Neue Standardvertragsklauseln 2021 – das gibt es nun zu tun

In manchen Kreisen wurden sie lange herbeigesehnt: Die neuen EU-Standardvertragsklauseln. Sie bieten nun auch hinsichtlich des Schrems II Urteils mehr Rechtssicherheit und sind zudem DSGVO-konform. Doch sie bedeuten auch automatisch Handlungsbedarf für Unternehmen. Wir erklären, was Sie dazu wissen müssen und was es zu tun gibt.
 

Was sind EU-Standardvertragsklauseln?

Standardvertragsklauseln, kurz auch SCC genannt (aus dem Englischen für „Standard Contractual Clauses“) werden für Datentransfers personenbezogener Daten in Drittländer außerhalb der EU benötigt. In diesen Drittländern gilt die DSGVO nicht, also braucht es für einen Datentransfer andere Datenschutzgarantien für ein angemessenes Datenschutzniveau. Hier greifen die SCC: Für die Datenübermittlung personenbezogener Daten in Drittländer sollen sie ein Datenschutzniveau garantieren, welches dem der DSGVO gleich ist. 

Abgeschlossen werden die Standardvertragsklauseln zwischen Verantwortlichen und der Stelle im Ausland, an die die Daten fließen – dies ist meist auch ein Unternehmen oder ein Online-Dienst wie Mailchimp.

Verantwortliche können hierbei auf von der Europäischen Kommission verabschiedete Vertragsmuster zurückgreifen, die für Neuverträge verpflichtend bis zum 27.09.2021 abgeschlossen werden müssen. Aber wer braucht SCC?

Datenschutzrechtlich immer auf dem neusten Stand 

In der Welt des Datenschutzes gibt es nahezu täglich Neuerungen oder Aktualisierungen der gesetzlichen Regelungen. Hierbei ist es wichtig, immer auf dem neusten Stand zu bleiben und entsprechend zu agieren. Mithilfe einer Datenschutzsoftware können Sie nicht nur zuverlässig arbeiten, sondern auch Zeit und Ressourcen sparen.

Wofür werden die DSGVO-Standardvertragsklauseln benötigt?

Für die Übermittlung personenbezogener Daten in ein Nicht-EU-Land bedarf es zwei Dinge:

• Eine gültige Rechtsgrundlage
• Eine geeignete Garantie im Sinne des Art. 44 ff DSGVO.

Diese Garantie wird, wie eingangs bereits erwähnt, beispielsweise durch den Abschluss von Standardvertragsklauseln gewährleistet. Für manche Drittländer hat die EU-Kommission durch den sogenannten Angemessenheitsbeschluss für solche Garantien gesorgt. Für die Drittländer, für die es keine solchen Beschlüsse gibt, müssen SCC abgeschlossen werden.
In der Praxis werden DSGVO-Standardvertragsklauseln beispielsweise benötigt, wenn:

• Sie eine Software oder eine Dienstleistung verwenden, die personenbezogene Daten in ein Nicht-EU-Ausland übermittelt, wie bei Google Analytics oder YouTube.
• Sie eine Software oder eine Dienstleistung anbieten und mit Freelancer:innen arbeiten, die im Nicht-EU-Ausland sitzen. Dies ist beispielsweise bei Programmierer:innen, die aus dem Ausland arbeiten oder bei nicht inländischen Callcentern der Fall.

Was hat sich bei den neuen EU-Standardvertragsklauseln geändert?

Die neuen EU-Standardvertragsklauseln sind hinsichtlich der Gestaltung der Datentransfers in Drittländer flexibler, allerdings auch umfangreicher. Im Wesentlichen haben sich folgende Punkte gegenüber den alten SCC geändert:

• Modularer Aufbau: Dieser neue Aufbau bricht die bisherige lineare Konstellation zwischen Verantwortlichen und Verantwortlichen, beziehungsweise Verantwortlichen und Auftragsverarbeitern auf. Nun gibt es für verschiedene Anwendungsfälle Module, aus denen bei dem Abschluss einer SCC ausgewählt werden kann. Diese gestalten sich wie folgt:
  • Modul 1: Datenübermittlung zwischen zwei Verantwortlichen.
  • Modul 2: Datenübermittlung Verantwortlicher an Auftragsverarbeiter.
  • Modul 3: Datenübermittlung von einem Auftragsverarbeiter an einen (Unter-)Auftragsverarbeiter.
  • Modul 4: Datenübermittlung (Rückübermittlung) Auftragsverarbeiter innerhalb der EU an einen Verantwortlichen im Drittland.
• Behördenzugang zu Daten: Wollen Behörden Zugang zu den übertragenen Daten, so muss sich nun der Datenimporteur darum kümmern, dass der Datenexporteur und eventuell betroffene Personen diesbezüglich informiert werden.
• Kopplungsklausel: Standardvertragsklauseln können jetzt auch zwischen mehr als zwei Parteien geschlossen werden. Zudem können dritte Parteien unter bestimmten Umständen bereits geschlossenen SCCs beitreten.

Ab wann müssen die neuen Standardvertragsklauseln genutzt werden?

Für die Verwendung der neuen DSGVO-Standardvertragsklauseln gibt es zwei wichtige Fristen zu beachten:

• 27.09.2021: Bis spätestens zu diesem Datum müssen alle neuen Verträge mit den neuen SCC abgeschlossen werden. Die Verwendung der alten Standardvertragsklausel-Vorlagen ist dann nicht mehr zulässig.
• 27.12.2022: Über ein Jahr haben nun alle Verantwortlichen Zeit, die alten Standardvertragsklauseln ihres Unternehmens anzupassen und die neuen Vorlagen zu verwenden. Wird dieses Datum überschritten, können Bußgelder die Folge sein.

Konkret bedeutet das, dass alle bereits bestehenden SCC angepasst werden müssen. Wenn neue Standardvertragsklauseln abgeschlossen werden, gehen Sie wie folgt vor:

• Achten Sie darauf, das richtige der vier Module auszuwählen und zu verwenden.
• Führen Sie vor dem Abschluss die bereits angesprochene Risikoanalyse durch. Um hier auf der rechtlich sicheren Seite zu stehen, ziehen Sie hier unbedingt Ihren Datenschutzbeauftragten hinzu.
• Dokumentieren Sie zudem alle unternommenen Schritte ausführlich, denn die neuen SCC beinhalten auch eine umfassende Dokumentationspflicht.
• Beachten Sie die Fristen!

Viele große Unternehmen stellen Ihre eigenen SCC zur Verfügung. Haben Sie ein solches nicht, dann finden Sie das Muster für die Standardvertragsklauseln hier:

• Standardvertragsklausel Muster zur Verwendung zwischen Verantwortlichen und Auftragsverarbeitern
• Standardvertragsklauseln für internationale Datentransfers