Neue Standardvertragsklauseln 2021 – das gibt es nun zu tun

Letztes Update:
03
.
10
.
2022
Lesezeit:
0
Min
Für die Übermittlung personenbezogener Daten in Drittländer wie beispielsweise die USA gibt es neue Standardvertragsklauseln, die die EU in neuer Version verabschiedet hat. Wir zeigen auf, wie Sie die neuen EU-Standardvertragsklauseln umsetzen können.
Neue Standardvertragsklauseln 2021 – das gibt es nun zu tun
Die wichtigsten Erkenntnisse
  • Neue EU-Standardvertragsklauseln für Datentransfers in Drittländer seit 27.09.2021 verpflichtend.
  • Modularer Aufbau der SCC für verschiedene Datentransferszenarien.
  • Behördenzugang zu Daten muss vom Datenimporteur gemeldet werden.
  • Frist zur Anpassung bestehender Verträge an neue SCC bis 27.12.2022.
  • Neue SCC bieten mehr Rechtssicherheit und sind DSGVO-konform.

In manchen Kreisen wurden sie lange herbeigesehnt: Die neuen EU-Standardvertragsklauseln. Sie bieten nun auch hinsichtlich des Schrems II Urteils mehr Rechtssicherheit und sind zudem DSGVO-konform. Doch sie bedeuten auch automatisch Handlungsbedarf für Unternehmen. Wir erklären, was Sie dazu wissen müssen und was es zu tun gibt.
 

Was sind EU-Standardvertragsklauseln?

Standardvertragsklauseln, kurz auch SCC genannt (aus dem Englischen für „Standard Contractual Clauses“) werden für Datentransfers personenbezogener Daten in Drittländer außerhalb der EU benötigt. In diesen Drittländern gilt die DSGVO nicht, also braucht es für einen Datentransfer andere Datenschutzgarantien für ein angemessenes Datenschutzniveau. Hier greifen die SCC: Für die Datenübermittlung personenbezogener Daten in Drittländer sollen sie ein Datenschutzniveau garantieren, welches dem der DSGVO gleich ist. 

Abgeschlossen werden die Standardvertragsklauseln zwischen Verantwortlichen und der Stelle im Ausland, an die die Daten fließen – dies ist meist auch ein Unternehmen oder ein Online-Dienst wie Mailchimp.

Verantwortliche können hierbei auf von der Europäischen Kommission verabschiedete Vertragsmuster zurückgreifen, die für Neuverträge verpflichtend bis zum 27.09.2021 abgeschlossen werden müssen. Aber wer braucht SCC?

Datenschutzrechtlich immer auf dem neusten Stand 

In der Welt des Datenschutzes gibt es nahezu täglich Neuerungen oder Aktualisierungen der gesetzlichen Regelungen. Hierbei ist es wichtig, immer auf dem neusten Stand zu bleiben und entsprechend zu agieren. Mithilfe einer Datenschutzsoftware können Sie nicht nur zuverlässig arbeiten, sondern auch Zeit und Ressourcen sparen.

Wofür werden die DSGVO-Standardvertragsklauseln benötigt?

Für die Übermittlung personenbezogener Daten in ein Nicht-EU-Land bedarf es zwei Dinge:

  • Eine gültige Rechtsgrundlage
  • Eine geeignete Garantie im Sinne des Art. 44 ff DSGVO.

Diese Garantie wird, wie eingangs bereits erwähnt, beispielsweise durch den Abschluss von Standardvertragsklauseln gewährleistet. Für manche Drittländer hat die EU-Kommission durch den sogenannten Angemessenheitsbeschluss für solche Garantien gesorgt. Für die Drittländer, für die es keine solchen Beschlüsse gibt, müssen SCC abgeschlossen werden.
In der Praxis werden DSGVO-Standardvertragsklauseln beispielsweise benötigt, wenn:

  • Sie eine Software oder eine Dienstleistung verwenden, die personenbezogene Daten in ein Nicht-EU-Ausland übermittelt, wie bei Google Analytics oder YouTube.
  • Sie eine Software oder eine Dienstleistung anbieten und mit Freelancer:innen arbeiten, die im Nicht-EU-Ausland sitzen. Dies ist beispielsweise bei Programmierer:innen, die aus dem Ausland arbeiten oder bei nicht inländischen Callcentern der Fall.

