Kontakt

GDPR-Updates, die Sie nicht ignorieren können: Die neuen Standardvertragsklauseln im Detail

Neue EU-Standardvertragsklauseln: Sicherere Datenübermittlungen in Drittländer?

Tick-Tack... haben Sie das gehört? Das war das Geräusch einer verpassten Frist. Am 27. Dezember 2022 wurden die standardvertraglichen Datenschutzklauseln (SCC) der EU offiziell bindend - ein Aufruf an Unternehmen auf der ganzen Welt. Überraschenderweise haben zahlreiche Unternehmen, von kleinen Start-ups bis hin zu großen Konzernen, diese Änderungen noch nicht umgesetzt. Könnte das auch auf Sie zutreffen?

Die im Juni 2021 angenommenen neuen SCC bringen eine Welle der Veränderung in unsere digitale Welt und revolutionieren die Art und Weise, wie wir Datenübertragungen, insbesondere über Grenzen hinweg, handhaben. Wenn Sie noch zögern oder nicht vollständig über die Implikationen dieser Änderungen informiert sind, sind Sie hier genau richtig. Dieser Beitrag ist Ihr Weckruf - ein umfassender Leitfaden zum Verständnis dieser entscheidenden Anpassungen, ihrer Auswirkungen und warum es an der Zeit ist, dass Ihr Unternehmen auf den Compliance-Zug aufspringt. Lesen Sie weiter, denn die Welt der DSGVO verändert sich, und die Zeit zum Handeln ist jetzt! Lassen Sie uns Ihnen bei den Details helfen.

Die Klauseln führen bedeutende Änderungen ein:

  1. Aktualisierung der DSGVO: Die bisherigen Klauseln wurden vor der Einführung der DSGVO verfasst. Die neuen Klauseln enthalten aktualisierte Formulierungen, die die zusätzlichen Anforderungen der EU-DSGVO widerspiegeln, einschließlich der Grundsätze der Datenminimierung, der Zweckbindung und der Speicherbegrenzung.
  2. Anpassung an die digitale Wirtschaft: Online-Datenübertragungen gibt es in mehr Varianten als bisher angedacht und werden durch Standardvertragsklauseln abgedeckt, welche sich auf verschiedene Arten der Datenübermittlung beziehen (siehe unten).
  3. Alle Datenverarbeitungen: Die neuen Klauseln erfordern keine Datenverarbeitungsvereinbarung mehr, wie in Artikel 28 DSGVO vorgesehen. Die neuen Klauseln sind unabhängig gültig und decken Datenübermittlungen sowie die gesamte Datenverarbeitung ab. Dies könnte ein großer Vorteil für Unternehmen sein, welche die neuen Klauseln als einen einzigen Vertrag verwenden, der alle Aspekte der Verarbeitung abdeckt.
  4. Umfangreichere und detailliertere TOMs-Pflichten: Die neuen Klauseln enthalten umfangreichere und detailliertere Anforderungen in Form einer Umsetzung geeigneter technischer und organisatorischer Maßnahmen („TOMs“) zum Schutz personenbezogener Daten bei Datenübertragungen.
  5. Rechenschaftspflicht, Transparenz und Zusammenarbeit: Die neuen Klauseln heben Rechenschaftspflicht und Transparenz hervor und enthalten Anforderungen an Datenverantwortliche und -verarbeiter, Aufzeichnungen über Verarbeitungsaktivitäten zu führen und mit Aufsichtsbehörden zusammenzuarbeiten.
  6. Einige Änderungen sind zulässig: Es ist einfacher geworden, neue Standardvertragsklauseln geringfügig anzupassen und zu integrieren, solange diese Änderungen nicht zu einer Verringerung eines angemessenen Schutzniveaus führen: "Die Parteien können die SCC durch zusätzliche Klauseln ergänzen oder sie in einen umfassenderen Handelsvertrag miteinbeziehen, solange die anderen Vertragsbestimmungen den SCC weder direkt noch indirekt widersprechen oder die Rechte der betroffenen Personen beeinträchtigen." (FAQ der Europäischen Kommission)
  7. Einfachere Hinzufügung von Parteien dank der "Docking"-Klausel: Parteien können die fakultative, vorformulierte "Docking"-Klausel verwenden, um den Beitritt von Dritten zum Vertrag effizienter zu gestalten.
  8. Weitere Varianten für verschiedene Datenübertragungsarten über andere Module:
    1. Controller zu Controller (C2C – Modul 1): Diese Klauseln werden verwendet, wenn zwei Data Controller in unterschiedlichen rechtlichen Zuständigkeitsbereichen personenbezogene Daten übermitteln.
    2. Controller zu Verarbeiter (C2P – Modul 2): Diese Klauseln werden verwendet, wenn ein Data Controller in der EU personenbezogene Daten an einen Datenverarbeiter außerhalb der EU übermittelt.
    3. (Unter-) Auftragsverarbeiter an (Unter-) Auftragsverarbeiter (P2P – Modul 3): Diese Klauseln werden verwendet, wenn ein Datenverarbeiter in der EU einen Unterauftragsverarbeiter außerhalb der EU beauftragt.
    4. Auftragsverarbeiter an Controller (P2C – Modul 4): Diese Klauseln werden verwendet, wenn ein Datenverarbeiter außerhalb der EU personenbezogene Daten an einen Data Controller in der EU übermittelt.

