Datenübermittlung außerhalb der EU: Die neuen Standardvertragsklauseln

PrintMailRate-it

veröffentlicht am 9. September 2021 | Lesedauer: ca. 3 Minuten

 

Die Europäische Kommission hat festgelegt, dass ab dem 27. September 2021 neue Verträge, die von europäischen und außereuropäischen Unternehmen geschlossen werden, mit den neuen Standardvertragsklauseln (bekannt als SCC) versehen werden müssen, falls diese Datenübermittlungen außerhalb der EU mit sich bringen.

 

 

Um was geht es?

Der Durchführungsbeschluss (EU) Nr. 2021/914 vom 4. Juni 2021 legt einerseits fest, dass neu geschlossene Verträge mit den neuen SCC versehen werden müssen, falls sie Datenübermittlungen außerhalb der EU mit sich bringen, und andererseits, dass Verträge, die vor dem 27. September 2021 auf der Grundlage der Entscheidung Nr. 2001/497/EG oder der Entscheidung Nr. 2010/87/EU abgeschlossen wurden, angemessene Garantien im Sinne von Art. 46 Abs. 1 der DSGVO bis zum 27. Dezember 2022 bieten, sofern die Verarbeitungen, welche Gegenstand der Verträge sind, unverändert bleiben und der Rückgriff auf solche Klauseln gewährleistet, dass die Übermittlung personenbezogener Daten geeigneten Garantien unterliegt.
 

Nach dem 27. Dezember 2022 ist es notwendig, diese mit den neuen SCC zu aktualisieren.
 

Die Parteien können die Standardvertragsklauseln in einen umfassenderen Vertrag aufnehmen und/oder zusätzliche Klauseln oder Garantien hinzufügen, sofern diese nicht direkt oder indirekt den SCC widersprechen, oder die Grund­rechte oder -freiheiten der betroffenen Personen verletzen. Im Falle von Widersprüchen, dies auch in Bezug auf später abgeschlossene Verträge, gehen die gegenständlichen Standardvertragsklauseln vor.
 

Nach dem Urteil des EuGHs vom 16. Juli 2020 (Schrems II), bieten Standardvertragsklauseln geeignete Garantien, wenn ein Schutzniveau, welches dem innerhalb der EU entspricht, gewährleistet wird. Daher sollte stets die rechtliche Situation des Einfuhrlandes geprüft werden, um die Zweckmäßigkeit der Ausstattung der SCC mit einem DTIA zu beurteilen.
 

In diesem Zusammenhang ist darauf hinzuweisen, dass die Standardvertragsklauseln Folgendes vorsehen:

  • Information: Die betroffenen Personen werden über die Übermittlung ihrer personenbezogenen Daten in ein Drittland informiert (Art. 13 Abs. 1 Buchstabe f und Art. 14 Abs. 1 Buchstabe f DSGVO);
  • Rechte: Die betroffenen Personen (Drittbegünstigte) müssen in der Lage sein, sich auf die Standardvertragsklauseln zu berufen und diese – falls notwendig – durchzusetzen; daher muss das auf die Standardvertragsklauseln anwendbare Recht ihre Rechte schützen;
  • Individuelle Beschwerde: Der Importeur muss die betroffenen Personen über eine Kontaktstelle informieren und Beschwerden oder Anfragen unverzüglich bearbeiten. Es ist möglich, eine Beschwerde bei der zuständigen Aufsichtsbehörde einzureichen oder den Streitfall vor die zuständigen Gerichtsorgane der EU zu bringen;
  • Gerichtsbarkeit: Der Importeur ist verpflichtet, sich der Gerichtsbarkeit der zuständigen Aufsichtsbehörde oder der Gerichtsorganen der EU zu unterwerfen und die geltenden Rechtsvorschriften des Mitgliedstaats einzuhalten;
  • Vertretung: Den betroffenen Personen muss es erlaubt sein, sich bei Streitigkeiten mit dem Importeur durch Verbände oder andere Einrichtungen vertreten zu lassen, falls dies gewünscht ist.
  • Schadenersatz: Im Falle eines materiellen oder immateriellen Schadens, der durch eine Verletzung der Rechte des Drittbegünstigten verursacht wurde, muss der betroffenen Person Anspruch auf Schadenersatz zustehen;
  • Übermittlung an einen Auftragsverarbeiter oder Unterauftragsverarbeiter: Das Verfahren für eine allgemeine oder besondere Genehmigung sowie das Erfordernis eines schriftlichen Vertrages mit dem Unterauftragsverarbeiter werden festgelegt;
  • Accountability: Die Parteien müssen die Einhaltung der Standardvertragsklauseln nachweisen;
  • Nichteinhaltung durch den Importeur: Wird dem Exporteur mitgeteilt oder wird ihm bekannt, dass der Importeur nicht in der Lage ist, die Standardvertragsklauseln einzuhalten, hat der Exporteur – falls notwendig in Absprache mit der zuständigen Aufsichtsbehörde - geeignete Maßnahmen festzulegen, um die Situation zu bewältigen, die in besonders schwerwiegenden Fällen bis zur Aussetzung der Übermittlung oder zur Beendigung des Vertrags reichen können;
  • Prüfung der Angemessenheit des Drittlandes: Die Gesetze des Drittlandes dürfen der Einhaltung der Stan­dard­vertragsklauseln nicht entgegenstehen. Die Überprüfung muss für die gesamte Dauer des Verhältnisses durchgeführt werden.

