Was sind Standardvertragsklauseln?
Seit Juni 2021 gelten die neuen EU-Standardvertragsklauseln im Datenschutz. Damit Sie wissen, worauf Sie jetzt achten müssen, haben wir von Datenschutzberater.NRW Ihnen in diesem Artikel die wichtigsten Punkte zusammengefasst.
In unserem Datenschutz-Blog haben wir bereits die Übermittlung von personenbezogenen Daten in Drittländer thematisiert (lesen Sie den gesamten Blog hier). Diese Übermittlung unterliegt verschiedenen Vorgaben. Grund dafür ist die Sicherstellung der Datenschutzrichtlinien in jenen Drittstaaten, bei denen keine weitere gesetzliche Grundlage vorhanden ist. Die personenbezogenen Daten der Betroffenen sollen so geschützt sein, wie in der EU.
Standardvertragsklauseln – eine Definition
Wer personenbezogene Daten in ein sogenanntes Drittland – also in ein Land außerhalb der EU oder des Europäischen Wirtschaftsraum (EWR) – übermitteln will, der muss sicherstellen, dass in diesem Land der Datenschutz entsprechend der EU-DS-GVO geregelt ist. Dies kann über Garantien sichergestellt werden.
Die EU-Kommission kann dafür Angemessenheitsbeschlüsse als entsprechende Garantien festlegen. Diese Garantien ermöglichen neben der Rechtsgrundlage die Möglichkeit für die Datenverarbeitung bzw. -übermittlung. Meist kann der Standard im Datenschutz aber durch die sogenannten Standardvertragsklauseln ausreichend festgelegt werden. Diese werden ebenfalls durch die Europäische Kommission erlassen.
Wozu benötigt man die Standardvertragsklauseln?
Die Standardvertragsklauseln werden vor allem dann notwendig, wenn es für die Übermittlung der personenbezogenen Daten außerhalb des EWR keine anderen Garantien gibt. Warum gibt es neue Standardvertragsklauseln 2021? Vor allem das Beispiel des EU-US Privacy Shields (siehe dazu unseren Blogartikel), welcher durch den EuGH gekippt wurde zeigt, wie wichtig die Standardvertragsklauseln für die DS-GVO-konforme Übermittlung von personenbezogenen Daten in ein Drittland sind. (Was sind Drittländer? – lesen Sie dazu unseren Artikel).
Die bisher gültigen Fassungen waren bereits aus dem Jahr 2001 bzw. 2004 und 2010 und spätestens seit der Entscheidung des EuGHs zum EU-US Privacy Shield wurde eine Überarbeitung notwendig. Darüber hinaus hat sich die digitale Arbeitswelt verändert und machte eine Überarbeitung unausweichlich.
Was ändert sich bei den neuen Standardvertragsklauseln?
Die neuen Standardvertragsklauseln machen die Übermittlung von personenbezogenen Daten rechtsicherer, geben aber keine endgültige Garantie. Sie beinhalten die bisherigen Regeln zwar, verlangen darüber hinaus, dass eine sogenannte Datentransfer-Folgenabschätzung dokumentiert wird.
Diese sollte unter anderem die besonderen Umstände der Übermittlung erfassen. Dazu sollten unter anderem genannt werden:
- Länge der Verarbeitungskette
- Anzahl der Beteiligten
- Verwendete Übertragungskanäle
- mögliche Datenweiterleitungen
- Empfängerart
- Zweck der Verarbeitung
- Kategorien und Format der personenbezogenen Daten
- Wirtschaftszweig
- Speicherort
Die Datentransfer-Folgenabschätzung sollte außerdem dokumentieren, welche relevanten Rechtsvorschriften und Gepflogenheiten in dem Land gelten, in die die Daten übermittelt werden. Dazu gehören auch mögliche Offenlegungen von personenbezogenen Daten gegenüber Behörden usw.
Die Datentransfer-Folgenabschätzung umfasst noch weitere Punkte, wie alle relevanten technischen und organisatorischen Maßnahmen (TOM), welche umgesetzt werden. Ebenso müssen alle Vertragspartner versichern, dass Sie in der Lage sind die entsprechenden vertraglich vereinbarten Punkte umzusetzen und so weiter. Diese Folgenabschätzung müssen entsprechend dokumentiert werden.
Neuer modularer Ansatz
Die neuen Standardvertragsklauseln – oder auch Standard Contractual Clauses“ (SCC), zeigen sich in einem modularen Aufbau. Diese geben verschiedenen Varianten des Datentransfers in vier Modulen wieder:
Modul 1: Übermittlung von personenbezogenen Daten zwischen zwei Verantwortlichen.
Modul 2: Übermittlung von personenbezogenen Daten vom Verantwortlichen an einen Auftragsverarbeiter
Modul 3: Übermittlung von personenbezogenen Daten zwischen zwei Auftragsverarbeitern
Modul 4: Übermittlung von personenbezogenen Daten von einem Auftragsverarbeiter an den Verantwortlichen
Je nachdem, wie die Vertragspartner die Übermittlung der Daten im Vertrag gestalten, kann das passende Modul flexibel gewählt werden. Die Module können also als Musterverträge gesehen werden, welche die rechtliche Absicherung der Datenübertragung sicherer macht.
Die Pflicht zur Abwehr von Regierungsfragen, welche in den neuen SCC verankert sind, ist ebenfalls neu.
Übergangsfrist von 18 Monaten – Weitere Prüfung notwendig
Mit der Veröffentlichung im Amtsblatt der EU, treten die neuen Dokumente in Kraft. Dabei gibt es eine Übergangsfrist von 18 Monaten, in welcher bestehende Verträge geprüft und angepasst bzw. mit den neuen Dokumenten ergänzt werden müssen.
Auch wenn die neuen SCC verwendet werden und fristgerecht bestehende Verträge angepasst sind, stellt die Übermittlung von personenbezogenen Daten in Drittländer einen komplexen Vorgang im Datenschutz dar. Sie sollte daher immer eingehend vom Fachmann, zum Beispiel dem externen Datenschutzbeauftragten geprüft und regelmäßig auf die gesetzlichen Vorgaben hin beurteilt werden.
Dabei steht auch die Nutzung von unterschiedlichen, im Ausland angesiedelten Dienstleistern im Fokus. Der Verantwortliche ist verpflichtet die entsprechenden gesetzlichen Vorgaben zu prüfen und den Datenschutz auch bei der Übermittlung der Daten sicher zu stellen.
Datenschutzberater.NRW stellt einen externen Datenschutzbeauftragten (TÜV) und berät Sie mit einem Team aus Datenschutz, IT-Sicherheit und Steuerrecht. Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und ganz NRW. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.