SBS Firmengruppe Logos

| Datenschutzrecht

Breaking News: Entwurf zu neuen Standartvertragsklauseln


Europäische Kommission veröffentlicht Entwurf zu neuen Standardvertragsklauseln für den Datentransfer

Die Europäische Kommission veröffentlichte am 12. November den langersehnten Entwurf zu den Standartvertragsklauseln, englisch: Standard Contractual Clauses (SCC) für die Datenübermittlung in Drittstaaten ohne Angemessenheitsbeschluss. Das Konsultationsverfahren endet am 10.12.2020.

Den Entwurf finden Sie > H I E R <

Hintergrund der Überarbeitung

1. Geltung der EU- Datenschutz-Grundverordnung (DSGVO)

Die derzeit gültigen Fassungen der SCC wurden vor der Geltung der DSGVO verfasst und von der EU-Kommission abgesegnet. Eine Überarbeitung war daher bereits durch den geänderten Rechtsrahmen der DSGVO geboten.

2. Schrems-II-Urteil des EuGHs

Eine Überarbeitung war außerdem auf Grund des Schrems-II - Urteils des EuGH notwendig (>Das Urteil<). In diesem Urteil entschied der Gerichthof, dass der EU-US-Datenschutzschild (EU-US-Privacy-Shield) ungültig ist.

Personenbezogene Daten dürfen vom Verantwortlichen zunächst nur dann in ein Drittland wie die USA übertragen werden, wenn es für diese Übertragung eine Rechtsgrundlage gibt. Dafür sieht die DSGVO mehrere Möglichkeiten vor. Die praktisch relevantesten sind Angemessenheitsbeschlüsse der Europäischen Kommission nach Art. 45 DSGVO sowie geeignete Garantien nach Art. 46 DSGVO. Der Datentransfer in die USA konnte bisher auf das EU-US-Datenschutzschild gestützt werden. Nach dem Urteil des EuGHs kann der Datentransfer nun nicht mehr auf Basis des Datenschutzschildes erfolgen.

Die wichtigste Rechtsgrundlage für den Datentransfer in Drittstaaten stellen seitdem die SCC als geeignete Garantien i.S.v. Art. 46 DSGVO dar. Das heißt, die SCC sind das wichtigste Rechtsinstrument zur Übermittlung personenbezogener Daten aus der EU in Drittländer ohne Angemessenheitsstatus. Die SCC sind nicht nur für den Datentransfer zwischen der EU und den USA extrem wichtig, sondern ab dem 01.01.2021 wahrscheinlich auch für den Datentransfer aus der EU nach Großbritannien auf Grund des Brexits. Die neuen Klauseln sollen nun dazu beitragen, personenbezogene Daten unter Einhaltung europäischer Datenschutzstandards, sicher an Drittstaaten transferieren zu können.

Inhalte der überarbeiteten SCC

Die überarbeitete Fassung besteht aus zwei Dokumenten. In der Begründung heißt es, dass mit der Anwendung neuer und komplexerer Datenverarbeitungsvorgänge eine Modernisierung der Standartvertragsklauseln erforderlich ist, um der Realität besser Rechnung zu tragen. Dies passiert, indem zusätzliche Verarbeitungs- und Übertragungssituationen abgedeckt werden und ein flexiblerer Ansatz verwendet wird. Die folgenden Bestimmungen sollen helfen dieses Ziel verwirklichen.

1. Flexibilität

Die neuen SCC umfassen alle wichtigen Varianten eines Datentransfers. So beinhalten die SCC neben dem derzeit geregelten Datentransfer zwischen Verantwortlichen und dem Datentransfer vom Verantwortlichen an den Auftragsverarbeiter  auch neue Klauseln für den Datentransfer zwischen mehreren Auftragsverarbeitern und vom Auftragsverarbeiter an den Verantwortlichen. Dies hindert die Parteien nicht daran, die festgelegten Standardvertragsklauseln in einen umfassenderen Vertrag aufzunehmen und andere Klauseln oder zusätzliche Garantien hinzuzufügen. Dies ist möglich, sofern sie weder direkt noch indirekt im Widerspruch zu den Standardvertragsklauseln stehen oder die Grundrechte oder -freiheiten der betroffenen Personen beeinträchtigen.

2. Information der betroffenen Person

Die Verantwortlichen sind verpflichtet, die betroffenen Personen über die Beabsichtigung personenbezogene Daten in ein Drittland zu übermitteln, zu informieren. 

3. Beitritt weiterer Vertragsparteien

In den neuen SCC werden allgemeine Klauseln mit einem modularen Ansatz kombiniert, um verschiedenen Übermittlungsszenarien und der Komplexität moderner Verarbeitungsketten Rechnung zu tragen. Künftig sollen die Standardvertragsklauseln vier Module bieten – für jeden Fall oder jedes Szenario das passende Modul:

MODULE ONE: Transfer controller to controller

MODULE TWO: Transfer controller to processor

MODULE THREE: Transfer processor to processor

MODULE FOUR: Transfer processor to controller

Die Verwendung durch mehrere Parteien ist ausdrücklich vorgesehen. Zudem beinhalten die neuen SCC eine optionale Klausel, die den Beitritt neuer Vertragsparteien regelt. Dies ist insbesondere für den Datentransfer innerhalb von Konzernen praktisch.

