessment”) verbindlich geregelt. Die Parteien müssen z.B. versichern, dass keinen Grund zu der Annahme besteht, dass die für die Verarbeitung personenbezogener Daten durch den Datenimporteur geltenden Rechtsvorschriften und Gepflogenheiten den Datenimporteur an der Erfüllung seiner Pflichten gemäß der Standardvertragsklauseln hindern.

Die offizielle Version der neuen DSGVO-Standardvertragsklauseln wird in den kommenden Tagen im EU-Amtsblatt veröffentlicht. Ab dann läuft eine 18-monatige Übergangsfrist. An deren Enden müssen Unternehmen alle bisher abgeschlossenen Standardvertragsklauseln für die Übermittlung von Daten in Drittländer durch die neue Version ersetzt haben. Insbesondere in den Fällen der Verarbeitung von personenbezogene Daten in den USA, wird aufgrund der EUGH Rechtsprechung aber sicher schon deutlcih schneller eine Aktualisierung erfolgen (müssen).

Eine Checkliste für die Umsetzung der neuen SCC finden Sie z.B. auf der Seite von Dr. Schwenke am Ende des Textes oder bei der Kanzlei Härting, ebenfalls am Ende des Textes.

 

 

 

 

 

Das könnte Sie auch interessieren

28 Dezember 2020

Aktueller Stand zum Brexit…

Aktueller Stand zum Brexit - Übergangslösung zum Datenaustausch

Mehr Erfahren
23 November 2020

Microsoft bietet angepasste…

Microsoft bietet angepasste Standardvertragsklauseln nach Schrems II Urteil

Mehr Erfahren
12 Februar 2019

Datenschutzempfehlungen…

Einen sehr informativen Artikel zum Thema Brexit finden Sie hier. Ich fasse hier mal zusammen. Wir dürfen…

Mehr Erfahren
19 Oktober 2017

Microsoft weigert sich…

US Supreme Court wird über US-Zugriff auf EU-Daten entscheiden https://heise.de/-3863199

Mehr Erfahren
12 Februar 2016

Entwicklung des Datenschutzes…

Ende 2015 sind zwei datenschutzrechtlich bedeutsame Gesetzesvorhaben umgesetzt werden. Ein neues Gesetz…

Mehr Erfahren