Neue EU-Standardvertragsklauseln – Werden US-Datentransfers jetzt rechtssicher?
Die Europäische Kommission hat eine neue Version der sogenannten Standardvertragsklauseln veröffentlicht (“Standard Contractual Clauses”, kurz SCC). Dieses Update müssen fast alle Unternehmen beachten, da es vor allem den Einsatz von US-Dienstleistern, wie z.B. Microsoft, Google, Facebook oder Amazon betrifft.
Die neuen Standardvertragsklauseln sind endlich an die DSGVO angepasst, berücksichtigen die EuGH-Rechtsprechung zum Privacy Shield und sind modular aufgebaut. Allerdings müssen alle bereits abgeschlossenen Standardvertragsklauseln, insbesondere mit US-Anbietern, innerhalb von 18 Monaten (d.h. anderthalb Jahren) aktualisiert werden. Da jede Aktualisierung die Prüfung der jeweiligen Standardvertragsklauseln voraussetzt, kommt auf Unternehmen erneut viel Arbeit zu.
In dem folgenden Beitrag erhalten Sie daher Antworten auf die häufigsten Fragen zu den neuen Standardvertragsklauseln und eine Checkliste mit Handlungsratschlägen.
Inhalt des Beitrags:
Was sind Standardvertragsklauseln?
Bei den Standardvertragsklauseln (im Gesetz als “Standardschutzklauseln” bezeichnet, Art. 46 Abs. 2 lit. c DSGVO) handelt es sich um Musterverträge, die im Fall von Transfers personenbezogener Daten (nachfolgend kurz “Daten”) durch “Datenexporteure” an “Datenimporteure” in Drittländer (also einem Land außerhalb der EU/EWR) erforderlich werden.
D.h. wenn z.B. Kundendaten auf dem Server eines US-Anbieters gespeichert werden oder US-Anbietern Zugriff auf diese Daten gewährt wird, dann muss mit den US-Anbietern ein Vertrag auf Grundlage der Standardvertragsklauseln geschlossen werden (zu anderen Alternativen s.u.).
Dabei verpflichten sich die US-Anbieter das EU-Datenschutzniveau bei der Verarbeitung der maßgeblichen Daten einzuhalten.
Hinweis zum Anspruch des Beitrags: Der erste Teil des Beitrags ist so weit es geht für jedermann verständlich gehalten. Das gilt auch für die konkreten Hinweise zu den neuen Standardvertragsklauseln, auch wenn diese aufgrund ihrer Details anspruchsvoller sind.
Welche Alternativen zu den Standardvertragsklauseln gibt es?
Die DSGVO verbietet die Verarbeitung personenbezogener Daten außerhalb der EU, wenn in den so genannten “Drittländern” kein angemessenes Datenschutzniveau herrscht (Art. 44 bis 49 DSGVO). Zu diesen Drittländern gehören vor allem die USA.
Dass ein angemessenes Datenschutzniveau vorliegt, kann vor allem in den folgenden Fällen angenommen und geprüft werden:
- EU-Kommission hat ein angemessenes Datenschutzniveau festgestellt – derartige Angemessenheitsbeschlüsse existieren z. B. für die Schweiz, Neuseeland, Andorra, Argentinien, die Färöer Inseln, Guernsey, Japan und im Wesentlichen für Kanada, Israel und seit Juni 2021 auf für Großbritannien (s. DSGVO-Brexit-Ratgeber bei uns im Blog)
- Abschluss von Standardvertragsklauseln – Die Standardvertragsklauseln, um deren Aktualisierung es in diesem Beitrag geht, verpflichten den Vertragspartner zur Einhaltung des Europäischen Datenschutzniveaus. Allerdings erlauben sie Datentransfers nur, wenn das EU-Datenschutzniveau auch tatsächlich gewahrt wird.
- Binding Corporate Rules – Unternehmen können sich auch selbst gegebene und verbindliche Datenschutzregeln geben. Diese Alternative ist eher selten, zumal auch eine externe Zertifizierung oder eigene Prüfung erforderlich wäre, um auf deren Grundlage Daten in Drittländer zu transferieren (das Ergebnis dürfte ähnlich wie bei Standardschutzklauseln ausfallen).
