Die neuen Standardvertragsklauseln (SCC) nach dem „Schrems II“-Urteil

Update: 02.02.2022

Anlässlich der neuen SCC, die von der Europäischen Kommission im Sommer verabschiedet wurden, referierten Simone Rosenthal, Partnerin und Rechtsanwältin bei der Technologiekanzlei Schürmann Rosenthal Dreyer Rechtsanwälte, und Ilan Leonard Selz, Rechtsanwalt und Senior Associate bei Schürmann Rosenthal Dreyer Rechtsanwälte, am 9. September 2021 bei der Stiftung Datenschutz. Im Rahmen des Webinars „Datenschutz am Mittag“ informierten sie zum Thema Datenübermittlungen in das EU-Ausland anhand der neuen SCC. Die SCC, als vorgefertigte Vertragsmuster, sollen die Datenübermittlungen in ein Drittland auf einem Niveau ermöglichen, das die Standards der Europäischen Union (EU) nicht untergräbt. In ihrem Vortrag gingen Simone Rosenthal und Ilan Leonard Selz auf die neuen Klauseln der SCC ein und zeigten die aktuellen Herausforderungen auf.

Wenn Sie sich den Vortrag in voller Länger ansehen möchten, finden Sie hier den Upload der Veranstaltung auf der Webseite der Stiftung Datenschutz.


Update: 01.12.2021

Die neuen SCC schaffen mehr Sicherheit für Datentransfers, zugleich aber auch neue Herausforderungen für Unternehmen. Daher hat unser Partnerunternehmen caralegal – Hersteller der gleichnamigen Datenschutzmanagement-Software – einen SCC-Generator entwickelt, mit dem Sie Ihr individuelles und DSGVO-konformes Vertragsmuster erstellen lassen können. Anhand eines benutzerfreundlichen Online-Fragebogens ermittelt der SCC-Generator alle für Sie relevanten Vertragsinhalte und Anforderungen, um das passende Vertragsmuster anzufertigen. Verfügbar auf Deutsch und Englisch. Nutzen Sie jetzt den SCC-Generator von caralegal. Kostenlos und unverbindlich.


Im Juni 2021 hat die Europäische Kommission im Beschluss 2021/914/EU neue Standardvertragsklauseln (Standard Contractual Clauses – SCC) angenommen. Diese stellen eine wichtige Neuerung für Unternehmen dar, da sie eine neue Rechtsgrundlage für den Datentransfer in Länder schaffen, in denen nicht dasselbe Datenschutzniveau herrscht, wie in der Europäischen Union (EU). Bis zum „Schrems II“-Urteil des Europäischen Gerichtshofs (EuGH) im Juli 2020 konnten Datenübermittlungen in die USA beispielsweise auf das EU-US Privacy Shield oder auf den Abschluss der alten EU-Standardvertragsklauseln gestützt werden. In diesem vieldiskutierten Urteil hatte der EuGH das EU-US Privacy Shield jedoch für ungültig erklärt. Gleichsam hatte er die für alle Datenübermittlungen in Drittländer geltenden Anforderungen aus den Artikeln 44 ff. DSGVO konkretisiert. Die weiteren Konsequenzen der Entscheidung finden Sie hier. Um diese umfassenden Voraussetzungen zu adressieren, hat die Europäische Kommission nunmehr die neuen Standardvertragsklauseln erlassen. Nach einer Übergangsfrist von drei Monaten sind ab dem 27.09.2021 für neue Datenübermittlungen ausschließlich diese neue Standardvertragsklauseln abzuschließen. Neue Drittlandübermittlungen, die noch auf die alten gestützt sind, werden ab dann rechtswidrig. Für Bestandsübermittlungen in Drittländer gilt eine erweiterte Übergangsfrist bis zum 27.12.2022.

Diese neuen Klauseln der Europäischen Kommission sollen mehr Klarheit und Flexibilität schaffen – dennoch stellen diese sehr zeitnahen Änderungen im Datentransfer viele Unternehmer vor Herausforderungen. Dieser Beitrag beleuchtet deshalb die Hintergründe, gibt einen Überblick über die neuen Standardvertragsklauseln und was Unternehmen dazu beachten müssen.

Hintergrund und rechtliche Grundlagen

Datenübermittlungen in Länder außerhalb der EU – sogenannte Drittländer – benötigen eine rechtliche Grundlage. Dafür sieht die Datenschutz-Grundverordnung (DSGVO) in Artikel 44 bis 49 DSGVO besondere Regeln vor, die neben den sonstigen Regeln der DSGVO beachtet werden müssen. Nach Artikel 45 DSGVO hat die Europäische Kommission vorrangig die Möglichkeit, die Angemessenheit des Datenschutzniveaus im Drittland festzustellen. Mit einem solchen Angemessenheitsbeschluss stellt die Europäische Kommission für einen bestimmten Drittstaat fest, dass die dortige Rechtslage ein Datenschutzniveau aufweist, das mit dem der EU vergleichbar ist. Solche existieren momentan unter anderem für Japan, Kanada, Uruguay, die Schweiz und Neuseeland. In diese Länder ist die Übermittlung personenbezogener Daten ohne zusätzliche Maßnahmen möglich. Daneben existiert die Möglichkeit des Abschlusses von Standardvertragsklauseln oder verbindlichen internen Datenschutzvorschriften (BCR), Art. 46 DSGVO. In Ausnahmefällen ist zum Beispiel auch eine ausdrückliche Einwilligung sowie die Erforderlichkeit zur Vertragserfüllung bei gelegentlicher Verarbeitung möglich, Art. 49 DSGVO. Werden personenbezogene Daten ohne Einhaltung dieser Regelungen in ein Drittland übermittelt, drohen empfindliche Bußgelder. Die Anforderungen an den internationalen Datentransfer haben wir hier für Sie zusammengestellt.