4. Voraussetzungen der Weiterübermittlung

Weiterübermittlungen durch den Datenimporteur an einen Empfänger in einem Drittland sollten nur unter folgenden Voraussetzungen erlaubt sein: Der Empfänger hat den SCC zugestimmt, die Kontinuität des Schutzes ist anderweitig gewährleistet oder es liegt eine ausdrückliche Einwilligung der betroffenen Person bei Kenntnis der Sachlage vor.

Hand Vertrag Klausel Vertrieb

5. Transparenz gegenüber betroffenen Personen

Betroffene Personen sollen in der Lage sein, die Standardvertragsklauseln als Drittbegünstigte geltend zu machen und erforderlichenfalls durchzusetzen. Die betroffene Person soll die Möglichkeit haben, eine Beschwerde bei der zuständigen Kontrollbehörde einzureichen oder den Streitfall vor die zuständigen Gerichte in der EU zu bringen. Hinsichtlich des Datentransfers zwischen zwei Verantwortlichen verpflichten die neuen SCC den Datenimporteur den betroffenen Personen entweder direkt oder über den Datenexporteur seine Identität und Kontaktmöglichkeit zu nennen, sofern dies nicht einen unverhältnismäßigen Aufwand erfordert.

6. Gerichtsstand bei Rechtsstreitigkeiten

Es gilt das Recht des Mitgliedstaats der Europäischen Union (somit die DSGVO zuzüglich abweichender Regelungen durch das Datenschutzrecht des EU-Mitgliedstaates). Bei Rechtstreitigkeiten bezüglich der Standardvertragsklauseln sind ausschließlich die Gerichte des EU-Mitgliedstaates zuständig.

7. Kollektiv-/Sammelklage

Den betroffenen Personen soll es erlaubt sein, sich bei Streitigkeiten gegen den Datenimporteur durch Verbände oder andere Gremien vertreten zu lassen, wenn sie dies wünschen und wenn sie nach innerstaatlichem Recht dazu befugt sind.

8. Haftung und Entschädigung

Die Standardvertragsklauseln sollen Regeln über die Haftung zwischen den Parteien und gegenüber den betroffenen Personen sowie Regeln über die Entschädigung zwischen den Parteien vorsehen. Erleidet die betroffene Person einen materiellen oder immateriellen Schaden als Folge einer Verletzung der Rechte der Drittbegünstigten nach den SCC, soll ihr ein Anspruch auf Entschädigung zustehen.

9. Prüfungsrechte des Datenexporteurs

Die SCC sollen den Datenimporteur verpflichten, alle Informationen zur Verfügung zu stellen, die erforderlich sind, um die Einhaltung der in den Klauseln festgelegten Verpflichtungen nachzuweisen. Dies soll dem Datenexporteur die Überprüfung der Verarbeitungstätigkeiten des Datenimporteurs ermöglichen.

Sobald die neuen Standardvertragsklauseln in Kraft treten, müssen die alten Klauseln innerhalb eines Jahres durch die neuen Klauseln ersetzt werden.

SBS Legal Rechtsanwälte – Kanzlei für Datenschutzrecht in Hamburg

Haben Sie Fragen zur rechtmäßigen Übermittlung personenbezogener Daten oder benötigen Sie Unterstützung bei der Umsetzung der neuen Standartvertragsklauseln? Als Kanzlei für Datenschutzrecht beraten wir von SBS Legal Sie kompetent und fachlich versiert in allen Belangen des Datenschutzes.

Unser Team greift auf jahrelange Erfahrung bei dem Begründen von Datensicherheit zurück. Wir beraten täglich Unternehmen mit Geschäftssitz in der Europäischen Union, bei denen vor allem die rechtmäßige Übermittlung von personenbezogenen Daten in ein Drittland sicherzustellen ist. Sehen Sie sich entsprechenden rechtlichen Fragestellungen ausgesetzt, freuen wir uns jederzeit über Ihre Kontaktaufnahme.

Wünschen Sie die Rechtsberatung von dem erfahrenen Team aus Fachanwälten und Spezialisten der SBS LEGAL?

Für weitere Rückfragen stehen wir Ihnen jederzeit gern auch telefonisch zur Verfügung.

Der Erstkontakt zu SBS LEGAL ist immer kostenlos.

 

 

 

SBS Direktkontakt

telefonisch unter (+49) 040 / 7344086-0 oder
per E-Mail unter mail@sbs-legal.de oder
per unten angebotenem SBS Direktkontakt.

Ich habe die Datenschutz-Richtlinien gelesen und stimmen diesen hiermit zu.

Zurück zur Blog-Übersicht