Neue Standardvertragsklauseln

Von Alexander BuglAllgemein

Neue Standardvertragsklauseln

Die Europäische Kommission hat am 4. Juni 2021 ein neues Vertragswerk für die Übermittlung personenbezogener Daten an Empfänger in Staaten außerhalb der EU verabschiedet, die sogenannten Standardvertragsklauseln.

Bestehende Datenschutzverträge auf Basis der alten Standardvertragsklauseln müssen jetzt an das neue Recht angepasst werden. Unternehmen dürfen noch für einen Übergangszeitraum von drei Monaten ab Veröffentlichung der neuen Standardvertragsklauseln im EU-Amtsblatt Datenübermittlungsverträge auf Basis der alten Klauseln abschließen (Stichtag: 27.09.2021). Spätestens innerhalb von 18 Monaten (bis 27.12.2022) ab dem Veröffentlichungsdatum müssen aber alle Verträge auf die neuen Standardvertragsklauseln umgestellt sein. Unsere Empfehlung: Sollten Sie derzeit in Vertragsverhandlungen oder in Planung sein, einen neuen Dienstleister in einem Drittland einzusetzen, verwenden Sie auch schon heute nur noch die neuen Standardvertragsklauseln.

Anforderungen und “Neues”:

  1. Zu prüfen ist, ob der Datenimporteur angesichts der rechtlichen Situation im Drittland in der Lage ist, die vertraglichen Regelungen insbesondere zum Schutz vor unverhältnismäßigen Behördenzugriffen einzuhalten. Das Ergebnis dieser Prüfung und eventuell zum Schutz der Daten ergriffene technische und organisatorische Maßnahmen (z.B. Verschlüsselung) müssen die Parteien dokumentieren und der für das datenexportierende EU-Unternehmen zuständigen Aufsichtsbehörde auf Verlangen vorlegen.
  2. Der Datenimporteur muss sich außerdem gegen behördliche Informationsersuchen im rechtlich möglichen Ausmaß zur Wehr setzen und den Datenexporteur sowie betroffene Personen darüber informieren. Der Datenimporteur ist darüber hinaus dazu verpflichtet, dem Datenexporteur mitzuteilen, wenn er sich zum Schutz der Daten vor Behördenzugriffen nicht (länger) in der Lage sieht. Bei Erhalt einer solchen Benachrichtigung muss der Exporteur die Datenübermittlung einstellen, es sei denn die Aufsichtsbehörde erlaubt ihre Fortsetzung.
  3. Ein pragmatisches und voraussichtlich nützliches Novum sind die sogenannten „docking clauses“, die den Beitritt weiterer Parteien zu den Standardvertragsklauseln ermöglichen sollen.
  4. Neu ist auch, dass die Standardvertragsklauseln eine Haftung der Parteien für Pflichtverletzungen nicht nur gegenüber den betroffenen Personen vorsehen, sondern auch im Verhältnis zueinander. Ob die Parteien diese Haftung im Innenverhältnis ausschließen oder zumindest begrenzen können, z.B. um sie an das ansonsten zwischen ihnen geltende Haftungsregime anzupassen, ist unklar.
  5. Darüber hinaus ist wichtig zu erwähnen, dass die neuen Standardvertragsklauseln bereits die Anforderungen an einen Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO erfüllen. Ein Abschluss eines zusätzlichen Auftragsverarbeitungsvertrages mit dem Drittland entfällt daher.

Wichtig:

Wenn in einem Drittland wie z.B. den USA, China oder Russland das nicht nur theoretische Risiko besteht, dass Sicherheitsbehörden in unverhältnismäßiger Weise auf die übermittelten Daten zugreifen können, und sich dieses Risiko auch nicht durch zusätzliche Maßnahmen wie z.B. eine Verschlüsselung der Daten ausschließen lässt, können auch die neuen Standardvertragsklauseln den Datentransfer nicht legitimieren.

Die neuen Standardvertragsklauseln sind modular aufgebaut, d. h. statt verschiedener Standardvertragsklausel-Formulare, gibt es in Zukunft nur eine Version, die diese vier Modulen beinhaltet, siehe Grafik:

Modul 1: Datenübermittlungen von Verantwortlichen zu Verantwortlichen
VerantwortlicherVerantwortlicher

DSGVO anwendbar Drittland

Modul 2: Datenübermittlungen von Verantwortlichen an Auftragsverarbeitern
VerantwortlicherAuftragsverarbeiter

DSGVO anwendbar Drittland

Modul 3: Datenübermittlungen von Auftragsverarbeitern an weitere Auftragsverarbeiter
Auftragsverarbeiter(Sub)Auftragsverarbeiter

DSGVO anwendbar Drittland

Modul 4: Datenübermittlungen von Auftragsverarbeitern an Verantwortliche
AuftragsverarbeiterVerantwortlicher

DSGVO anwendbar Drittland

Handlungsanweisung:

  1. Prüfen Sie, mit welchen Unternehmen Sie bereits Standardvertragsklauseln geschlossen haben bzw. welche Unternehmen in Drittländern für Sie personenbezogene Daten verarbeiten (Anhaltspunkte: Liste der Auftragsverarbeiter und Verarbeitungsverzeichnis)
  2. Kontaktieren Sie diese Unternehmen und hängen Sie die neuen Standardvertragsklauseln, als Dokument an (https://eur-lex.europa.eu/legalcontent/DE/TXT/PDF/?uri=CELEX:32021D0914&from=DE). Weisen Sie Ihre Vertragspartner auf die notwendigen Änderungen hin. (Bei Globalplayern wie z.B. Microsoft gehen wir davon aus, dass diese selbstständig die Service Terms ändern; daher hier zunächst abwarten)
  3. Dokumentieren Sie zusätzliche Maßnahmen, die der Datenimporteur gewährleisten kann (z.B. Verschlüsselung)
  4. Sofern noch nicht vorhanden, führen Sie eine Liste mit allen Dienstleistern/Kooperationspartnern/Lieferanten, die in einem Drittland agieren und vermerken Sie, mit welchen Sie bereits die neuen Vertragsklauseln abgeschlossen haben und welche noch zu “erledigen” sind.