Am 16.07.2020 hat der EuGH mit dem „Schrems II“-Urteil (C-311-18) endgültig entschieden, dass in den USA kein angemessenes Datenschutzniveau besteht, und erklärte in der Folge das – im Jahr 2016 vereinbarte – sogenannte EU-US Privacy Shield für ungültig. Dieses Abkommen hatte bis dahin als Angemessenheitsbeschluss der Europäischen Kommission nach Artikel 45 DSGVO fungiert. Zugleich hat der EuGH in seiner Entscheidung die für alle Datenübermittlungen in Drittländer geltenden Anforderungen aus den Artikel 44 ff. DSGVO konkretisiert. Mehr Details zu der Entscheidung finden Sie hier.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Die neuen Standardvertragsklauseln

Um einen Teil der sich aus „Schrems II“ ergebenen Anforderungen zu adressieren, hat die Europäische Kommission am 04.06.2021 die finale Fassung der neuen Standardvertragsklauseln veröffentlicht, siehe Beschluss 2021/914/EU. Diese stellen eine wichtige Neuerung für Unternehmen dar.

Die wichtigsten Neuerungen auf einen Blick:

  • Modularer Aufbau mit zwei neuen Konstellationen: decken die meisten Situationen ab
  • Datenexporteur:in: in der EU
  • Datenimporteur:in: im Drittland
  • Optionale Kopplungsmöglichkeit (Klausel 7): Beitritt zu den Standardvertragsklauseln durch weitere Parteien
  • Haftung für Verletzung von Betroffenenrechten (Klausel 12 lit. b)
  • Neue Pflichten ausgehend vom EuGH-Urteil (Klausel 14 und 15) – außer bei Modul 4
  • Bis zum 26.09.2021 können noch alten Standardvertragsklauseln abgeschlossen werden, bis zum 27.12.2022 müssen alte Klauseln durch neue ersetzt werden.

Die Klauseln sehen einen neuen, modularen Ansatz vor. Sie erlauben es, verschiedene Konstellationen mit mehreren Vertragspartner:innen abzubilden und ermöglichen damit eine flexible Vertragsgestaltung. Sie setzen sich aus allgemeinen, in jedem Fall zu berücksichtigenden Bestimmungen und zusätzlichen Modulen für bestimmte Verarbeitungskonstellationen zwischen Verantwortlichen, Auftrags- und Unterauftragsverarbeiter:innen zusammen. Des Weiteren ermöglichen die Standardvertragsklauseln die Abbildung unterschiedlicher Verarbeitungsketten und den nachträglichen Beitritt weiterer Verantwortlicher/Auftragsverarbeiter:innen. Schließlich sind die Begrifflichkeiten von Datenexporteur:innen und Datenimporteuer:innen jetzt offener gestaltet.

Der modulare Ansatz, deckt die Konstellationen zu verschiedenen Kettenübermittlungen ab, welche vormals besonders problematisch waren.

Modul 1 bestimmt die Übermittlung durch einen in der EU ansässigen Verantwortlichen an einen Verantwortlichen im Drittland.

Modul 2 erfasst Übermittlungen von einem Verantwortlichen in der EU an Auftragsverarbeiter:innen im Drittland.

Diese Anwendungskonstellationen waren bereits bekannt. Neu geschaffen wurde

Modul 3, das einen Datentransfer zwischen Auftragsverarbeiter:innen in der EU und Auftragsverarbeiter:innen im Drittland zulässt und

Modul 4, nach welchem Auftragsverarbeiter:innen mit Sitz in der EU Daten an einen Verantwortlichen im Drittland übermitteln kann.

Im Hinblick auf einen Zugriff von Behörden auf Daten bei Datenimporteur:innen obliegen diesen umfassende Benachrichtigungs- (Klausel 15.1) und Handlungspflichten (Klausel 15.2) – insbesondere zur Abwehr der behördlichen Maßnahmen. Damit bleibt eine Übermittlung in ein Drittland weiterhin unzulässig, wenn die Daten dort nicht vor dem weitreichenden Zugriff der Behörden geschützt sind.

Je nach seiner Rolle werden Datenimporteur:innen von den Standardvertragsklauseln vertraglich den wesentlichen Grundsätzen und Verpflichtungen der DSGVO unterworfen. Hierzu gehören vor allem die Bindung an die Grundsätze der Datenminimierung und Speicherbegrenzung; die Gewährleistung der Sicherheit der Datenverarbeitung und die Einhaltung von Informations-, Meldepflichten sowie Betroffenenrechten.

