Standardvertragsklauseln
Will ein Unternehmen personenbezogene Daten in ein sogenanntes Drittland außerhalb der europäischen Union bzw. des europäischen Wirtschaftsraums übertragen, bedarf es neben der Rechtsgrundlage für die Datenverarbeitung zusätzlich einer Datenschutzgarantie für den Datentransfer. Sofern es an einem Angemessenheitsbeschluss der EU-Kommission mangelt werden daher bereits seit Jahren die EU-Standardvertragsklauseln, auch bekannt als Standarddatenschutzklauseln der EU-Kommission (kurz „SCC“ für Standard Contractual Clauses), verwendet. Diese mittlerweile 25 Jahre alten Dokumente wurden nun aktualisiert.
Dieser Beitrag soll die in diesem Zusammenhang aufgetretenen Fragen beantworten und somit eine Hilfestellung bei der datenschutzkonformen Verwendung der neuen Klauseln bieten.
Bei weiteren Fragen und wenn Sie Unterstützung bei den erforderlichen Anpassungen benötigen, wenden Sie sich bitte an uns.
Wann braucht mein Unternehmen SCC?
Sobald ein Unternehmen, entweder in der Rolle des Verantwortlichen und/oder der des Auftragsverarbeiters personenbezogene Daten in ein sogenanntes „Drittland“ transferiert sind gem. Art 44 ff. DS-GVO geeignete Garantien zum Schutz dieser Daten erforderlich um sicherzustellen, dass das durch die DS-GVO gewährleistete Schutzniveau für die Daten natürlicher Personen nicht untergraben wird.
Sofern für das Drittland kein Angemessenheitsbeschluss der EU-Kommission vorliegt, werden die SCC meist ein wesentlicher Baustein hierfür sein.
Wie das sogenannte Schrems II-Urteil des Europäischen Gerichtshof (Urteil vom 16.07.2020, Rechtssache C 311/18) deutlich gemacht hat, reichen die in Art. 44 ff. DS-GVO aufgelisteten Garantien allerdings alleine nicht aus. Vielmehr muss sich mit der datenschutzrechtlichen Lage im Empfängerland auseinandergesetzt werden und geprüft sowie festgelegt werden, welche weiteren technischen und organisatorischen Maßnahmen (Verschlüsselung, Anonymisierung, Pseudonymisierung) für den jeweiligen Fall zusätzlich erforderlich sind.
Ein mögliches Ergebnis einer solchen Risikobewertung kann auch die Entscheidung sein, die geplante Datenübermittlung nicht durchzuführen und stattdessen eine europäische Lösung zu finden.
Worin unterscheiden sich die neuen SCC von den Alten?
Die bisherigen Standardvertragsklauseln stammen aus dem Jahr 1996. Die neuen SCC wurden nunmehr an den Wortlaut und die Anforderungen der DS-GVO angepasst.
Die neuen SCC verfügen über einem modularen Aufbau und bieten deutlich mehr individuelle Anpassungsmöglichkeiten, aber auch mehr Arbeit bevor sie für den jeweiligen Datentransfer verwendet werden können. Während bei den bisherigen SCC meist mit dem Ausfüllen der Angaben zu den beiden Vertragsparteien die Anpassungsarbeit zu Ende war, beginnt bei den neuen SCC erst dann die eigentliche Gestaltung der Vertragsklauseln.
In den neuen SCC können erstmals andere Einrichtungen einem auf Grundlage der Standardvertragsklauseln abgeschlossenen Vertrages als Datenimporteure oder -exporteure dem Vertrag beitreten.
Bislang fehlten Klauseln für die Konstellation „Auftragsverarbeiter und Unterauftragsverarbeiter“. Die neuen Standardvertragsklauseln sind modular aufgebaut, damit auf eine größere Zahl von Verträgen anwendbar als zuvor und umfassen auch Verträge auf der Ebene der Unterauftragsverhältnisse.
Wenn Dienstleister auf Weisung eines Unternehmens Daten verarbeiten, dann liegt eine Auftragsverarbeitung im Sinne der DS-GVO vor. In solchen Fällen muss ein sogenannter Auftragsverarbeitungsvertrag (kurz „AVV“) abgeschlossen werden. Die neuen Standardvertragsklauseln entsprechen nunmehr zugleich den Anforderungen an einen Auftragsverarbeitungsvertrag. Dies bedeutet, wenn ein Vertrag auf Grundlage der Standardvertragsklauseln abgeschlossen wird, dann ist der Abschluss eines zusätzlichen Auftragsverarbeitungsvertrages nicht mehr zwingend erforderlich.
