Die neuen Standardvertragsklauseln (SCC) nach dem „Schrems II“-Urteil

Im Juni 2021 hat die Europäische Kommission im Beschluss 2021/914/EU neue Standardvertragsklauseln (Standard Contractual Clauses – SCC) angenommen. Diese stellen eine wichtige Neuerung für Unternehmen dar, da sie eine neue Rechtsgrundlage für den Datentransfer in Länder schaffen, in denen nicht dasselbe Datenschutzniveau herrscht, wie in der Europäischen Union (EU). Bis zum „Schrems II“-Urteil des Europäischen Gerichtshofs (EuGH) im Juli 2020 konnten Datenübermittlungen in die USA beispielsweise auf das EU-US Privacy Shield oder auf den Abschluss der alten EU-Standardvertragsklauseln gestützt werden. In diesem vieldiskutierten Urteil hatte der EuGH das EU-US Privacy Shield jedoch für ungültig erklärt. Gleichsam hatte er die für alle Datenübermittlungen in Drittländer geltenden Anforderungen aus den Artikeln 44 ff. DSGVO konkretisiert. Um diese umfassenden Voraussetzungen zu adressieren, hat die Europäische Kommission nunmehr die neuen Standardvertragsklauseln erlassen. Nach einer Übergangsfrist von drei Monaten sind ab dem 27.09.2021 für neue Datenübermittlungen ausschließlich diese neue Standardvertragsklauseln abzuschließen. Neue Drittlandübermittlungen, die noch auf die alten gestützt sind, werden ab dann rechtswidrig. Für Bestandsübermittlungen in Drittländer gilt eine erweiterte Übergangsfrist bis zum 27.12.2022.

Diese neuen Klauseln der Europäischen Kommission sollen mehr Klarheit und Flexibilität schaffen – dennoch stellen diese sehr zeitnahen Änderungen im Datentransfer viele Unternehmer vor Herausforderungen. Dieser Beitrag beleuchtet deshalb die Hintergründe, gibt einen Überblick über die neuen Standardvertragsklauseln und was Unternehmen dazu beachten müssen.


Update 01.12.2021

Die neuen SCC schaffen mehr Sicherheit für Datentransfers, zugleich aber auch neue Herausforderungen für Unternehmen. Daher hat unser Partnerunternehmen caralegal – Hersteller der gleichnamigen Datenschutzmanagement-Software – einen SCC-Generator entwickelt, mit dem Sie Ihr individuelles und DSGVO-konformes Vertragsmuster erstellen lassen können. Anhand eines benutzerfreundlichen Online-Fragebogens ermittelt der SCC-Generator alle für Sie relevanten Vertragsinhalte und Anforderungen, um das passende Vertragsmuster anzufertigen. Verfügbar auf Deutsch und Englisch. Nutzen Sie jetzt den SCC-Generator von caralegal. Kostenlos und unverbindlich.


Hintergrund und rechtliche Grundlagen

Datenübermittlungen in Länder außerhalb der EU – sogenannte Drittländer – benötigen eine rechtliche Grundlage. Dafür sieht die Datenschutz-Grundverordnung (DSGVO) in Artikel 44 bis 49 DSGVO besondere Regeln vor, die neben den sonstigen Regeln der DSGVO beachtet werden müssen. Nach Artikel 45 DSGVO hat die Europäische Kommission vorrangig die Möglichkeit, die Angemessenheit des Datenschutzniveaus im Drittland festzustellen. Mit einem solchen Angemessenheitsbeschluss stellt die Europäische Kommission für einen bestimmten Drittstaat fest, dass die dortige Rechtslage ein Datenschutzniveau aufweist, das mit dem der EU vergleichbar ist. Solche existieren momentan unter anderem für Japan, Kanada, Uruguay, die Schweiz und Neuseeland. In diese Länder ist die Übermittlung personenbezogener Daten ohne zusätzliche Maßnahmen möglich. Daneben existiert die Möglichkeit des Abschlusses von Standardvertragsklauseln oder verbindlichen internen Datenschutzvorschriften (BCR), Art. 46 DSGVO. In Ausnahmefällen ist zum Beispiel auch eine ausdrückliche Einwilligung sowie die Erforderlichkeit zur Vertragserfüllung bei gelegentlicher Verarbeitung möglich, Art. 49 DSGVO. Werden personenbezogene Daten ohne Einhaltung dieser Regelungen in ein Drittland übermittelt, drohen empfindliche Bußgelder. Die Anforderungen an den internationalen Datentransfer haben wir hier für Sie zusammengestellt.

