Standardvertragsklauseln im Datenschutz: 6 To-Dos für Unternehmen
September 25, 2023
7 min
Standardvertragsklauseln (SCCs) bieten einen rechtlichen Rahmen für die Datenübermittlung in Drittländer.
Die neuen SCCs sind seit Juni 2021 verfügbar und ab dem 27. Dezember 2022 verpflichtend.
Unternehmen müssen die Rechtslage in Drittländern prüfen und gegebenenfalls zusätzliche Sicherheitsmaßnahmen ergreifen.
Eine regelmäßige Überprüfung und Dokumentation des gesamten Prozesses ist erforderlich.
Nach wie vor herrscht erhebliche rechtliche Unsicherheit bei der Übermittlung personenbezogener Daten in Drittländer wie die USA. Wo ursprünglich das Safe-Harbor-Abkommen (aufgehoben durch „Schrems I“) beziehungsweise das hierauf folgende EU-US Privacy Shield (aufgehoben durch „Schrems II“) die Datenübermittlung absichern sollten, bilden die neuen EU-Standardvertragsklauseln (auch Standarddatenschutzklauseln genannt oder auf Englisch: „Standard Contractual Clauses“, im Folgenden als „SCC“ bezeichnet) nun einen weiteren Entwicklungsschritt im Rahmen der möglichen datenschutzrechtlichen Legitimation von Drittlandübermittlungen.
Dieser Entwicklungsschritt wurde durch den Durchführungsbeschluss der Europäischen Kommission vom 04.06.2021 zu den SCC getätigt.
In diesem Artikel lesen Sie:
- welche Maßnahmen die Datenübermittlung an Drittländer absichern
- welche Standardvertragsklauseln (SCCs) Sie verwenden müssen
- welche Schritte Sie bei der Übermittlung von Daten an Drittländer konkret vornehmen müssen
Maßnahmen der Absicherung von Drittlandübermittlungen
Übermittlungen von personenbezogenen Daten in Drittländer, also Länder außerhalb der EU oder des EWR, müssen gemäß Art. 44 ff. DSGVO besonders abgesichert werden.
Hintergrund dieser Regelung ist, dass das Schutzniveau für natürliche Personen, welches die DSGVO statuiert, nicht durch etwaige Übermittlungen in Drittstaaten untergraben werden soll. Die Art. 44 ff. DSGVO sehen verschiedene Optionen vor, Drittlandübermittlungen von personenbezogenen Daten datenschutzrechtlich zu legitimieren.
Angemessenheitsbeschlüsse als Absicherung
Eine Option sind sogenannte Angemessenheitsbeschlüsse. Bei einem Angemessenheitsbeschluss, wie etwa dem Angemessenheitsbeschluss vom 28.06.2021 für das Vereinigte Königreich, kann die Europäische Kommission nach entsprechender Prüfung beschließen, dass das jeweilige Drittland ein angemessenes Schutzniveau für die Verarbeitung von personenbezogenen Daten bietet.
Da eine zentrale Prüfung des Schutzniveaus durch die Europäische Kommission vorgenommen wurde, bedarf es bei einer Datenübermittlung in diese Länder keiner eigenen Überprüfungen durch den Verantwortlichen. Derzeit existieren Angemessenheitsbeschlüsse für folgende Drittländer: Andorra, Argentinien, Kanada (eingeschränkt), Färöer Inseln, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland, Schweiz, Uruguay, Vereinigtes Königreich.
Binding Corporate Rules (BCRs) als Absicherung
Eine weitere Option für die Absicherung der Übermittlung personenbezogener Daten in Drittländer sind Binding Corporate Rules (BCRs). Binding Corporate Rules beziehen sich auf konkrete Übermittlungen etwa innerhalb von Unternehmensgruppen und sind daher sehr spezifisch. Besonders bei BCRs ist, dass stets die Aufsichtsbehörde zu involvieren ist. Aufgrund dieses Aufwands kommen Binding Corporate Rules zur Absicherung der Drittlandübermittlungen für Unternehmen häufig nicht infrage.
Die meisten Unternehmen, die personenbezogene Daten in Drittländer übermitteln wollen, für die kein Angemessenheitsbeschluss vorliegt, greifen daher auf Standardvertragsklauseln zurück.
Was sind Standardvertragsklauseln?