Die Europäische Kommission hat auch auf die Risiken für den Schutz personenbezogener Daten reagiert, die aus Vorschriften und Behördenpraktiken im Empfängerland resultieren können. Nun ist die Prüfung des Datenschutzniveaus im Drittland als explizite Pflicht in den Standardvertragsklauseln enthalten: bei einer Übermittlung von personenbezogenen Daten mittels Standardvertragsklauseln müssen Datenexporteur:innen zukünftig bewerten, ob für die vom Transfer betroffenen Daten ein angemessenes Datenschutzniveau im Empfängerland gewährleistet ist. Dabei muss nicht das allgemeine Datenschutzniveau im Empfängerland bewertet werden, sondern das konkrete Schutzniveau für die zu übertragenden Daten.

Nach Klausel 14.1 sichern die Parteien zu, die Pflichten aus den SCC erfüllen zu können. Um feststellen zu können, ob dies der Fall ist, wird eine Art Risikoüberprüfung des Datenschutzniveaus, in Form einer Datentransfer-Folgenabschätzung, im Drittland gemacht. Diese Prüfung wird auch Transfer Impact Assessment (TIA) genannt und wird gemeinsam vom/von der Datenimporteur:in und dem/der Datenexporteur:in durchgeführt. Da nach den Modulen Datenexporteur:innen nicht immer der Verantwortliche sein müssen (vgl. Modul 3), ist vorgesehen, dass diesem das TIA zur Verfügung gestellt wird. Zweck ist, dass der Verantwortliche seinen Pflichten aus der DSGVO, zum Beispiel nach Art. 28, nachkommen kann.

Für die Umsetzung des TIA wird Unternehmen als Datenexporteur:innen empfohlen das TIA gemeinsam mit dem/der Datenimporteur:in durchzuführen und diese Prüfung zu dokumentieren. Idealerweise erfolgt dabei auch eine Datenschutz-Folgenabschätzung. Zur Durchführung stellt der/die Datenexporteur:in dem/der Datenimporteur:in einen Fragebogen entsprechend der Klausel 14 zur Verfügung. Zusätzlich können auch die Empfehlungen 01/2020 des European Data Protection Board berücksichtigt werden.

Außerdem beinhalten die Standardvertragsklauseln erstmals Regelungen, mit welchen die Anforderungen an eine Auftragsverarbeitung nach Artikel 28. Abs. 3 und 4 DSGVO wirksam vereinbart werden können. Das hat nicht nur für die Auftragsverarbeitung im internationalen Kontext Relevanz.

Auch wenn die alten Standardvertragsklauseln für bereits geschlossene, unveränderte Verträge noch fortgelten, sollten Unternehmen sich auf den Wechsel frühzeitig vorbereiten – insbesondere, da ab dem 27.09.2021 für neue Datenübermittlungen ausschließlich die neuen Standardvertragsklauseln zu nutzen sind. Dazu sollten nochmals alle Datenübermittlungen in Drittländer erfasst und überprüft werden. Bereits abgeschlossene Standardvertragsklauseln sollten ebenfalls überprüft und alle auf „Schrems II“ beruhenden Schutzmaßnahmen dokumentiert und zusammengestellt werden. Es empfiehlt sich, die Rollen aller Akteure zu erfassen und am Ende einen Prozess zur Aktualisierung der Standardvertragsklauseln zu definieren.


Mehr zum Thema

Internationaler Datentransfer: Anforderungen und Entwicklungen
SCC-Generator von caralegal


Fazit

Insgesamt ist festzuhalten, dass die neuen Standardvertragsklauseln neben mehr Klarheit auch neuen Handlungsbedarf schaffen. Sie erlauben die Umsetzung der vom EuGH in „Schrems-II“ verlangten, zusätzlichen organisatorischen und vertraglichen Maßnahmen. Es ist daher wichtig, die Nutzung aller Dienstleister mit Drittlandsbezug zu überprüfen und die Umsetzung der neuen Standardvertragsklauseln zu begleiten. Unternehmen sollten auf eine ausführliche Dokumentation achten, um im Zweifel den Nachweis gegenüber den Behörden erbringen zu können.

Doch weitere Reaktionen der Aufsichtsbehörden und mögliche gerichtliche Entscheidungen sind noch abzuwarten. Wegen der komplexen Situation und der vielfältigen Fragen bei Datenübermittlungen in Drittländer ist eine individuelle Beratung dringend empfohlen. Dabei unterstützen wir Sie gerne mit unserer Expertise – sprechen Sie uns an, und wir erarbeiten gemeinsam mit Ihnen eine für Sie passende Lösung!

Erfolg im digitalen Zeitalter: Der Data Act 2024 und seine Chancen für Ihr Unternehmen

Jetzt lesen

KG Berlin: Immaterielle Schadensersatzansprüche aus Art. 82 DSGVO müssen konkret dargelegt werden

Jetzt lesen

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.