Am 16.07.2020 hat der EuGH mit dem „Schrems II“-Urteil (C-311-18) endgültig entschieden, dass in den USA kein angemessenes Datenschutzniveau besteht, und erklärte in der Folge das – im Jahr 2016 vereinbarte – sogenannte EU-US Privacy Shield für ungültig. Dieses Abkommen hatte bis dahin als Angemessenheitsbeschluss der Europäischen Kommission nach Artikel 45 DSGVO fungiert. Zugleich hat der EuGH in seiner Entscheidung die für alle Datenübermittlungen in Drittländer geltenden Anforderungen aus den Artikel 44 ff. DSGVO konkretisiert. Mehr Details zu der Entscheidung finden Sie hier.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Abmeldelink in jedem Newsletter. Mehr in der Datenschutzerklärung.

Die neuen Standardvertragsklauseln

Um einen Teil der sich aus „Schrems II“ ergebenen Anforderungen zu adressieren, hat die Europäische Kommission am 04.06.2021 die finale Fassung der neuen Standardvertragsklauseln veröffentlicht, siehe Beschluss 2021/914/EU. Diese stellen eine wichtige Neuerung für Unternehmen dar.

Die wichtigsten Neuerungen auf einen Blick:

  • Modularer Aufbau mit zwei neuen Konstellationen: decken die meisten Situationen ab
  • Datenexporteur:in: in der EU
  • Datenimporteur:in: im Drittland
  • Optionale Kopplungsmöglichkeit (Klausel 7): Beitritt zu den Standardvertragsklauseln durch weitere Parteien
  • Haftung für Verletzung von Betroffenenrechten (Klausel 12 lit. b)
  • Neue Pflichten ausgehend vom EuGH-Urteil (Klausel 14 und 15) – außer bei Modul 4
  • Bis zum 26.09.2021 können noch alten Standardvertragsklauseln abgeschlossen werden, bis zum 27.12.2022 müssen alte Klauseln durch neue ersetzt werden.

Die Klauseln sehen einen neuen, modularen Ansatz vor. Sie erlauben es, verschiedene Konstellationen mit mehreren Vertragspartner:innen abzubilden und ermöglichen damit eine flexible Vertragsgestaltung. Sie setzen sich aus allgemeinen, in jedem Fall zu berücksichtigenden Bestimmungen und zusätzlichen Modulen für bestimmte Verarbeitungskonstellationen zwischen Verantwortlichen, Auftrags- und Unterauftragsverarbeiter:innen zusammen. Des Weiteren ermöglichen die Standardvertragsklauseln die Abbildung unterschiedlicher Verarbeitungsketten und den nachträglichen Beitritt weiterer Verantwortlicher/Auftragsverarbeiter:innen. Schließlich sind die Begrifflichkeiten von Datenexporteur:innen und Datenimporteuer:innen jetzt offener gestaltet.

Im Hinblick auf einen Zugriff von Behörden auf Daten bei Datenimporteur:innen obliegen diesen umfassende Benachrichtigungs- (Klausel 15.1) und Handlungspflichten (Klausel 15.2) – insbesondere zur Abwehr der behördlichen Maßnahmen. Damit bleibt eine Übermittlung in ein Drittland weiterhin unzulässig, wenn die Daten dort nicht vor dem weitreichenden Zugriff der Behörden geschützt sind.