Standardvertragsklauseln sind „Musterverträge“, die durch ihren standardisierten und unabdingbaren Inhalt spezifische Rahmenbedingungen für die Übermittlung der personenbezogenen Daten in Drittländer vorgeben. Eine individuelle Genehmigung durch die Aufsichtsbehörden für die Übermittlung ist daher nicht erforderlich.
Die „alten“ Standardvertragsklauseln von 2001 und 2010 entstammen noch den Regelungen der Datenschutzrichtlinie (DSRL) und sind damit „älter“ als die DSGVO. Sie werden jedoch zum 27. September 2021 aufgehoben. Nach dem Ablauf einer Übergangsfrist, die am 27. Dezember 2022 endet, dürfen für die Übermittlung personenbezogener Daten in Drittländer ausschließlich die „neuen“ Standardvertragsklauseln verwendet werden.
Bei dem Abschluss von Neuverträgen oder Vertragsänderungen ist darauf zu achten, dass bereits ab dem 27. September 2021 die neuen Standardvertragsklauseln zu verwenden sind.
Standardvertragsklauseln: Modularer Aufbau für typische Szenarien
Die neuen Standardvertragsklauseln sind nur ein einziges Dokument, welches jedoch durch seinen modularen Aufbau für viele verschiedene typische Verarbeitungskonstellationen verwendbar ist. Folgende Szenarien sind durch die Module abgedeckt:
- MODUL EINS: Übermittlung von Verantwortlichen an Verantwortliche
- MODUL ZWEI: Übermittlung von Verantwortlichen an Auftragsverarbeiter
- MODUL DREI: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter
- MODUL VIER: Übermittlung von Auftragsverarbeitern an Verantwortliche
Ferner ist bei den neuen SCCs besonders, dass in ihnen mehr als zwei Parteien involviert sein können und sie zum Teil die Regelungen des Art. 28 DSGVO bereits beinhalten. Daher ist es bei einzelnen Modulen nicht mehr erforderlich, einen zusätzlichen Auftragsverarbeitungsvertrag zu schließen.
Wie auch schon unter den alten Standardvertragsklauseln wird der Verantwortliche durch die Klauseln nicht von seiner Pflicht frei, betroffene Personen entsprechend der Art. 13 ff. DSGVO zu informieren und die Rechtslage im entsprechenden Drittland zu prüfen und die Drittlandübermittlung gegebenenfalls durch zusätzliche ergänzende Maßnahmen abzusichern.
Welche Schritte muss man konkret vornehmen?
1. Schritt: Überblick über die eigenen Verarbeitungstätigkeiten verschaffen
Im ersten Schritt sollten sich Unternehmen einen Überblick verschaffen, bei welchen Verarbeitungstätigkeiten personenbezogene Daten in Drittländer übermittelt werden („Know your transfers“). Für die Gewinnung einer solchen Übersicht kann es sinnvoll sein, das Verarbeitungsverzeichnis gemäß Art. 30 DSGVO heranzuziehen.
2. Schritt: Klärung der Rechtsgrundlagen für die Übermittlung von personenbezogenen Daten in Drittländer
Im zweiten Schritt ist zu klären, auf welcher rechtlichen Basis die Übermittlung personenbezogener Daten in das Drittland erfolgt. Dies ergibt sich aus den Art. 44. ff. DSGVO. Basiert die Übermittlung nicht auf einem Angemessenheitsbeschluss und ist auch nicht eine Ausnahme gemäß Art. 49 DSGVO einschlägig, könnten die Standardvertragsklauseln zum Einsatz kommen („verify the transfer tool your transfer relies on“).
3. Schritt: Bewertung der Rechtsvorschriften der Drittländer und gegebenenfalls Prüfung von Alternativen innerhalb der Europäischen Union
Im dritten Schritt ist die Bewertung der Rechtsvorschriften und Gepflogenheiten im entsprechenden Drittland vorzunehmen, um herauszufinden, ob im Einzelfall eine Übermittlung personenbezogener Daten erfolgen darf.
Zunächst ist zu klären, welche nationalen Rechtsvorschriften für die entsprechende Übermittlung einschlägig sind. Hierbei sind insbesondere die Art der Daten, die exportiert werden, die Art des Transfers und weitere konkrete Umstände zu berücksichtigen.