Speziell die Klauseln 14 und 15 der neuen SCC enthalten spezielle Sicherheitsmaßnahmen, die einigen der Ergänzungen entsprechen, die von Datenschutzbehörden und dem Europäischen Datenschutzausschuss (“EDSA”) bereits zu den alten Standardvertragsklauseln vorgeschlagen wurden um den Forderungen aus dem Schrems II-Urteil gerecht zu werden.
Es ist nun erfreulicherweise in den neuen SCC festgelegt, dass diese Vorrang haben und etwaige widersprechenden Vertrags- oder AGB-Klauseln verdrängen (Abschnitt I Klausel 5).
Im Abschnitt II enthält Kapitel 12 modulare Haftungsklauseln und legt (gemeinsam mit der Regelung des Vorrangs der SCC) grundsätzlich fest, dass die Haftung der Vertragsparteien bspw. nicht durch externe Haftungsausschlüsse in AGB eingeschränkt wird.
Die Vertragsparteien können nun im Abschnitt IV (Klauseln 17 & 18) die Geltung eines bestimmten nationalen Rechts und des Gerichtsstandes (innerhalb der EU) festlegen. Bspw. kann die Geltung des deutschen Rechts festgelegt werden, obwohl die Standardvertragsklauseln von einem Tochterunternehmen in Italien geschlossen werden.
In Hinblick auf die derzeit stattfindenden Diskussionen zu Datenübermittlungen in die USA oder andere Drittländer verpflichtet sich der Datenimporteuer in Klausel 15 u.a. dazu:
- Sich nach besten Kräften um eine Aufhebung des Verbots der Benachrichtigung des Datenexporteurs / Betroffenen zu bemühen. Das Ziel soll es dabei sein, dass möglichst viele Informationen und so schnell wie möglich mitgeteilt werden können. Der Datenimporteur verpflichtet sich daher, seine unternommenen Anstrengungen zu dokumentieren, um diese auf Verlangen des Datenexporteurs nachweisen zu können.
- Die Rechtmäßigkeit des Offenlegungsersuchens zu überprüfen, insbesondere ob das Ersuchen im Rahmen der Befugnisse liegt, die der ersuchenden Behörde übertragen wurden, und das Ersuchen anzufechten, wenn er nach sorgfältiger Beurteilung zu dem Schluss kommt, dass hinreichende Gründe zu der Annahme bestehen, dass das Ersuchen nach den Rechtsvorschriften des Bestimmungslandes, gemäß geltenden völkerrechtlichen Verpflichtungen und nach den Grundsätzen der „Völkercourtoisie“ (Hierbei handelt es sich um Handlungen, Praktiken und Regeln, die im internationalen Verkehr zwischen Staaten wegen ihrer Souveränität aufgrund Freundschaft, Nachbarschaft und wechselseitigem Respekt beachtet werden) rechtswidrig ist. Unter den genannten Bedingungen sind vom Datenimporteur mögliche Rechtsmittel einzulegen. Bei der Anfechtung eines Ersuchens erwirkt der Datenimporteur einstweilige Maßnahmen, um die Wirkung des Ersuchens auszusetzen, bis die zuständige Justizbehörde über dessen Begründetheit entschieden hat. Er legt die angeforderten personenbezogenen Daten erst offen, wenn dies nach den geltenden Verfahrensregeln erforderlich ist.
Diese Verpflichtung kann (sofern es tatsächlich zu entsprechenden Herausgabebeschlüssen kommt) zu erheblichen Kosten beim Datenimporteur führen.
Beide Vertragsparteien verpflichten sich in Klausel 14, dazu, dass sie insbesondere die folgenden Aspekte gebührend berücksichtigt haben:
- die besonderen Umstände der Übermittlung, einschließlich der Länge der Verarbeitungskette, der Anzahl der beteiligten Akteure und der verwendeten Übertragungskanäle, beabsichtigte Datenweiterleitungen, die Art des Empfängers, den Zweck der Verarbeitung, die Kategorien und das Format der übermittelten personenbezogenen Daten, den Wirtschaftszweig, in dem die Übertragung erfolgt, den Speicherort der übermittelten Daten,
- die angesichts der besonderen Umstände der Übermittlung relevanten Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes (einschließlich solcher, die die Offenlegung von Daten gegenüber Behörden vorschreiben oder den Zugang von Behörden zu diesen Daten gestatten) sowie die geltenden Beschränkungen und Garantien,
- alle relevanten vertraglichen, technischen oder organisatorischen Garantien, die zur Ergänzung der Garantien gemäß diesen Klauseln eingerichtet wurden, einschließlich Maßnahmen, die während der Übermittlung und bei der Verarbeitung personenbezogener Daten im Bestimmungsland angewandt werden.