- Erforderliche Datentransfers – Wenn die Übermittlung oder sonstige Verarbeitung der Daten in Drittländern erforderlich und für die Betroffenen erkennbar ist, darf die Übermittlung erfolgen (z. B. wenn eine Reise in den USA gebucht oder eine E-Mail in die USA verschickt wird).
- Einwilligungen – Als letzte Möglichkeit bleiben praktisch nur die Einwilligungen der betroffenen Personen. Diese sind jedoch zum einen umständlich und können schnell an fehlender Transparenz, ausdrücklicher Abgabe oder an fehlender Freiwilligkeit (z. B. bei Arbeitnehmern, § 26 BDSG) oder fehlender Einwilligungsfähigkeit (in Deutschland ab 16 Jahren, in Österreich ab 14, s. Art. 8 Abs. 3 DSGVO) scheitern.
- Weitere Ausnahmen – Weitere Ausnahmen können Sie Art. 49 DSGVO entnehmen (die zwar in Frage kommen könnten, dies aber nur unter strengen Voraussetzungen).
Für europäische Unternehmen ist vor allem die Verarbeitung von Daten in den USA relevant. Unabhängig davon, ob die Verarbeitung durch Facebook, Microsoft, Google oder Facebook erfolgt, die Zulässigkeit der Verarbeitung von Daten in den USA, hängt vor allem von den Standardschutzklauseln ab. Die anderen Erlaubnisgrundlagen spielen dagegen eine eher untergeordnete Rolle.
Warum wurde der Privacy Shield für unwirksam erklärt?
Der Privacy Shield war ein Selbstzertifizierungsverfahren für US-Unternehmen. Damit konnten sich die Unternehmen auf die Einhaltung des EU-Datenschutzes verpflichten. Damit konnten die nach den Vorgaben des Privacy Shield selbstzertifizierten US-Unternehmen genauso behandelt werden wie EU-Unternehmen. Insbesondere musste der US-Datentransfer nicht besonders geprüft werden.
Der Privacy Shield wurde vom EuGH jedoch im Juli 2020 für unwirksam erklärt (EuGH, 16.7.2020 – C-311/18 “Schrems II”). In dem entschiedenen Verfahren berief sich der Datenschutzaktivist Max Schrems z. B. auf Section 702 des US-amerikanischen Foreign Intelligence Surveillance Acts (FISA 702), der Datenzugriffe bei elektronischen Kommunikationsdiensten bei Nicht-US-Bürgern auch ohne einen gerichtlichen Beschluss und Rechtsschutz erlaubt.
Geltung für andere Länder als die USA: Das Urteil des EuGH hat keine direkte Auswirkung auf Datentransfers in andere Länder außerhalb der EU (die sich grundsätzlich auf Standardvertragsklauseln stützen, z. B. Indien, Vietnam, Russland oder China). Außer das Datenschutzniveau ist auch dort nicht gleichwertig, was sich bei manchen der Länder nahezu aufdrängt. Die Folge wäre, dass auch Datentransfers in solche Länder potentiell (da gerichtlich noch nicht festgestellt) unwirksam wären.
Wird es ein neues Privacy Shield geben?
Der EuGH entschied, dass die Befugnisse der US-Behörden, die es sogar erlauben auf personenbezogenen Daten der EU-Bürger heimlich und ohne effektive Rechtsbehelfsmöglichkeiten zuzugreifen, gegen ein adäquates Datenschutzniveau in den USA sprechen. Dementsprechend verstieß die EU-Kommission gegen den Kern der Grundrechte der EU-Bürger auf Privatleben, Datenschutz und auf einen wirksamen Rechtsbehelf, als sie trotz FISA 702 und anderer Zugriffsrechte der US-Behörden, Datentransfers in die USA zuließ.
Das heißt, dass ein erneutes Privacy Shield Zugeständnisse in Form von gesetzlichen Änderungen oder die Ergreifung anderweitiger Sicherheitsmaßnahmen von den USA fordern würde. Aus der Sicht der US würde dies eine Schwächung der eigenen Geheimdienste bedeuten, was innenpolitisch generell nicht auf Sympathien stoßen dürfte
Allerdings scheint der neue US-Präsident selbst auf eine Einigung auf dieser Ebene hinzuwirken, wobei mit einem Abkommen vor 2022 dennoch eher nicht zu rechnen ist.
Welche Vorteile bieten die neuen Standardvertragsklauseln?
