{"id":1125,"date":"2021-06-23T10:13:26","date_gmt":"2021-06-23T08:13:26","guid":{"rendered":"http:\/\/blog.eprivacy.eu\/?p=1125"},"modified":"2021-06-23T10:13:26","modified_gmt":"2021-06-23T08:13:26","slug":"neue-standardvertragsklauseln-verabschiedet-wo-besteht-jetzt-anpassungsbedarf","status":"publish","type":"post","link":"https:\/\/blog.eprivacy.eu\/?p=1125&lang=de","title":{"rendered":"Neue Standardvertragsklauseln verabschiedet: Wo besteht jetzt Anpassungsbedarf?"},"content":{"rendered":"\n<p>Die Europ\u00e4ische Kommission hat am 4.&nbsp;Juni eine&nbsp;<a href=\"https:\/\/t5baa4d95.emailsys1c.net\/c\/107\/4167157\/0\/0\/0\/263405\/debb9b6a87.html?testmail=yes\">neue Version der Standardvertragsklauseln<\/a>&nbsp;verabschiedet. Die Anpassung der \u201eSCCs\u201c (Standard Contractual Clauses) stand bereits seit dem Beginn der Anwendbarkeit der DSGVO 2018 im Raum und erhielt durch das&nbsp;<a href=\"https:\/\/t5baa4d95.emailsys1c.net\/c\/107\/4167157\/0\/0\/0\/263427\/b59501e67f.html?testmail=yes\">Urteil<\/a>&nbsp;des Europ\u00e4ischen Gerichtshofs im Fall \u201eSchrems II\u201c besondere Relevanz f\u00fcr Unternehmen, die Daten in Nicht-EU-L\u00e4nder (\u201eDrittl\u00e4nder\u201c) \u00fcbertragen. Mit dieser Information wollen wir Ihnen einen \u00dcberblick zur Bedeutung der SCCs allgemein, den jetzt eingef\u00fchrten Neuerungen sowie aktuellen Diskussionen und weiteren Entwicklungen geben.<br><br><strong>Wann kommen Standardvertragsklauseln zum Einsatz?<\/strong><\/p>\n\n\n\n<p>Zur Erinnerung: Die DSGVO kn\u00fcpft internationale Datentransfers an besondere Voraussetzungen. Wann immer Daten aus der EU an einen Empf\u00e4nger in einem Nicht-EU-Land \u00fcbertragen werden sollen, h\u00e4ngt die Rechtm\u00e4\u00dfigkeit dieses Transfers von zwei Fragen ab (auch \u201eZwei-Stufen-Modell\u201c genannt):<\/p>\n\n\n\n<ul><li>Auf der \u201eersten Stufe\u201c bedarf die \u00dcbertragung an einen Dritten als Datenverarbeitungsvorgang zun\u00e4chst immer einer Rechtsgrundlage nach Art. 6 DSGVO (h\u00e4ufig ist hier die \u201eDatenverarbeitung zur Vertragserf\u00fcllung\u201c einschl\u00e4gig) oder einer Auftragsverarbeitungsvereinbarung nach Art.&nbsp;28 DSGVO. (Dies wird beim Drittlandstransfer h\u00e4ufig \u00fcbersehen, wenn man nur auf die \u201ezweite Stufe\u201c schaut.)<\/li><li>Auf der \u201ezweiten Stufe\u201c stellt sich die Frage, ob die Daten\u00fcbermittlung in ein Drittland nach Art. 44 DSGVO nach den Vorschriften des 5. Kapitels der DSGVO zul\u00e4ssig ist. Der Gedanke dabei ist, dass das Schutzniveau der Daten durch den Transfer in das Drittland nicht unter das Schutzniveau in der EU absinken darf. Um dies sicherzustellen, sieht die DSGVO im Wesentlichen drei Mechanismen vor, wie eine solche Absicherung erfolgen kann: Erstens kann f\u00fcr das Empf\u00e4ngerland ein genereller Angemessenheitsbeschluss der EU-Kommission vorliegen, zweitens k\u00f6nnen \u201egeeignete Garantien\u201c gem. Art. 46 DSGVO (zu denen die Standardvertragsklauseln z\u00e4hlen) vereinbart werden, oder es kann drittens eine Ausnahmeregelung nach Art. 49 DSGVO greifen.