Jeder Satz Klauseln enthält spezifische Bestimmungen, die auf die jeweilige Art der durchgeführten Übertragung zugeschnitten sind. Beispielsweise können C2C-Klauseln Bestimmungen zur gemeinsamen Datenverantwortlichkeit enthalten. Im Gegensatz dazu können C2P-Klauseln Bestimmungen zu Datenverarbeitungsanweisungen und Sicherheitsmaßnahmen enthalten.

Für Unternehmen ist es von entscheidender Bedeutung, sicherzustellen, dass sie die richtigen Klauseln für ihr individuelles Datenübermittlungsszenario verwenden und überprüfen, ob alle Verpflichtungen und Anforderungen in Übereinstimmung mit der EU-DSGVO erfüllt werden. Allerdings kann es schwierig sein, festzustellen, welches Szenario in einem bestimmten Datenverarbeitungskontext zutrifft, beispielsweise in der Entscheidung des EuGH zur Facebook-Fanpage.

Zwar handelt es sich bei den neuen Standardvertragsklauseln um „vorgefertigte“ Muster, sie sind aber bei weitem nicht sicher genug: Auch ihre ordnungsgemäße Anwendung ist durch die Schrems-II-Entscheidung, die ein „im Wesentlichen gleichwertiges“ Datenschutzniveau in Drittstaaten vorschreibt, deutlich schwieriger geworden. Daher ist es bei der Nutzung von Standardvertragsklauseln zum Schutz einer Datenübermittlung außerhalb der EU zwingend erforderlich, wesentliche Punkte zu berücksichtigen:

  1. Welche Gesetze des Ziellandes regeln die jeweilige Datenübermittlung?
  2. Wie wirken sich die einschlägigen Gesetze auf den Datenschutz aus? Untergraben diese Gesetze die Garantien der Standarddatenschutzklauseln für internationale Datentransfers?
  3. Es ist unbedingt erforderlich, jede einzelne Datenübermittlung zu analysieren und festzustellen, welche Drittlandgesetze dafür geltend sind. Dies gilt auch für alle weiteren Empfänger dieser Daten.

Insgesamt sind die neuen EU-DSGVO-Standardvertragsklauseln so konzipiert, dass sie hervorragenden Schutz und Flexibilität bei der Übermittlung personenbezogener Daten im Einklang mit den EU-DSGVO-Anforderungen bieten. Dennoch werden Datenübermittlungen außerhalb des EWR immer komplexer und riskanter. Wir empfehlen daher einen Blick in die FAQ der Europäischen Kommission.

Legende Deutsch:

SCC: Standard Contractual Clauses (Standardvertragsklauseln) – Standardisierte Vertragsklauseln, die von der Europäischen Kommission entwickelt wurden, um den Schutz personenbezogener Daten bei der Übertragung zwischen EU-Mitgliedstaaten und Drittländern sicherzustellen.

GDPR: General Data Protection Regulation (Datenschutz-Grundverordnung) – Eine Datenschutzverordnung der Europäischen Union, die den Schutz personenbezogener Daten von EU-Bürgern regelt und einheitliche Datenschutzstandards in der gesamten EU einführt.

C2P: Consumer-to-Platform (Verbraucher-zu-Plattform) – Eine Geschäftsbeziehung, bei der Verbraucher Dienstleistungen oder Produkte von einer Plattform beziehen, die von einem Unternehmen bereitgestellt wird.

EEA: European Economic Area (Europäischer Wirtschaftsraum) – Ein Binnenmarkt, der den freien Verkehr von Waren, Dienstleistungen, Kapital und Personen zwischen den Mitgliedstaaten der Europäischen Union und den Mitgliedern des Europäischen Freihandelsverbands ermöglicht.

EU: European Union (Europäische Union) – Eine politisch-wirtschaftliche Union von 27 europäischen Ländern, die die Zusammenarbeit in verschiedenen Bereichen, einschließlich Handel und Recht, fördert.

C2C: Consumer-to-Consumer (Verbraucher-zu-Verbraucher) – Eine Geschäftsbeziehung, bei der Verbraucher direkt untereinander Produkte oder Dienstleistungen kaufen, verkaufen oder austauschen.

P2C: Platform-to-Consumer (Plattform-zu-Verbraucher) – Eine Geschäftsbeziehung, bei der eine Plattform Dienstleistungen oder Produkte an Verbraucher verkauft.