Die aktualisierten Standardvertragsklauseln bringen die folgenden Vorteile mit sich:
- Inhaltliche Anpassung an die DSGVO – Die bisherigen Standardvertragsklauseln waren noch Relikte der Vor-DSGVO-Ära. Nunmehr wurden sie an den Wortlaut und die Anforderungen der DSGVO angepasst. Lt. Justizkommissar Didier Reynders wurden “Elemente der Transparenz, der Rechenschaftspflicht in voller Übereinstimmung mit der GDPR eingebaut”.
- Schutz von Drittbegünstigtem – Entsprechend Abschnitt 1 Klausel 3 werden zusätzlich dritte Personen in die Schutzwirkung bestimmter Standardvertragsklauseln einbezogen (z.B. Nutzer oder Kunden von Unternehmen).
- Beitritt von Dritten – Entsprechend Abschnitt 1 Klausel 7 können andere Einrichtungen einem auf Grundlage der Standardvertragsklauseln abgeschlossenen Vertrages als Datenimporteure oder -Exporteure dem Vertrag beitreten.
- Flexibilität und größerer Anwendungskreis – Die bisherigen Standardvertragsklauseln konnten nur auf Datentransfers zwischen Verantwortlichen und anderen Verantwortlichen oder Verantwortlichen und Auftragsverarbeitern angewendet werden. Z.B. fehlten Klauseln für die Konstellation Auftragsverarbeiter und Unterauftragsverarbeiter. Das hat sich jetzt geändert. Die neuen Standardvertragsklauseln sind modular aufgebaut, auf eine größere Zahl von Verträgen anwendbar als zuvor und umfassen auch Verträge auf der Ebene der Unterauftragsverhältnisse.
- Ersatz von Auftragsverarbeitungsverträgen – Wenn Dienstleister auf Weisung eines Unternehmens Daten verarbeiten, dann liegt eine Auftragsverarbeitung im Sinne der DSGVO vor (Art. 4 Nr. 8 DSGVO). In diesem Fall muss ein sogenannter Auftragsverarbeitungsvertrag geschlossen werden (Art. 28 Abs. 3 und 4 DSGVO). Die neuen Standardvertragsklauseln entsprechen nunmehr zugleich den Anforderungen an einen Auftragsverarbeitungsvertrag. D.h. wird ein Vertrag auf Grundlage der Standardvertragsklauseln abgeschlossen, dann ist der Abschluss eines zusätzlichen Auftragsverarbeitungsvertrages nicht mehr erforderlich (außer im Modul 4, zu dem Erläuterungen weiter unten folgen).
- Berücksichtigung der Schrems II-Rechtsprechung des EUGH zum Privacy Shield – Speziell die Klauseln 14 und 15 (Abschnitt III) enthalten spezielle Sicherheitsmaßnahmen, die einigen den Ergänzungen entsprechen, die von Datenschutzbehörden und dem Europäischen Datenschutzausschuss (“EDSA”) bereits zu den alten Standardvertragsklauseln vorgeschlagen wurden.
- Vorrang der Standardvertragsklauseln – Es ist nun festgelegt, dass die Standardvertragsklauseln Vorrang haben und z.B. widersprechende Vertrags- oder AGB-Klauseln verdrängen (Abschnitt I Klausel 5).
- Haftungsregelung – Die Klausel 12 im Abschnitt II enthält modulare Haftungsklauseln und legt (gemeinsam mit der Regelung des Vorrangs der SCC) grundsätzlich fest, dass die Haftung der Vertragsparteien z.B. nicht durch externe Haftungsausschlüsse in AGB eingeschränkt wird.
- Wahl anwendbaren (EU)Rechts und Gerichtsstandes – Die Vertragsparteien können entsprechend Abschnitt IV, Klauseln 17 und 18 die Geltung eines bestimmten nationalen Rechts und des Gerichtsstandes festlegen. Allerdings nur innerhalb der EU. D.h. es kann z.B. die Geltung des deutschen Rechts festgelegt werden, auch wenn die Standardvertragsklauseln von einem Tochterunternehmen in Spanien geschlossen werden.
Ratgeber Auftragsverarbeitung: Ratschläge, Tipps und Checklisten für Sicherheit im Datenschutz und für wirksame Auftragsverarbeitungsverträge erhalten Sie in unserem Ratgeber: Auftragsverarbeitung DSGVO-sicher (FAQ, Tipps und Checklisten)
Aus welchen Modulen sind die neuen Standardvertragsklauseln aufgebaut?