<\/li><\/ul>\n\n\n\n<p><strong>Welche Bedeutung haben die neuen Standardvertragsklauseln vor dem Hintergrund des \u201eSchrems II\u201c-Urteils?<\/strong><\/p>\n\n\n\n<p>In der Entscheidung des Europ\u00e4ischen Gerichtshofs in Sachen \u201eSchrems II\u201c war das bis dahin f\u00fcr Datentransfers in die USA auf der \u201ezweiten Stufe\u201c vielfach genutzte \u201ePrivacy Shield\u201c-Abkommen f\u00fcr ung\u00fcltig erkl\u00e4rt worden. Unternehmen, die sich bis dato zur Absicherung der Zusammenarbeit mit Dienstleistern in den USA auf diesen Mechanismus beriefen, mussten eine andere L\u00f6sung finden und wechselten in den allermeisten F\u00e4llen zu den Standardvertragsklauseln.<\/p>\n\n\n\n<p>Dabei ist jedoch eine wichtige Aussage des \u201eSchrems II\u201c-Urteils zu beachten, die h\u00e4ufig \u00fcbersehen wird: Der Europ\u00e4ische Gerichtshof best\u00e4tigte in seiner Entscheidung zwar im Grundsatz die G\u00fcltigkeit der Standardvertragsklauseln, stellte jedoch gleichzeitig fest, dass auf diese Weise nicht pauschal jeder Transfer in ein beliebiges Drittland abgesichert werden kann. Vielmehr k\u00f6nnen die SCCs nur dann eingesetzt werden, wenn der Datenexporteur und der Empf\u00e4nger im Drittland auch faktisch gew\u00e4hrleisten (und dokumentieren), dass die Regelungen der SCCs dort auch eingehalten werden k\u00f6nnen. In Bezug auf die USA machte der EuGH deutlich, dass dies aufgrund der dortigen \u00dcberwachungsgesetze nicht so einfach m\u00f6glich ist. F\u00fcr die erforderlichen \u201ezus\u00e4tzlichen Ma\u00dfnahmen zur Gew\u00e4hrleistung eines ausreichenden Datenschutzniveaus&#8220; ver\u00f6ffentlichte die baden-w\u00fcrttembergische Datenschutzaufsichtsbeh\u00f6rde&nbsp;<a href=\"https:\/\/t5baa4d95.emailsys1c.net\/c\/107\/4167157\/0\/0\/0\/263421\/68fca5355e.html?testmail=yes\">Vorschl\u00e4ge<\/a>&nbsp;f\u00fcr die Erweiterung der Standardvertragsklauseln (\u201eSCC Plus\u201c) und die Durchf\u00fchrung der vorgeschriebenen Risikoabsch\u00e4tzung (\u201eTransfer Impact Assessment\u201c, TIA). Am 18. Juni ver\u00f6ffentlichte der Europ\u00e4ische Datenschutzausschuss die finaler Fassung einer&nbsp;<a href=\"https:\/\/t5baa4d95.emailsys1c.net\/c\/107\/4167157\/0\/0\/0\/263423\/4762af3c12.html?testmail=yes\">Orientierungshilfe<\/a>&nbsp;zum Thema.<br>Dabei blieben auch einige weitere Themen offen: Wie k\u00f6nnen die SCCs f\u00fcr so genannte \u201eProcessor-to-Processor\u201c-Verh\u00e4ltnisse genutzt werden? Welche \u201ezus\u00e4tzlichen Ma\u00dfnahmen\u201c sind ausreichend? Die nun ver\u00f6ffentlichten \u00fcberarbeiteten Standardvertragsklauseln sind der Versuch der EU-Kommission, diese offenen Fragen zu beantworten.<\/p>\n\n\n\n<p><strong>Ab wann gelten die neuen Standardvertragsklauseln?<\/strong><\/p>\n\n\n\n<p>Die neuen Standardvertragsklauseln wurden am 4. Juni verabschiedet. Ab dem 27. September 2021 d\u00fcrfen die alten SCCs nicht mehr f\u00fcr neue Vereinbarungen werden; f\u00fcr \u201eAltf\u00e4lle\u201c haben Unternehmen jetzt 18 Monate Zeit, um die neuen Standardvertragsklauseln in bestehende Vereinbarungen einzuarbeiten.