Diese drei Punkte sind somit insbesondere bei Drittlandsübermittlungen im Rahmen der Risikobewertung und Überlegungen zu beachten und dies ist zu dokumentieren.
Kann ich die alten SCC weiteverwenden?
Befinden Sie sich gerade in Vertragsverhandlungen und würde eine Neuverhandlung der neuen SCC zu Verzögerungen führen, können Sie bis zum 27. September 2021 noch die alten SCC verwenden. Diese wären aber spätestens bis zum 27. Dezember 2022 durch die neuen SCC auszutauschen.
Ab dem 27. September 2021 sind ausnahmslos die neuen SCC zu verwenden.
Wie lange kann ich alte SCC verwenden?
Bei allen neu geschlossenen Verträgen müssen ab dem 27. September 2021 die neuen Standardvertragsklauseln berücksichtigt werden. Bis dahin könnten noch die alten SCC verwendet werden, diese wären dann aber spätestens bis zum 27. Dezember 2022 durch die neuen SCC auszutauschen.
Ich habe einen Vertrag mit alten SCC. Muss ich diese nun durch die neuen SCC austauschen?
Ja, der Austausch der bisherigen SCC durch die neuen SCC muss bis spätestens 27. Dezember 2022 erfolgen. Sofern der Vertrag vor diesem Datum endet, ist ein Austausch somit nicht zwingend erforderlich.
Im Falle relevanter Vertragsänderungen sollte der Datenexporteur die Möglichkeit sofort nutzen und die bestehenden SCC durch die neuen ersetzen. Bspw. bei der Unterauftragsvergabe von Verarbeitungsvorgängen, die Gegenstand des Vertrags sind, an einen Unter-/Auftragsverarbeiter.
Wann muss ich alte SCC durch die neuen austauschen?
Bei bereits bestehenden Verträgen, muss der Austausch innerhalb von 18 Monaten, also bis spätestens 27. Dezember 2022 erfolgen. Endet der entsprechende Vertrag bzw. die Verarbeitung bereits früher ist ein Austausch damit nicht zwingend erforderlich.
Was ist zu tun, wenn mein Vertragspartner die SCC nicht aktualisieren möchte?
Insbesondere wenn die Zusammenarbeit und der damit verbundene Datenaustausch mit dem Vertragspartner über den 27. Dezember 2022 hinaus erfolgen soll, sollten dem Vertragspartner die rechtlichen Risiken (siehe Punkt 3.9) mitgeteilt werden und sich nach den konkreten Gründen der Verweigerung erkundigt werden.
Die alten SCC sind nach 25 Jahren guter Dienste nicht mehr zeitgemäß und kaum noch in der Lage die verschiedenen Vertragskonstellationen in einem aktuellen Format und Individualität nachzukommen. Die neuen SCC werden den aktuellen Herausforderungen besser gerecht und unterstützen die Vertragspartner bei der datenschutzkonformen Gestaltung von Drittlandtransfers. Somit wäre die Aktualisierung der SCC im beiderseitigen Interesse.
Weigert sich der Vertragspartner dennoch, so wäre es sinnvoll, die Aufrechterhaltung der weiteren Vertragsbeziehung unter Berücksichtigung der dadurch zusätzlich entstehenden Risiken für das eigene Unternehmen neu zu bewerten.
Mit wem müssen SCC geschlossen werden?
Sobald ein Datentransfer in ein Land außerhalb der EU / des EWR stattfinden soll, sind die neuen SCC zwischen den jeweiligen Beteiligten zu schließen.
Die neuen SCC sehen dabei vier unterschiedliche Verarbeitungskonstellationen vor (Module), die entsprechend in den SCC ausgewählt werden müssen:
- Modul Eins C2C Controller to Controller
Übermittlung von einem Verantwortlichen (in der EU) an einen anderen Verantwortlichen (im Drittland) - Modul Zwei C2P Controller to Processor
Übermittlung vom Verantwortlichen (in der EU) an den Auftragsverarbeiter (im Drittland) - Modul Drei P2P Processor to Processor
Übermittlung von einem Auftragsverarbeiter (in der EU) an einen anderen (Sub-) Auftragsverarbeiter (im Drittland) - Modul Vier P2C Processor to Controller
Übermittlung von einem Auftragsverarbeiter (in der EU) an den Verantwortlichen (im Drittland)
Kann ich Klauseln in den SCC anpassen oder streichen?