Eine wesentliche Änderung ist der neue modularen Aufbau der Standardvertragsklauseln. So können die für alle Fälle geltenden Klauseln beibehalten werden, während die flexiblen Module entsprechend dem Verhältnis der Parteien zueinander ausgewählt werden:
- Modul 1: Verantwortlicher – Verantwortlicher – Diese Konstellation gab es zwar auch bei den alten Standardvertragsklauseln.
- Modul 2: Verantwortlicher – Auftragsverarbeiter – Auch diese Konstellation existierte zuvor. Nunmehr ist aber daneben kein zusätzlicher Auftragsverarbeitungsvertrag mehr erforderlich (Art. 28 Abs. 7 DSGVO).
- Modul 3: Auftragsverarbeiter-Unterauftragsverarbeiter – Nunmehr können die Standardvertragsklauseln in Konstellationen zwischen zwei Auftragsverarbeitern eingesetzt werden. Wie das Modul für den Verantwortlichen und den Auftragsverarbeiter, ist auch in dieser Konstellation der Abschluss eines (Unterauftrags)verarbeitungsvertrages nicht erforderlich. Zu beachten ist, dass im Anhang I A der Verantwortliche als Vertragspartei benannt werden muss.
- Modul 4: Auftragsverarbeiter-Verantwortlicher – Diese Konstellation ist gänzlich neu und soll Fälle abdecken, in denen ein Unternehmen aus einem Drittland einen Auftragsverarbeiter in der EU beauftragt, personenbezogene Daten, die der DSGVO nicht unterfallen (z.B. Daten von US-Bürgern), zu verarbeiten. Fraglich ist jedoch, ob diese Rückübertragung von Daten, überhaupt einen Drittland-Transfer im Sinne des Art. 44 DSGVO darstellt.
Während der Ersatz der Auftragsverarbeitungsverträge zu begrüßen ist, stellt das Modul 4 eher einen unnötigen Wettbewerbsnachteil für EU-Unternehmen dar. Denn ein US-Unternehmen, das Daten von US-Bürgern verarbeiten lassen will, wird wohl eher ein anderes US-Unternehmen beauftragen als einen EU-Anbieter, der den Abschluss eines EU-Datenschutzvertrages fordert.
Wie werden die Standardvertragsklauseln in der Praxis abgeschlossen?
In der Praxis werden die Standardvertragsklauseln in der Regel von den Dienstleistern in diesen Formen bereitgestellt:
- Individueller Vertrag – Vor allem bei Vertragsschlüssen mit Unternehmen, die nicht im großen Umfang für EU-Kunden tätig sind, werden die Standardvertragsklauseln in Form eines Vertrages vorgelegt (meistens als PDF-Datei), der dann der individuell unterschrieben oder signiert wird.
- Bestandteil von AGB – Große US-Anbieter bieten Standardvertragsklauseln als Teile oder Anhänge zu ihren AGB an, so dass die Standardvertragsklauseln automatisch mit dem Vertragsschluss abgeschlossen werden (Beispiel der E-Mail-Plattform MailChimp).
Beide Arten des Abschlusses der Standardvertragsklauseln sind zulässig.
Inwieweit wurde das Schrems II-Urteil berücksichtigt?
Der Entscheidung des EuGH zur Unwirksamkeit des Privacy Shield und den Empfehlungen der Datenschutzbehörden, wurde wie folgt Rechnung getragen:
- Verpflichtende Daten-Transfer-Folgenabschätzung – Das sogenannte “Transfer Impact Assessment” (TIA), also die Pflicht sich davon zu überzeugen, dass der Vertragspartner aus dem Drittland in der Lage ist, seinen Pflichten aus diesen Klauseln nachzukommen. Denn die Vertragsparteien müssen zusichern, dass kein Grund zur Annahme besteht, dass Gesetze im Drittland den Datenimporteur daran hindern könnten, seinen Pflichten aus den Standardvertragsklauseln nachzukommen (Abschnitt III Klauseln 14 und 15). Insbesondere dürfen die Maßnahmen im Drittland “nicht über Maßnahmen hinausgehen, die in einer demokratischen Gesellschaft notwendig und verhältnismäßig sind“. Da diese Risiken zumindest laut dem Europäischen Datenschutzausschuss anhand objektiver Faktoren geprüft werden müssen (d.h. hier eher unabhängig von ihrer Eintrittswahrscheinlichkeit), dürfte diese Klausel im Hinblick auf US-Transfers zu einem Problempunkt werden.