 

Was ist zu tun?

 

In Anbetracht der Entscheidung ist es daher erforderlich:
 

In Bezug auf bestehende Verträge

  • Bestehende Verträge, die Datenübermittlungen mit sich bringen und alte SCC einschließen, sollten bis zum 27. Dezember 2022 unverändert beibehalten werden, solange die Verarbeitungen unverändert bleiben. Bestehende SCC sollten auch - sofern noch nicht ausgearbeitet – mit einem Data Transfer Impact Assessment („DTIA”) ergänzt werden;
  • Es sollte mit der Aktualisierung bestehender Verträge, die in Kürze auslaufen, auf Grundlage der neuen SCC- begonnen werden, einschließlich eines DTIA, falls dies erforderlich ist und auf der Grundlage von Analysen der Angemessenheit der Rechtsvorschriften des Einfuhrlandes;
  • Alle bestehenden Verträge, die eine Datenübermittlungen mit sich bringen, sollten abgebildet werden und ab dem 27. Dezember 2022 hat eine endgültige Anpassung aller bestehenden Verträge für die laufenden Übermittlungen an die neuen SCC vorgenommen zu werden, und falls dies erforderlich ist, ist auf der Grundlage von Analysen der Angemessenheit der Rechtsvorschriften des Einfuhrlandes ein DTIA vorzusehen.

 

In Bezug auf neue Verträge

  • Ab dem 27. September 2021 sind an neue Verträge, die Datenübermittlungen mit sich bringen, nur noch die neuen SCC anzuhängen und falls dies erforderlich ist, ist auf der Grundlage von Analysen der Angemessenheit der Rechtsvorschriften des Einfuhrlandes ein DTIA vorzusehen;
  • In Fällen, in denen Verträge mit den neuen SCC abgeschlossen werden, sind die Rollen im Bereich Datenschutz und die anwendbare Übermittlungsart unter den vier von der Kommission angegebenen Szenarien („Module”) zu ermitteln und die spezifischen Bestimmungen (Artikel 8-18) der Standardvertragsklauseln anzuwenden.

 

Die Entscheidung, die unter folgendem Link in vollem Wortlaut aufgerufen werden kann, umfasst folgende Anhänge:

  • Anhang Standardvertragsklauseln mit einer Reihe von allgemeinen Klauseln (Art. 1-7) und spezifischen Klauseln (Art. 8-18), die entsprechend den vier von der Kommission bereits identifizierten speziellen Fällen der Übermittlung anzupassen sind, nämlich: 

– Übermittlung von Verantwortlichen an Verantwortliche („Modul eins”);
– Übermittlung von Verantwortlichen an Auftragsverarbeiter („Modul zwei”);
– Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter („Modul drei”);
– Übermittlung von Auftragsverarbeitern an Verantwortlichen („Modul vier”).

          

  • Anhang I welcher die Liste der Parteien und die Beschreibung der Verarbeitung, sowie die zuständige Aufsichtsbehörde regelt (gültig für Modul eins, zwei und drei);
  • Anhang II – Technische und organisatorische Maßnahmen, einschließlich technischer und organisatorischer Maßnahmen zur Gewährung der Sicherheit der Daten nur für Modul eins, zwei und drei;
  • Anhang III – Liste der Unterauftragsverarbeiter (nur für Modul zwei oder drei). 
Deutschland Weltweit Search Menu