<\/p>\n\n\n\n<p><strong>Was regeln die neuen Standardvertragsklauseln?<\/strong><\/p>\n\n\n\n<p>Die neuen Standardvertragsklauseln sind modular aufgebaut und k\u00f6nnen so im Vergleich zu den alten SCCs mehr unterschiedliche datenschutzrechtliche Beziehungen abdecken, also Datentransfers zwischen datenschutzrechtlich Verantwortlichen und\/oder Auftragsverarbeitern. Standen bislang nur Klauseln f\u00fcr Datentransfers \u201eController-to-Controller\u201c und \u201eController-to-Processor\u201c zur Verf\u00fcgung, wurden diese nun um die Optionen \u201eProcessor-to-Processor\u201c und \u201eProcessor-to-Controller\u201c erweitert.<br>Damit stehen nun innerhalb eines Dokuments die folgenden Module zur Verf\u00fcgung:<\/p>\n\n\n\n<p>1.&nbsp; Controller-to-Controller<br>2.&nbsp; Controller-to-Processor<br>3.&nbsp; Processor-to-Processor<br>4.&nbsp; Processor-to-Controller<\/p>\n\n\n\n<p>Werden die Module 2 und 3 korrekt ausgef\u00fcllt, ben\u00f6tigt man&nbsp;<em>keinen&nbsp;<\/em>separaten Auftragsverarbeitunsgvertrag (AVV) nach Artikel 28 Abs. 3 DSGVO mehr \u2013 man kann also jetzt die erste und zweite \u201eStufe\u201c in einem Dokument erledigen. Lediglich Modul 4 bietet nicht diese M\u00f6glichkeit nicht. Da das Ausf\u00fcllen der Klauseln recht kompliziert werden kann, erarbeiten wir derzeit eine \u201eAusf\u00fcllhilfe\u201c f\u00fcr Unternehmen.<\/p>\n\n\n\n<p>Neben dem modularen Aufbau des neuen Dokuments sind zwei weitere wesentliche \u00c4nderungen in den Klauseln 14 und 15 enthalten:<\/p>\n\n\n\n<p>Klausel 14&nbsp;setzt eine der Vorgaben des \u201eSchrems II\u201c-Urteils um: Sie verpflichtet Daten exportierende Unternehmen, f\u00fcr jeden Datentransfer im Rahmen eines \u201eTransfer Impact Assessment\u201c das durch die Daten\u00fcbertragung geschaffene Risiko f\u00fcr die Betroffenen einzusch\u00e4tzen. Diese Pr\u00fcfung muss dokumentiert und der Aufsichtsbeh\u00f6rde auf Anfrage vorgelegt werden. Es ist zu hoffen, dass sich diesbez\u00fcglich Standards in Bezug auf h\u00e4ufig genutzte Anbieter etablieren werden, um den b\u00fcrokratischen Aufwand in Grenzen zu halten. So unangenehm der mit diesem Schritt verbundene Aufwand ist: Erst k\u00fcrzlich hat das Bayerische Landesamt f\u00fcr Datenschutzaufsicht einem Unternehmen die Nutzung des Diensts \u201eMailchimp\u201c untersagt, weil keine Risikoabsch\u00e4tzung vorgelegt werden konnte.<\/p>\n\n\n\n<p>In&nbsp;Klausel 15&nbsp;findet sich eine neue Verpflichtung f\u00fcr den Datenimporteur, die ebenfalls das \u201eSchrems II\u201c-Urteil umsetzt: Im Falle einer Anfrage ausl\u00e4ndischer Beh\u00f6rden auf die \u00fcbertragenen Daten m\u00fcssen sowohl der Datenexporteur als auch alle Betroffenen infomiert werden.<\/p>\n\n\n\n<p>Weitere Neuerungen sind erweiterte Rechte der Betroffenen gegen\u00fcber dem Datenimporteur, die Option, dass weitere Parteien einer bestehenden SCC-Vereinbarung beitreten k\u00f6nnen.<\/p>\n\n\n\n<p><strong>Was ist nun zu tun?