- Pflicht zur Abwehr von Regierungsanfragen und Information – Die Datenimporteure verpflichten sich Behördenanfragen, die den Anforderungen der Standardschutzklauseln widersprechen, ganz oder insoweit abzulehnen und sogar gerichtlich gegen sie vorzugehen (Klausel 15). Das wäre z.B. der Fall, wenn die Anfrage unbegründet wäre oder dem EU-Bürger ein Recht zum Rechtsbehelf versagt werden würde. Ferner müssen die Anfragen dokumentiert und den EU-Auftraggebern sowie zuständigen Aufsichtsbehörden mitgeteilt werden.
Die neuen Standardvertragsklauseln bieten nunmehr eine robuste Grundlage für Datentransfers in Drittländer (weitere Details in Grages, DSB 12/2020). Allerdings bietet der Vertragstext alleine, noch keine vollständige Rechtssicherheit.
Gibt es eine Ausnahme, wenn Datenimporteure bereits der DSGVO unterfallen?
Die Erwägungsgründe zu den neuen Standardvertragsklauseln (d.h. verbindliche Vorgaben für deren Anwendung) enthalten in der Ziffer 7 die Ausnahme:
Die Standardvertragsklauseln dürfen nur insoweit für derartige Datenübermittlungen verwendet werden, als die Verarbeitung durch den Datenimporteur nicht in den Anwendungsbereich der Verordnung (EU) 2016/679 fällt.
Dieser Erwägungsgrund würde bedeuten, dass die Standardvertragsklauseln immer dann nicht abzuschließen wären, wenn z.B. ein US-Cloud-Dienst der DSGVO unterfällt. Das wäre z.B. der Fall, wenn Dropbox, Microsoft- oder die Google Cloud sich auch an EU-Bürger richten würden. Wenn dann ein EU-Unternehmen z.B. Kundendaten in dieser Cloud speichert, dürften/ müssten mit Dropbox, Microsoft oder Google keine Standardvertragsklauseln abgeschlossen werden.
Dieses Ergebnis widerspricht jedoch dem Wortlaut des Art. 44 ff. DSGVO, der bei Verarbeitung im Drittland keine solche Ausnahme vorsieht. D.h. als Ergebnis würden in dem o.g. Cloud-Fall besondere Garantien für die Verarbeitung in den USA erforderlich werden, aber die Standardvertragsklauseln hierzu stünden nicht zur Verfügung.
Damit würden die Standardvertragsklauseln jedoch alleine dadurch als Garantie entfallen, weil sich ein US-Dienst (auch) an EU-Verbraucher und nicht nur US-Verbraucher richtet. Diese Willkür kann von der EU-Kommission allerdings kaum gewollt sein und ergibt auch keinen direkten Sinn (vertiefend dazu bei delegedata).
Es bleibt also zu hoffen, dass die EU-Kommission bald eine Interpretationshilfe für ihre erratischen Interpretationsvorgaben veröffentlicht.
Sind US-Datentransfers jetzt rechtssicher?
Die US-Datentransfers und der Einsatz von US-Anbietern auf Grundlage der Standardvertragsklauseln werden zwar datenschutzrechtlich weiterhin nicht eindeutig sicher, aber zumindest sicherer.
Der Grund ist, dass der EuGH, genauso wie Datenschutzaufsichtsbehörden, die Standardvertragsklauseln als Mittel der Übermittlung Daten in die USA nicht generell abgelehnt haben. Allerdings ist der Abschluss der Standardvertragsklauseln alleine noch nicht ausreichend. Vielmehr muss das Datenschutzniveau im Einzelfall geprüft werden:
- Prüfung des Vertragstextes – Sie müssen prüfen, ob die für die jeweilige Vertragskonstellation richtige Standardvertragsklauseln gewählt und inhaltlich nicht verändert wurden. Ebenso muss geprüft werden, ob die Anhänge ordnungsgemäß ausgefüllt sind.
