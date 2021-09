Über die Standardvertragsklauseln



Verantwortliche dürfen nur unter strengen Vorgaben personenbezogene Daten an Drittländer übermitteln.

Auf Grund hoher Unsicherheit bezüglich dieses Themas nehmen viele Unternehmer die EU-Standardvertragsklauseln zur Hand, welche, einfach gesagt, Musterverträge sind.

Ebendiese Musterverträge wurden nun durch die EU an die DSGVO angepasst.



Da ebenso eine Übergangsfrist durch die EU vorgegeben wurde, können viele Unternehmer zum Handeln gezwungen sein.

Übrigens: im Gesetzeslaut des Artikels 46 Absatz 2 lit. c DSGVO werden diese EU-Vorgaben als Standardschutzklauseln bezeichnet.



Standardschutzklauseln als Voraussetzung für Datentransfers



An dieser Stelle fragt man sich eventuell für wen diese Musterverträge überhaupt notwendig sind.



Die Standardvertragsklauseln betreffen all jene, die mit dem Transfer von personenbezogenen Daten in Drittländer zu tun haben.

Unter Drittländern versteht man alle Staaten, die außerhalb der EU, beziehungsweise außerhalb des europäischen Wirtschaftsraumes, liegen.



Sollten also Kundendaten auf Servern in den Vereinigten Staaten von Amerika gespeichert oder dem Server-Anbieter Zugriff auf diese Datensätze gewährt werden, müssen die Verantwortlichen mit ebendiesem Anbieter einen Vertrag schließen.

Mittels dieses Vertrages sichert der Dienstleister zu, dass er das Datenschutzniveau der EU bei der Verarbeitung dieser personenbezogenen Daten einhält.



Sollte in dem Drittland ein hohes Datenschutzniveau bestehen, welches von der EU per Angemessenheitsbeschluss bestätigt worden ist, ist der Transfer auch ohne die Standardvertragsklauseln zulässig.



Oftmals wurde diese Art von Verträgen zur Legitimation des Datentransfers auf Basis der EU-Standardvertragsklauseln aufgebaut.

Diese berücksichtigen auf Grund ihres Alters aber wichtige Veränderungen wie die DSGVO und das Annullieren der Gültigkeit des Privacy Shields nicht und bieten damit keine angemessene Sicherheit mehr.



Was müssen Unternehmer berücksichtigen?



Wie bereits erwähnt, bieten die alten Standardvertragsklauseln keine ausreichende Sicherheit mehr für die personenbezogenen Daten von Betroffenen.

Deshalb müssen Unternehmer, die sich in ihren Datentransfer-Verträgen auf diese alten Klauseln berufen, die Verträge aktualisieren.



Ab dem 27. Juni 2021 beginnt die Übergangsfrist von 18 Monaten während dieser Verantwortliche Zeit zum Handeln haben. In diesem Zeitraum bis zum 27. Dezember 2022 sind die neuen Standardvertragsklauseln in Bestandsverträge einzuarbeiten.

Ab dem 27. September 2021 dürfen die alten Standardvertragsklauseln nicht mehr für neu getroffene Vereinbarungen angewendet werden.



Auf dieser Seite sind die aktualisierten EU-Standardvertragsklauseln auf Deutsch zu finden, welche im EU-Amtsblatt veröffentlicht worden sind.



Änderungen in den Standardvertragsklauseln



Die neuverabschiedeten Standarddatschenschutzklauseln sind mit einigen Änderungen versehen. Besonders hervorzuheben ist, dass die neuen Standardvertragsklauseln anders aufgebaut sind, nämlich in vier unterschiedliche Module.



Die Module sind die folgenden:

* Modul 1: Übermittlungen zwischen Verantwortlichen

* Modul 2: Datentransfers an Auftragsverarbeiter

* Modul 3: Transfer vom Auftragsverarbeiter an weitere (Sub-)Auftragsverarbeiter

* Modul 4: Übermittlungen vom Auftragsverarbeiter an den Verantwortlichen



Mit der Neugliederung des Aufbaus der "Standard Contractual Clouses" wird eine flexiblere Gestaltung der Transferverträge ermöglicht und die entsprechenden Module gemäß dem Beschäftigungsverhältnis anpassbar.



Des Weiteren wurde die Pflicht zum Durchführen einer Datentransfer-Folgeabschätzung hinzugefügt. Verantwortliche haben damit die Verpflichtung sicherzustellen, dass der Vertragspartner aus einem Drittland seinen Pflichten aus den Standardvertragsklauseln nachkommen kann und dies auch tut. Diese Folgenabschätzung ist schriftlich zu dokumentieren und auf Anfrage den Aufsichtsbehörden vorzulegen.



Ebenso ist eine Pflicht zur Abwehr von Regierungsanfragen, die den neuen SCCs widersprechen, enthalten. Über diese unzulässigen Anfragen sind auch die zuständigen Aufsichtsbehörden in Kenntnis zu setzen.



Nachweisen eines angemessenen Datenschutzniveaus



Um personenbezogene Daten in einem Drittland außerhalb der EU verarbeiten zu dürfen, ist laut den Artikeln 44 bis 49 DSGVO ein angemessenes Datenschutzniveau nachzuweisen. Dieser Nachweis kann auf die folgenden Wege erbracht und überprüft werden.



Abschließen von Standardvertragsklauseln



Wie eingangs in diesem Artikel erwähnt, verpflichtet der Inhalt der Standardvertragsklauseln den Kooperationspartner zum Ein- und Erhalten des Europäischen Datenschutzniveaus. Sobald das Datenschutzniveau nachweislich gewahrt wird, sind die Datentransfers in diese Drittstaaten erlaubt.



Durch die Beschlüsse der EU-Kommission



Die EU-Kommission kann Angemessenheitsbeschlüsse für Drittländer aussprechen. Für die folgenden Staaten wurde beispielsweise ein angemessenes Datenschutzniveau testiert: Neuseeland, Argentinien, Japan, Israel, und seit dem Juni 2021 Großbritannien.



Binding Corporate Rules



Es besteht die Option, dass sich Unternehmen verbindliche Datenschutzregeln selbst geben. Diese Regelungen müssen dann durch eine externe Institution zertifiziert beziehungsweise geprüft werden. Da der Aufwand dafür als zu hoch bewertet werden kann, ist diese Herangehensweise eher selten vertreten.



Einwilligungen



Betroffene Personen können auch ihre Einwilligung geben und dem zustimmen, dass ihre Daten in einem Drittland verarbeitet werden dürfen. Jedoch ist diese Methode mit Vorsicht zu genießen, denn es gibt einige Hürden zu beachten.

Zunächst ist das Einholen dieser Einwilligung recht umständlich. Des Weiteren kann die Einwilligung aufgrund fehlender Transparenz, mangelnder Freiwilligkeit oder nicht ausdrücklicher Abgabe angezweifelt werden und damit zu Problemen führen.



Erforderlichkeit der Datenübertragung



Sobald die Übertragung oder anderweitige Verarbeitung von personenbezogenen Daten in Drittstaaten erforderlich wird und gleichzeitig für den Betroffenen erkennbar ist, darf dieser Datentransfer durchgeführt werden. Dies ist beispielsweise der Fall, wenn eine Urlaubsreise in einem Drittland gebucht oder eine E-Mail in diesen Staat verschickt wird.



Sonstige Ausnahmen



Weitere Ausnahmen sind im Artikel 49 der DSGVO aufgeführt. Diese Regelungen finden aber nur in den seltensten Fällen Anwendung, da dafür sehr strenge Voraussetzungen zu erfüllen sind.