Ferner fließt in die Gesamtbewertung mit ein, ob etwa eine unabhängige Datenschutzbehörde im entsprechenden Drittland besteht und effektive Rechtsschutzmöglichkeiten für Betroffene gegeben sind. Für die Gesamtbewertung ebenfalls entscheidend ist, ob nationale Rechtsvorschriften beispielsweise zwar dem Grundsatz nach den europäischen Vorgaben entsprechen, faktisch jedoch nicht angewendet beziehungsweise eingehalten werden oder die Rechtsvorschriften und Gepflogenheiten bereits dem Grundsatz nach gegen die Vorgaben aus den Standardvertragsklauseln verstoßen.
Auf etwaige Zugriffsmöglichkeiten von nationalen Behörden oder anderen Ländern, die mit oder ohne Kenntnis des Importeurs erfolgen, ist besonders zu achten („assess“). Wir empfehlen darüber hinaus, in diesem Schritt zusätzlich zu prüfen, ob Vertragspartner in Betracht kommen, die bei der Durchführung der gewünschten Dienstleistungen personenbezogene Daten ausschließlich innerhalb der Europäischen Union verarbeiten, das heißt in kein Drittland übermitteln. Denn wenn auf einen Dienstleister zurückgegriffen wird, der keine Übermittlung personenbezogener Daten in Drittländer auf Basis der Standardvertragsklauseln übermittelt, entfällt der folgende 4. Schritt („Prüfung von zusätzlichen Maßnahmen“).
Da die Einhaltung der Anforderungen an eine Drittstaatsübermittlung anspruchsvoll und teils nur kaum möglich ist, kann das Zurückgreifen auf einen Dienstleister, der keine personenbezogenen Daten in Drittländer übermittelt, wertvolle Ressourcen und Zeit sparen.
4. Schritt: Prüfung von zusätzlichen Maßnahmen
Abhängig von der Bewertung sind im vierten Schritt gegebenenfalls ergänzende Maßnahmen für die Absicherung des Transfers zu treffen („Adopt supplementary measures“). Diese sind zu dokumentieren und auf Anfrage auch der zuständigen Behörde vorzulegen.
Solche ergänzenden Maßnahmen können technischer, organisatorischer oder auch vertraglicher Natur sein. Grundsätzlich aber dürften zumindest technische Maßnahmen erforderlich sein. Derartige technische Maßnahmen können etwa entsprechend sichere Verschlüsselungen sein, bei denen der Key beim Exporteur in der EU aufbewahrt wird oder die Pseudonymisierung von Daten innerhalb der EU.
Vertragliche Maßnahmen könnten etwa die Zusicherung des Importeurs beinhalten, keine „back doors“ für Behörden in die Software einzubauen. Hier lassen sich jedoch keine generellen Empfehlungen geben, sondern es ist eine Einzelfallentscheidung erforderlich.
5. Schritt: Regelmäßige Überprüfung, ob das angemessene Schutzniveau noch sichergestellt ist
Im fünften Schritt überprüft das datenexportierende Unternehmen regelmäßig die aktuelle Entwicklung des Drittlandes und überwacht, ob das angemessene Schutzniveau noch gewährleistet ist („Re-evaluate at appropriate intervals“).
Sollte das Unternehmen zu dem Ergebnis kommen, dass das angemessene Schutzniveau nicht mehr gewährleistet ist (etwa weil sich die Rechtsordnung des Drittlandes hinsichtlich des Umgangs mit personenbezogenen Daten zuungunsten der betroffenen Personen entwickelt hat), muss es die Übermittlung umgehend aussetzen bzw. beenden.
6. Schritt: Dokumentation des gesamten Prozesses
Es empfiehlt sich als letzten Schritt den gesamten hier geschilderten Prüfungs- und Überwachungsprozess zu dokumentieren, um im Falle der Überprüfung durch eine Aufsichtsbehörde den entsprechenden Nachweis erbringen zu können.
Neue Standardvertragsklauseln: Unser Fazit
Ob die neuen Standardvertragsklauseln tatsächlich einen Fluch oder eher einen Segen für Unternehmen darstellen, bleibt abzuwarten. Der faktische Aufwand in Bezug auf die ergänzenden Maßnahmen ist weitestgehend identisch. In Bezug auf den Transfer in die USA existieren bereits erste Vermutungen zu einem „Privacy Shield II – Abkommen“, weswegen es weiterhin spannend bleibt.
SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.
Compliance, completed
Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office