Zum Inhalt springen Zur Navigation springen
Neue Standardvertragsklauseln: Ende der Umstellungsfrist

Neue Standardvertragsklauseln: Ende der Umstellungsfrist

Artikel von Dr. Datenschutz·3. November 2022

Die EU-Kommission hatte Anfang Juni 2021 neue Standardvertragsklauseln (eng. Standard Contractual Clauses – SCC), veröffentlicht. Gleichzeitig setzte sie eine Umstellungsfrist bis Dezember 2022 für Altverträge. Welche Konsequenzen daraus für europäische Unternehmen mit Vertragspartnern in Drittstaaten wie den USA folgen, erklären wir im heutigen Beitrag.

Welche Fristen gibt es für die neuen Standardvertragsklauseln?

Die neuen Standardvertragsklauseln sind im Juni 2021 von der EU-Kommission verabschiedet worden und ersetzen seitdem die alten Fassungen. Die Kommission gewährte Verantwortlichen und Auftragsverarbeitern aufgrund des Organisationsaufwands für die Umstellung auf die neuen SCCs zwei Fristen:

  1. Seit dem 27.09.2021 ist die Verwendung alter Standardvertragsklauseln nicht mehr zulässig. Verträge dürfen ausschließlich auf der Grundlage des neuen Musters der Standardvertragsklauseln abgeschlossen werden.
  2. Ab dem 27.12.2022 müssen alle bestehenden Verträge auf die neuen Standardschutzklauseln umstellen.

Die neuen SCC bieten den europäischen Unternehmen größere rechtliche Vorhersehbarkeit, helfen insbesondere den kleinen und mittelgroßen Unternehmen dabei, die für eine sichere Datenübermittlungen in Drittländer geltenden Anforderungen zu gewährleisten und schaffen die ungehinderte grenzüberschreitende Datenübermittlungen ohne weitere rechtliche Schranken.

Was aber zusätzlich nicht vergessen werden darf, ist, dass nicht nur die neuen Standarddatenschutzklauseln abgeschlossen werden müssen, sondern auch jeweils bei der Verwendung von SCCs zur Übermittlung von Daten in Drittländer gegebenenfalls zusätzliche Maßnahmen ergriffen werden müssen, um ein angemessenes Schutzniveau zu gewährleisten (sog. „Transfer Impact Assessment“).

Was passiert mit den Altverträgen?

Die Umsetzungsfrist ist bindend und kann nicht verlängert werden. Das heißt, bis Ende Dezember müssen alle Altverträge durch die neuen ersetzt werden. Die Altverträge gewährleisten kein angemessenes Schutzniveau beim Datentransfer mehr. Sie werden unwirksam.

Dies lässt sich einfach erklären: In dem EuGH-Urteil „Schrems II“ hat das Gericht geurteilt, dass der bis dato existierende Angemessenheitsbeschluss „EU-US Privacy Shield“ für die Datenübermittlung in die USA ungültig ist. Gleichzeitig hat der EuGH auch die Anforderungen konkretisiert, die sich für alle Datenübermittlungen in Drittländern aus den Art. 44 ff. DSGVO ergeben.

Die neuen Standardvertragsklauseln sollen im Verhältnis zu den alten mehr Rechtssicherheit und Flexibilität beim Datentransfer in Drittländer schaffen, indem z.B. Module abgeschlossen und mehrere Datentransferkonstellationen abgedeckt werden. Die Module umfassen folgende Konstellationen:

  • Modul 1: C2C (Verantwortlicher – Verantwortlicher)
  • Modul 2: C2P (Verantwortlicher und Auftragsverarbeiter)
  • Modul 3: P2P (Auftragsverarbeiter und (Unter-)Auftragsverarbeiter) und
  • Modul 4: P2C (Auftragsverarbeiter und Verantwortlicher)

Es können sich auch zusätzliche Parteien den Verträgen zwischen zwei Parteien anschließen und die Klauseln nutzen. Ein weiterer Vorteil liegt beispielweise darin, dass zwischen Verantwortlichem und Auftragsverarbeiter (Modul 2) neben den SCCs kein weiterer Auftragsverarbeitungsvertrag nach Art. 28 Abs. 7 DSGVO geschlossen werden muss.

Reicht es aus, die alten Verträge anzupassen?

Zwar ist es möglich alte Verträge anzupassen, aber das ist erfahrungsgemäß kein pragmatischer Ansatz. Die Prüfung und Anpassung der Altverträge dürfte arbeitsintensiver und umfangreicher sein als der Abschluss neuer Verträge. Der Aufbau der alten Verträge divergiert häufig mit dem Aufbau der Neuen. Bei der Umstellung der Altverträge müsste darauf geachtet werden, dass sie in die Form der Neuverträge gegossen werden und die passenden Module jeweils abgeschlossen werden. Das obige Beispiel für Vorteile der neuen SCCs zu dem Modul 2 verdeutlicht auch, wie eine Anpassung der alten Verträge unnötigen Arbeitsaufwand produzieren kann. Denn in diesem Fall müssen die früher aufwendig geschlossenen Auftragsverarbeitungsverträge gar nicht erst geprüft werden, da der Abschluss des Modul 2 bereits ausreicht, um einen sicheren Datentransfer zu gewährleisten.