<\/strong><\/p>\n\n\n\n<p>Abh\u00e4ngig davon, in welchem Umfang Sie Daten in Nicht-EU-L\u00e4nder \u00fcbertragen, ist die Umstellung auf die neuen Standardvertragsklauseln mehr oder weniger aufw\u00e4ndig. Insbesondere die Erfassung der betroffenen Datenstr\u00f6me im Unternehmen, die Dokumentation der Risikoabsch\u00e4tzungen sowie die Vereinbarung der neuen SCCs mit Ihren Partnern und Dienstleistern kann einige Zeit in Anspruch nehmen. Beachten Sie insbesondere, dass neben Ihren Beziehungen zu gro\u00dfen Anbietern wie Amazon oder Google auch ihr \u201eKerngesch\u00e4ft\u201c mit Ihren eigenen Kunden betroffen sein kann, wenn sie als Auftragsverarbeiter auftreten und Daten in Drittl\u00e4nder \u00fcbertragen.<br>Wir empfehlen die folgenden Schritte:<\/p>\n\n\n\n<p><strong>1.&nbsp; Bestandsaufnahme (\u201eMapping\u201c)<\/strong><br>Pr\u00fcfen Sie, wo in ihrem Unternehmen Daten in Drittl\u00e4nder \u00fcbertragen werden und welche Rolle Sie dabei einnehmen. Wenn m\u00f6glich, nutzen Sie hierzu ihr Verarbeitungsverzeichnis und passen es gleich mit an. Kommen Sie bei Unsicherheiten gern auf ihren Berater zu.<br>F\u00fcr Konzerne: Bitte beachten Sie, dass nicht nur der Drittlandstransfers an Externe erfasst werden, sondern auch interne Datenfl\u00fcsse zu \u00fcberpr\u00fcfen sind.<\/p>\n\n\n\n<p><strong>2.&nbsp; Abschluss der neuen Standardvertragsklauseln<\/strong><br>Schlie\u00dfen Sie mit jedem Unternehmen mit Sitz in einem Nicht-EU-Land, an das Sie Daten \u00fcbertragen, die neuen Standardvertragsklauseln ab. (Wir erarbeiten dazu aktuell eine Ausf\u00fcllhilfe, die demn\u00e4chst zur Verf\u00fcgung steht.) Im Fall gro\u00dfer US-Anbieter geschieht dies voraussichtlich innerhalb der n\u00e4chsten Monate \u201eautomatisch\u201c durch eine Anpassung der AGB der einzelnen Dienstleister.<br>An dieser Stelle m\u00fcssen wir auf ein wesentliches Problem hinweisen, das weiterhin besteht: Ob und in welchem Umfang auch die neuen Standardvertragsklauseln durch zus\u00e4tzliche vertragliche und technische Ma\u00dfnahmen erg\u00e4nzt werden m\u00fcssen (\u201eSCC Plus\u201c), bleibt offen.<\/p>\n\n\n\n<p><strong>3.&nbsp; Risikoabsch\u00e4tzungen (Transfer Impact Assessments) durchf\u00fchren<\/strong><br>Klausel 14 der SCCs schreibt im Anschluss an das \u201eSchrems II\u201c-Urteil des EuGH vor, dass f\u00fcr jeden internationalen Datentransfer eine Risikoabsch\u00e4tzung durchzuf\u00fchren und zu dokumentieren ist. Der mit diesem Schritt verbundene Aufwand sollte bei der Planung der Umsetzung besonders ber\u00fccksichtigt werden.<\/p>\n\n\n\n<p><strong>Welche Fragen bleiben offen?<\/strong><\/p>\n\n\n\n<p>Zu begr\u00fc\u00dfen ist, dass mit den neuen Standardvertragsklauseln endlich auch eine Option f\u00fcr \u201eProcessor-to-Processor\u201c-Beziehungen vorliegt. Auch der Wegfall des separaten Abschlusses einer Auftragsverarbeitungsvereinbarung verringert den mit internationalen Datentransfers verbundenen Aufwand.