Was hat sich bei den neuen EU-Standardvertragsklauseln geändert?

Die neuen EU-Standardvertragsklauseln sind hinsichtlich der Gestaltung der Datentransfers in Drittländer flexibler, allerdings auch umfangreicher. Im Wesentlichen haben sich folgende Punkte gegenüber den alten SCC geändert:

  • Modularer Aufbau: Dieser neue Aufbau bricht die bisherige lineare Konstellation zwischen Verantwortlichen und Verantwortlichen, beziehungsweise Verantwortlichen und Auftragsverarbeitern auf. Nun gibt es für verschiedene Anwendungsfälle Module, aus denen bei dem Abschluss einer SCC ausgewählt werden kann. Diese gestalten sich wie folgt:
    • Modul 1: Datenübermittlung zwischen zwei Verantwortlichen.
    • Modul 2: Datenübermittlung Verantwortlicher an Auftragsverarbeiter.
    • Modul 3: Datenübermittlung von einem Auftragsverarbeiter an einen (Unter-)Auftragsverarbeiter.
    • Modul 4: Datenübermittlung (Rückübermittlung) Auftragsverarbeiter innerhalb der EU an einen Verantwortlichen im Drittland.
  • Behördenzugang zu Daten: Wollen Behörden Zugang zu den übertragenen Daten, so muss sich nun der Datenimporteur darum kümmern, dass der Datenexporteur und eventuell betroffene Personen diesbezüglich informiert werden.
  • Kopplungsklausel: Standardvertragsklauseln können jetzt auch zwischen mehr als zwei Parteien geschlossen werden. Zudem können dritte Parteien unter bestimmten Umständen bereits geschlossenen SCCs beitreten.

Ab wann müssen die neuen Standardvertragsklauseln genutzt werden?

Für die Verwendung der neuen DSGVO-Standardvertragsklauseln gibt es zwei wichtige Fristen zu beachten:

  • 27.09.2021: Bis spätestens zu diesem Datum müssen alle neuen Verträge mit den neuen SCC abgeschlossen werden. Die Verwendung der alten Standardvertragsklausel-Vorlagen ist dann nicht mehr zulässig.
  • 27.12.2022: Über ein Jahr haben nun alle Verantwortlichen Zeit, die alten Standardvertragsklauseln ihres Unternehmens anzupassen und die neuen Vorlagen zu verwenden. Wird dieses Datum überschritten, können Bußgelder die Folge sein.

Konkret bedeutet das, dass alle bereits bestehenden SCC angepasst werden müssen. Wenn neue Standardvertragsklauseln abgeschlossen werden, gehen Sie wie folgt vor:

  • Achten Sie darauf, das richtige der vier Module auszuwählen und zu verwenden.
  • Führen Sie vor dem Abschluss die bereits angesprochene Risikoanalyse durch. Um hier auf der rechtlich sicheren Seite zu stehen, ziehen Sie hier unbedingt Ihren Datenschutzbeauftragten hinzu.
  • Dokumentieren Sie zudem alle unternommenen Schritte ausführlich, denn die neuen SCC beinhalten auch eine umfassende Dokumentationspflicht.
  • Beachten Sie die Fristen!

Viele große Unternehmen stellen Ihre eigenen SCC zur Verfügung. Haben Sie ein solches nicht, dann finden Sie das Muster für die Standardvertragsklauseln hier:

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Beratung vereinbaren
Themen
Redaktion
Alexander Ingelheim
Co-Founder & CEO
Alexander Ingelheim ist Co-Gründer und CEO von Proliance. Sein Antrieb von Anfang an: Unternehmen bei den Hürden und Herausforderungen des Themas Datenschutz und der DSGVO zu unterstützen. Er bringt umfassende Erfahrungen aus seiner Tätigkeit in der internationalen Beratung mit, darunter Positionen bei Bregal Unternehmerkapital GmbH und McKinsey & Company. Darüber hinaus ist er zertifizierter Datenschutzbeauftragter (TÜV & DEKRA).
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!