Je nach seiner Rolle werden Datenimporteur:innen von den Standardvertragsklauseln vertraglich den wesentlichen Grundsätzen und Verpflichtungen der DSGVO unterworfen. Hierzu gehören vor allem die Bindung an die Grundsätze der Datenminimierung und Speicherbegrenzung; die Gewährleistung der Sicherheit der Datenverarbeitung und die Einhaltung von Informations-, Meldepflichten sowie Betroffenenrechten.

Die Europäische Kommission hat auch auf die Risiken für den Schutz personenbezogener Daten reagiert, die aus Vorschriften und Behördenpraktiken im Empfängerland resultieren können. Nun ist die Prüfung des Datenschutzniveaus im Drittland als explizite Pflicht in den Standardvertragsklauseln enthalten: bei einer Übermittlung von personenbezogenen Daten mittels Standardvertragsklauseln müssen Datenexporteur:innen zukünftig bewerten, ob für die vom Transfer betroffenen Daten ein angemessenes Datenschutzniveau im Empfängerland gewährleistet ist. Dabei muss nicht das allgemeine Datenschutzniveau im Empfängerland bewertet werden, sondern das konkrete Schutzniveau für die zu übertragenden Daten.

Außerdem beinhalten die Standardvertragsklauseln erstmals Regelungen, mit welchen die Anforderungen an eine Auftragsverarbeitung nach Artikel 28. Abs. 3 und 4 DSGVO wirksam vereinbart werden können. Das hat nicht nur für die Auftragsverarbeitung im internationalen Kontext Relevanz.

Auch wenn die alten Standardvertragsklauseln für bereits geschlossene, unveränderte Verträge noch fortgelten, sollten Unternehmen sich auf den Wechsel frühzeitig vorbereiten – insbesondere, da ab dem 27.09.2021 für neue Datenübermittlungen ausschließlich die neuen Standardvertragsklauseln zu nutzen sind. Dazu sollten nochmals alle Datenübermittlungen in Drittländer erfasst und überprüft werden. Bereits abgeschlossene Standardvertragsklauseln sollten ebenfalls überprüft und alle auf „Schrems II“ beruhenden Schutzmaßnahmen dokumentiert und zusammengestellt werden. Es empfiehlt sich, die Rollen aller Akteure zu erfassen und am Ende einen Prozess zur Aktualisierung der Standardvertragsklauseln zu definieren.


Mehr zum Thema

Internationaler Datentransfer: Anforderungen und Entwicklungen

SCC-Generator von caralegal


Fazit

Insgesamt ist festzuhalten, dass die neuen Standardvertragsklauseln neben mehr Klarheit auch neuen Handlungsbedarf schaffen. Sie erlauben die Umsetzung der vom EuGH in „Schrems-II“ verlangten, zusätzlichen organisatorischen und vertraglichen Maßnahmen. Es ist daher wichtig, die Nutzung aller Dienstleister mit Drittlandsbezug zu überprüfen und die Umsetzung der neuen Standardvertragsklauseln zu begleiten. Unternehmen sollten auf eine ausführliche Dokumentation achten, um im Zweifel den Nachweis gegenüber den Behörden erbringen zu können.

Doch weitere Reaktionen der Aufsichtsbehörden und mögliche gerichtliche Entscheidungen sind noch abzuwarten. Wegen der komplexen Situation und der vielfältigen Fragen bei Datenübermittlungen in Drittländer ist eine individuelle Beratung dringend empfohlen. Dabei unterstützen wir Sie gerne mit unserer Expertise – sprechen Sie uns an, und wir erarbeiten gemeinsam mit Ihnen eine für Sie passende Lösung!

Kontakt

office@srd-rechtsanwaelte.de

Berlin

+49 (0)30 21 30 028-0

Düsseldorf

+49 (0)211 41 55 868-0

München

+49 (0)89 61 42 412-70

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Abmeldelink in jedem Newsletter. Mehr in der Datenschutzerklärung.