Die neuen SCC sind modular aufgebaut und müssen individuell im Rahmen der zur Verfügung stehenden Module angepasst werden.
Mit Ausnahme der Auswahl des entsprechenden Moduls oder der entsprechenden Module oder der Ergänzung oder Aktualisierung von Informationen in der Anlage dürfen keine weiteren Änderungen oder Streichungen vorgenommen werden.
Aber die Standardvertragsklauseln dürfen in einen umfangreicheren Vertrag aufgenommen werden (bspw. als Anhang). Zudem dürfen auch weitere Klauseln oder zusätzliche Garantien hinzugefügt werden, sofern diese weder unmittelbar noch mittelbar im Widerspruch zu den sonstigen Regelungen der SCC stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneiden, wie beispielsweise die Betroffenenrechte (Art. 15-22 ff. DS-GVO).
In welcher Sprache muss ich die neuen SCC verwenden?
Die neue Version der SCC steht unter https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?locale=en in allen europäischen Sprachen zur Verfügung und kann entsprechend genutzt werden. Wir empfehlen, dass die Sprachversion verwendet wird, die sie in ihrer Kommunikation mit dem jeweiligen Vertragspartner überwiegend verwenden, bzw. die Sprache in dem sie die anderen Vertragsdokumente erstellt haben.
Sollten Sie parallel zwei Sprachversionen verwenden wollen (bspw. Englisch als Ausfertigung für ihren Vertragspartner in den UK und Deutsch für ihre Ausfertigung), so ist es sinnvoll, eine der beiden Dokumente zu bestimmen, die bei etwaigen Diskussion hinsichtlich der Auslegung Vorrang hat.
Muss ich den betroffenen Personen die neuen SCC aushändigen?
Wie bisher auch, fordert Art. 13 Abs. 1 lit. f DS-GVO, dass dem Betroffenen „ein Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind“ zur Kenntnis gegeben wird. Bspw.:
In den Fällen, in denen es zu einer Übermittlung der Daten außerhalb der EU kommt, haben wir entsprechende EU-Standardvertragsklauseln abgeschlossen. Eine Kopie dieser Klauseln können Sie bei uns per E-Mail an SCC-Kopie@unternehmen.de anfordern bzw. finden Sie auf unserer Webseite unter www.unternehmen.de/scc.
Kann ich nun mit den neuen SCC personenbezogene Daten ohne weitere Maßnahmen in Drittländer wie die USA übertragen? Kann ich auf zusätzliche Schutzmaßnahmen verzichten?
Nein. Es ist im Rahmen einer zwingend durchzuführenden Risikobewertung, die datenschutzrechtliche Situation im Empfängerland zu bewerten und basierend darauf geeignete Schutzmaßnahmen festzulegen oder die Datenverarbeitung darf, u.a. nach Ansicht der Vorsitzenden der Datenschutzkonferenz, grundsätzlich nicht stattfinden.
Welches Risiko droht meinem Unternehmen, wenn ich auf die SCC verzichte oder falsch verwende?
Neben dem Risiko der Abmahnung durch Interessensverbände und Mitbewerber (Wettbewerbsrecht) und eines Reputationsschadens bei medialer Berichterstattung über nicht datenschutzkonforme Datenverarbeitung, besteht insbesondere das Risiko von Sanktionen durch die zuständige Aufsichtsbehörde im Datenschutz.
Die Sanktionsmöglichkeiten (Art. 58 DS-GV) umfassen dabei
- die Möglichkeit von Untersuchungen in Form von Datenschutzprüfungen durchzuführen,
- eine Verwarnung auszusprechen,
- anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit den gesetzlichen Vorgaben zu bringen,
- die Aussetzung der Übermittlung von Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation anzuordnen,
- eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen, und/oder
- bei Verstößen gegen die Bestimmungen hinsichtlich der Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation (Artikel 44 bis 49 DS-GVO) eine Geldbuße von bis zu 20.000.000 EUR oder im Fall einer Unternehmens- bzw. Konzerngruppe von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs zu verhängen, je nachdem, welcher der Beträge höher ist.
Bei der Auswahl einer Sanktion, wird die Aufsichtsbehörde sicherlich auch berücksichtigen, ob es Bestrebungen gegeben hat die SCC korrekt zu verwenden oder ob auf die SCC trotz offensichtlicher Erfordernis gänzlich verzichtet wurde.