Bestenfalls haben die Unternehmen bereits in der Vergangenheit alle ihre Verträge umfangreich in einem Verzeichnis angelegt, um den Überblick nicht zu verlieren. Spätestens aber durch den Abschluss der neuen SCCs trifft sowohl die Datenexporteure als auch die Datenimporteure eine umfangreiche Dokumentationspflicht, die sich unter anderem in den Klauseln 14.d, 15.1.d und 15.2.b sowie in den Anhängen wiederfindet.

Was droht, wenn nicht rechtzeitig auf die neuen Standardvertragsklauseln umgestellt wird?

Es muss damit gerechnet werden, dass die Behörden Anfang bis Mitte des nächsten Jahres erneut eine koordinierte Prüfung zu internationalen Datentransfers durchführen werden. Dies war schon nach dem Ablauf einer Frist zum Aus des Safe-Harbor-Abkommens passiert. Ebenso prüften mehrere Landesbeauftragte für Datenschutz (bspw. Brandenburg, Hamburg, Bayern) ein Jahr nach dem Ende des Privacy Shields, ob Unternehmen die Anforderungen aus dem Schrems II Urteil bei internationalen Datentransfers umgesetzt hatten.

„Im Rahmen einer länderübergreifenden Kontrolle werden Datenübermittlungen durch Unternehmen in Staaten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums (Drittstaaten) überprüft. Das Ziel ist die breite Durchsetzung der Anforderungen des Europäischen Gerichtshofs in seiner Schrems-II-Entscheidung vom 16. Juli 2020 (Rs. C-311/18).“

Die Behörden schrieben dabei gezielt Unternehmen an und kontrollierten sie anhand eines Fragenkatalogs.

„Dabei wird es unter anderem um den Einsatz von Dienstleistern zum E-Mail-Versand, zum Hosting von Internetseiten, zum Webtracking, zur Verwaltung von Bewerberdaten und um den konzerninternen Austausch von Kundendaten und Daten der Beschäftigten gehen. Jede Aufsichtsbehörde entscheidet individuell, in welchen dieser Themenfelder sie tätig wird.“

In einer aktuellen Pressemitteilung zum Ende der Frist für die Umstellung von Altverträgen mahnt die LfD Niedersachsen bereits an: „Stellt eine Aufsichtsbehörde eine Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen ohne geeignete Garantien fest, kann sie anordnen, dass diese Übermittlungen ausgesetzt werden. Außerdem kommt die Verhängung eines Bußgeldes in Betracht.“

Welche Maßnahmen sind bis zum Ende der Frist zu treffen?

Damit schlimmstenfalls nicht erst bei der Kontrolle der Behörde unangenehme Überraschungen aufkommen, fassen wir für Sie hier noch einmal zusammen, welche Maßnahmen Unternehmen getroffen haben oder spätestens jetzt treffen sollten:

  • Bereits abgeschlossene neue SCCs in das Verarbeitungsverzeichnis aufnehmen, sofern noch nicht geschehen und wegsortieren
  • Für alle anderen Verträge: Es muss festgestellt werden, ob bzw. welche Datentransfers in Drittländer ohne gültigen Angemessenheitsbeschluss stattfinden
  • Anhand der bestehenden Verträge muss geprüft werden, welche Konstellationen von Datenübermittlungen vorliegen und welche Module der neuen EU-Standard-Datenschutzklauseln Anwendung finden
  • Die entsprechenden Vertragspartner müssen kontaktiert und die neuen SCCs müssen geschlossen werden
  • Die Verträge müssen im Verarbeitungsverzeichnis dokumentiert werden
  • Das „Transfer Impact Assessment“ (TIA) muss durchgeführt werden
  • Das Ergebnis des TIA muss ebenfalls dokumentiert werden

Webinar zum Thema

Die Prüfung und Umsetzung der neuen Standardvertragsklauseln stellen Unternehmen immer wieder vor Herausforderungen. Wir möchten, dass Sie möglichst gut gewappnet sind und dem Ablauf der Frist der Standardvertragsklauseln entspannt entgegensehen können. Informieren Sie sich deshalb über unser Webinar »Neue Standardvertragsklauseln – Pragmatische Lösungen für die Praxis«.

Mittwoch, den 7. Dezember 2022
von 10:00 bis 12:00 Uhr

Hier können Sie sich anmelden

Das Kleingruppenformat ist sehr praxisbezogen gestaltet und bietet Best Practices für die Umsetzung, indem auch die Standardvertragsklauseln (SCC-Module) und Risikobewertung einfließen. Profitieren Sie von den Erfahrungen der Referierenden im Bereich rechtssichere Datenübermittlungen, SCC und der Anwendung von TIA. So verstehen Sie die Hintergründe und stärken Ihr Verständnis für dieses wichtige Thema.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.