<\/p>\n\n\n\n<p>Ein ganz wesentlicher Punkt bleibt jedoch unbeantwortet, denn: Ob die neuen Standardvertragsklauseln das durch das \u201eSchrems II\u201c-Urteil geschaffene Problem des Datenzugriffs durch Sicherheitsbeh\u00f6rden in L\u00e4ndern wie den USA l\u00f6sen, bleibt fraglich. Unklar bleibt hier, welche technischen und organisatorischen Ma\u00dfnahmen geeignet sind, um ein \u201eangemessenes Datenschutzniveau\u201c zu gew\u00e4hrleisten. Auch ist unklar, in welchen F\u00e4llen die SCCs weiterhin um zus\u00e4tzliche Vereinbarungen erg\u00e4nzt werden m\u00fcssen (\u201eSCC Plus\u201c). Au\u00dferdem liegt bislang keine praktische Handlungsanweisung f\u00fcr die korrekte Umsetzung der Risikoabsch\u00e4tzung vor.<\/p>\n\n\n\n<p>Zu einer weiteren \u00e4u\u00dferst technischen Frage, n\u00e4mlich genauen den Anwendungsbereich der Standardvertragsklauseln gem\u00e4\u00df Erw\u00e4gungsgrund&nbsp;7, will sich die Europ\u00e4ische Kommission in den n\u00e4chsten Wochen noch einmal \u00e4u\u00dfern.<\/p>\n\n\n\n<p>F\u00fcr Unternehmen bedeuten die neuen Standardvertragsklauseln zun\u00e4chst einmal einen erheblichen Arbeitsaufwand. Die bestehende Rechtsunsicherheit in Bezug auf internationale Datentransfers ist keineswegs beseitigt. F\u00fcr Datentransfers in die USA haben die EU und die neue US-Regierung laut EU-Justizkommissar Didier Reynders Verhandlungen zu einem neuen bilateralen Abkommen aufgenommen. Ob und wie dieses aussehen k\u00f6nnte, sowie die Frage, ob die neuen Standardvertragsklauseln bis dahin f\u00fcr Datentransfers in die USA \u201egefahrlos\u201c genutzt werden kann, ist derzeit v\u00f6llig unklar.<\/p>\n\n\n\n<p>\u00dcber diese Entwicklungen halten wir Sie nat\u00fcrlich auf dem Laufenden \u2013 sprechen Sie uns bei Fragen jederzeit gern an&#8230;<br>Dr. Lukas Mezger, UNVERZAGT Rechtsanw\u00e4lte<br>Diana Hutter, ePrivacy GmbH<\/p>\n\n\n\n<p>Ihr Kontakt zu ePrivacy: <\/p>\n\n\n\n<p><a href=\"https:\/\/t5baa4d95.emailsys1c.net\/c\/107\/4167157\/0\/0\/0\/263369\/7ffc4133ae.html?testmail=yes\">https:\/\/t5baa4d95.emailsys1c.net\/c\/107\/4167157\/0\/0\/0\/263369\/7ffc4133ae.html?testmail=yes<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Die Europ\u00e4ische Kommission hat am 4.&nbsp;Juni eine&nbsp;neue Version der Standardvertragsklauseln&nbsp;verabschiedet. Die Anpassung der \u201eSCCs\u201c (Standard Contractual Clauses) stand bereits seit dem Beginn<\/p>\n<p class=\"link-more\"><a class=\"myButt \" href=\"https:\/\/blog.eprivacy.eu\/?p=1125&#038;lang=de\">Read More<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[10],"tags":[],"_links":{"self":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/1125"}],"collection":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1125"}],"version-history":[{"count":1,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/1125\/revisions"}],"predecessor-version":[{"id":1126,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/1125\/revisions\/1126"}],"wp:attachment":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1125"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1125"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1125"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}