Die neuen Standardvertragsklauseln für die Datenübertragung in Drittstaaten

Nachdem die EU-Kommission neue Standardvertragsklauseln (SCC) veröffentlicht hat, fragen Sie sich sicher, ob Sie die Tools von Google und Co. nun endlich DSGVO-konform einsetzen können. Worauf es bei der Antwort ankommt, erfahren Sie in diesem Beitrag.


Sie möchten auch in kurzer Zeit viel im Job bewegen und gleichzeitig für Ihre Familie da sein? Dann bewerben Sie sich bei uns als:
Rechtsanwältin im IT-Vertragsrecht (m/w/d) in Teilzeit


Worum geht es bei den Standardvertragsklauseln?

Unternehmen, die digital aktiv sind (egal in welcher Form), müssen sich in den meisten Fällen mit dem – leidigen – Thema Datenschutz auseinandersetzen. Ausgangspunkt der Problematik ist, dass viele Länder außerhalb der EU und des EWR kein ausreichendes Niveau an Datensicherheit garantieren können. Daher ist es Aufgabe der Unternehmen, den Datentransfer in „unsichere“ Drittländer so zu gestalten, dass er dem europäischen Datenschutzniveau (also der DSGVO) genügt.

Seit die Absprache zwischen EU und USA zum Datentransfer in die USA durch das „Schrems II“-Urteil gekippt wurde (Urteil vom 16. Juli 2020 in der Rechtssache C- 311/18), gelten die USA als „unsichers“ Drittland. Das ist vorrangig der vergleichsweise einfachen, nicht verhinderbaren Zugriffsmöglichkeit US-amerikanischer Behörden auf Unternehmensdaten geschuldet. In der Folge sieht sich die Unternehmenswert kollektiv mit dem Problem konfrontiert, wie eine datenschutzrechtlich wasserdichte Datenübertragung in die USA weiterhin möglich ist.

Wo kein sicherer Datentransfer stattfinden kann, kommen andere Werkzeuge zur Sicherung des Datenschutzes zum Einsatz. Wenn kein Angemessenheitsbeschluss der EU-Kommission vorliegt, haben Sie im Grunde zwei Möglichkeiten: Entweder Sie setzen Standardvertragsklauseln ein, oder Sie arbeiten mit verbindlichen internen Datenschutzvorschriften. Weitere Informationen dazu finden Sie in diesem Blog-Beitrag.

Was gilt nun?

Wer häufig verwendete Tools zur Datenauswertung o.ä. verwendet oder sich anderer Programme bedient, die irgendwie mit Drittstaaten wie Indien oder den USA verbunden sind, kennt vielleicht den Begriff der „Standardvertragsklauseln“ (SCC) bereits. Diese wurden nun von der EU-Kommission aktualisiert und auf den neuesten Stand der Technik gebracht.

Die entscheidende Frage lautet nun natürlich, ob Sie Ihre heiß geliebten Google-Tools endlich wieder verwenden dürfen? Kurz gesagt, leider nein – denn viel hat sich in der neuen Fassung nicht geändert. Die Neufassung bringt vor allem die zentralen Aspekte und Zielsetzungen der DSGVO zum Ausdruck. Technische Konstellationen, die die bisherigen SCC nicht abbilden konnten (beispielsweise Unterverarbeitungskonstellationen), sind nun enthalten und vereinfachen künftig den Vertragsschluss in solchen Konstellationen. Außerdem regeln die neuen SCC nun auch die Pflicht der Unternehmen, die Zugriffsmöglichkeiten von Behörden und anderen Dritten auf die Daten zu prüfen. Gefordert wird eine (nachzuweisende) Prüfung der Rechtsvorschriften im Bestimmungsland. Im Grunde stellen die SCC also eine neue, verbesserte und modernere Version der alten SCC dar und sind somit ein „Upgrade“ – nicht mehr und nicht weniger.

Im Ergebnis heißt das, dass auch der Einsatz der neuen SCC nicht automatisch die DSGVO-Konformität Ihrer Verträge bedeutet.
Ihnen obliegt immer noch eine weitergehende Prüfpflicht. Kommen Sie zu dem Ergebnis, dass – wie im schon oben skizzierten Fall der USA – drittländische Rechtsvorschriften der Einhaltung der DSGVO entgegenstehen (z. B. weil Behörden auf Daten zugreifen dürfen und dadurch kein ausreichendes Schutzniveau gegeben ist), bleibt es leider dabei, dass der Datentransfer in das jeweilige Drittland nicht DSGVO-konform möglich ist.

Was tun mit alten Standardvertragsklauseln?

Falls Sie noch alte Standardvertragsklauseln verwenden, müssen Sie nicht sofort handeln. Für die weitere Nutzung dieser SCC wurde eine Übergangsfrist eingeführt: Ab dem 27.09.2021 gelten sie nicht mehr. Ab diesem Zeitpunkt dürfen die alten SCC aber, sofern sie bereits verwendet werden, noch weitere 15 Monate in Verträgen verwendet werden. In neuen Verträgen sollten Sie am besten sofort die neuen SCC verwenden.

Viele IT-Unternehmen vernachlässigen ihren Datenschutz. Wie es rechtlich um Ihr Unternehmen steht, können Sie mit unserer DSGVO-Checkliste ganz einfach selbst überprüfen – damit Sie sich entspannt auf Ihre Geschäfte konzentrieren können:

Alles OK mit Ihren SCC?

Falls Sie unsicher sind, ob mit Ihren Standardvertragsklauseln alles in Ordnung oder ob Luft nach oben ist: Beauftragen Sie uns mit einem Kostenlosen IT-Vertragscheck. Bei Sie Fragen oder Anmerkungen können Sie jederzeit gerne Kontakt zu uns aufnehmen.

Wie steht Ihr IT-Unternehmen datenschutzrechtlich da? Überprüfen Sie es mit unserer DSGVO-Checkliste für IT-Unternehmen.


Ihre Ansprechperson


Themen:

Ähnliche Artikel: