Die EU-Kommission hat am 04. Juni 2021 die neuen Standardvertragsklauseln erlassen. Durch den Beschluss wurden die alten Klauseln endlich erneuert. Diese basierten noch auf der Richtlinie 95/45 EG. Das veraltete System berücksichtigte relevante Praxisfälle nicht. Der technologische Fortschritt machte es auch notwendig, neue Sachverhalte zu berücksichtigen. Doch was bedeutet das nun für Unternehmer? Diese und weitere Fragen werden in diesem prägnanten Blogbeitrag beantwortet. 

Was sind Standardvertragsklauseln?

Vereinfacht gesagt handelt es sich hierbei um vorformulierte Vertragsklauseln. 

Diese benötigt man immer dann, wenn personenbezogene Daten zur Verarbeitung in einem Drittland exportiert werden und keine andere Garantien vorliegen. Innerhalb der Union reicht in der Regel ein sog. Auftragsverarbeitervertrag gem. Art 28. DSGVO – kurz AVV – aus. Möchte man jedoch mit einem Geschäftspartner aus dem EU-Ausland einen AVV abschließen, gilt es einige Punkte zu beachten. Die DSGVO spricht hier selbst von geeigneten Garantien. Diese sollen sicherstellen, dass der Geschäftspartner im Drittland ebenso sorgfältig mit personenbezogenen Daten umgeht, wie ein Partner aus der Union. Manche Länder werden mittels eines Angemessenheitsbeschlusses als „sicher“ eingestuft. Solche Länder wie bspw. Schweiz, Japan, seit neuestem UK etc. werden als Unionsländer behandelt. Hat der Geschäftspartner jedoch seinen Sitz in einem Land, in dem ein Beschluss nicht vorliegt (bspw. USA), kommen die Standardvertragsklauseln – SCC –  ins Spiel. Diese vorformulierten Verträge sind individuell abzuschließen. Jedoch werden der Privatautonomie Schranken gesetzt – grobe Awngeichungen vom Text sind nicht gestattet. Insbesondere können die sog. TOMs (Technisch und/oder organisatorischen Maßnahmen) selber beschloßen werden. Eine technische Maßnahme wäre z.B. das Einrichten eines VPN Zugangs im Betrieb. Dagegen eine organisatorische Maßnahme, die Weisung, dass alle Mitarbeiter diesen VPN Zugang verwenden müssen. Die SCC sind somit geeignete Garantien, wodurch den Abschluss eines AVV nichts im Wege steht.

Was ist neu? 

Die neuen SCC sind weiterhin generisch, jedoch um einiges intelligenter. Weitreichende Lücken wurden geschlossen. Die Kommission setzt bei den Neuen auf ein modulares System. Die Gliederung setzt sich wie folgt zusammen: Genereller Teil, Modul Eins – Übermittlung von Verantwortlichen an Verantwortliche, Modul Zwei – Übermittlung von Verantwortlichen an Auftragsverarbeiter, Modul Drei – Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter und die spezifischen Teile. Des Weiteren hat die Kommission „Schrems II“ berücksichtigt. Demnach sind personenbezogen Daten nur auf dem Rechtsweg auszuhändigen. Das bedeutet bspw. eine US-Behörde könnte nicht einfach Facebook um Daten bitten, sondern müsste diese zuerst gerichtlich einfordern. Eine weitere Sicherheitsstufe wurde mit der sog. Transfer Risk Assessment – Einzelfallprüfung – gesetzt. Hierbei obliegt es dem Verantwortlichen zu überprüfen, ob der Dienstleister notwendige Maßnahmen ergriffen hat (bspw. TOMs) um ein ausreichendes Schutzniveau zu garantieren. 

Welche Übergangsfristen gelten nun und was bedeutet das für mich als Unternehmer? 

Die neuen SCC sind grundsätzlich mit sofortiger Wirkung anzuwenden. Neue Verträge sind aufgrund dieser abzuschließen. Jedoch hat die Kommission eine großzügige Übergangsfrist vorgesehen. Verträge, die nach den alten SCC abgeschlossen wurden, gelten bis einschließlich den 27. Dezember 2022. Spätestens da obliegt es Unternehmern ihre Klauseln zu aktualisieren. Es ist rechtlich zulässig, die AGBs zu erneuern oder die neuen SCC als Vertragsinhalt im Servicevertrag aufzunehmen. 

Für Unternehmer ist es jetzt wichtig, alle bekannten Dienstleister aufzulisten. Dabei soll beachtet werden, welche Partner im EU-Ausland ihren Sitz haben und mit welchen einen SCC abgeschlossen wurde. Diese sind bis zum 27. Dezember 2022 zu kontaktieren und die Verträge zu erneuern. 

Aktuelles Live-Webinar zu diesem Thema

Gerne geben wir Ihnen einen tieferen Einblick in diese Thematik. Diesbezüglich veranstalten wir am 22.07.2021 um 14 Uhr ein Live-Webinar. Die Teilnahme ist begrenzt, daher melden Sie sich bei Interesse schnell an und schicken  eine kurze Mail an die email hidden; JavaScript is required

Wir freuen uns auf einen spannenden Austausch.

Haben Sie bereits Erfahrungen mit dem Thema Standardvertragsklauseln gemacht? Unter welchen Herausforderungen standen Sie dabei? Schreiben Sie es in die Kommentare, als Community können wir voneinander lernen!

Photo Credit: Twenty20