- Prüfung des tatsächlichen Datenschutzniveaus – Sie müssen ebenfalls prüfen, ob die Zusagen das adäquate Datenschutzniveau einzuhalten, auch tatsächlich eingehalten werden. Das heißt, Sie müssen überprüfen, ob das vom EuGH beschriebene Risiko des Zugriffes auf die Daten durch US-Behörden verhindert wird. Zur Sicherung eines angemessenen Datenschutzniveaus tragen z.B. Verschlüsselungsverfahren, Pseudonymisierung, Serverstandort in der EU oder auch ein geringes Risiko für die Daten der Betroffenen bei (s. Abschnitt II Klausel 8.5).
In der Praxis erfolgt die Prüfung zunächst anhand von Fragen an die US-Verarbeiter, doch zuerst sollten Sie wissen, welche Verarbeitungen Sie prüfen müssen. Dazu empfehlen wir Ihnen unseren Ratgeber: “Keine Angst vor US-Datentransfers ohne Privacy Shield – Muster, Ratschläge und Checkliste für Standardvertragsklauseln“. Wenn Sie diese Prüfung schon durchgeführt haben, wird Ihr Aufwand sich nur noch auf die Prüfung der neuen Vertragsklauseln beschränken.
Wann müssen die neuen Standardvertragsklauseln umgesetzt werden?
Im Hinblick auf die Pflicht zur Umsetzung der neuen Standardvertragsklauseln muss zwischen Neuverträgen und Altverträgen unterschieden werden:
- Neuverträge: Bei allen neu geschlossenen Verträgen müssen ab dem 29. September 2021 die neuen Standardvertragsklauseln berücksichtigt werden.
- Altverträge: Bei bereits bestehenden Verträgen, müssen die bereits abgeschlossenen Standardvertragsklauseln innerhalb von 18 Monaten, bis zum 27. Dezember 2022 durch die neuen Standardvertragsklauseln ersetzt werden.
Checkliste
Die neuen Standardvertragsklauseln setzen voraus, dass Sie aktiv werden und folgende Maßnahmen ergreifen müssen:
- Bestandsaufnahme bei sich – Prüfung, ob Daten von Kunden, Nutzern, Mitgliedern, etc. in Drittländern und insbesondere den USA verarbeitet werden (bzw. von Unternehmen, die in diesen Ländern sitzen).
- Bestandsaufnahme bei Subunternehmern – Ebenso muss geprüft werden, ob Subunternehmer und Dienstleister, z.B. der Webhoster oder Buchhaltungsdienst, Anbieter aus Drittländern/USA einsetzen (z.B. Server von Amazon Webservices mieten).
- Anfrage nach neuen Standardvertragsklauseln – Die Anbieter aus Drittländern müssen um die Vorlage der neuen Standardvertragsklauseln gebeten werden (alternativ, auch wenn weniger üblich, können ihnen Standardvertragsklauseln zur Prüfung und Unterschrift gestellt werden). Ebenso müssen Subunternehmer gefragt werden, ob entsprechende Standardvertragsklauseln wiederum mit deren Subunternehmern in Drittländern geschlossen wurden (im Optimalfall sollte um Kopien gebeten werden).
- Anfrage nach Sicherheitsmaßnahmen – Die Anbieter aus Drittländern müssen um Nennung von Sicherheitsmaßnahmen gebeten werden, mit denen die besonderen Risiken des Drittlandtransfers aufgefangen werden (z.B. Verschlüsselung, Serverstandort EU, Pseudonymisierung). Ebenso müssen Subunternehmer gefragt werden, ob wiederum deren Subunternehmer aus Drittländern entsprechende Schutzmaßnahmen nachgewiesen haben (im Optimalfall sollte auch hier um deren Auflistung und Kopien der Bestätigungen gebeten werden).
- Prüfung Standardvertragsklauseln – Sie müssen überprüfen, ob die Module der Standardvertragsklauseln richtig ausgewählt sind, deren Text nicht modifiziert wurde und die Anhänge ordnungsgemäß ausgefüllt sind.
- Prüfung des Datenschutzniveaus – Sie müssen anhand der mitgeteilten Sicherheitsmaßnahmen prüfen, ob bei der jeweiligen Verarbeitung der Daten durch Dienstleister und Subunternehmer ein hinreichendes Datenschutzniveau gesichert ist.
- Protokollierung – Sie müssen die Prüfverfahren aus Nachweisgründen festhalten (z.B. in einer Tabelle mit Anbietern, Zeitpunkten der Anfragen, Ergebnissen und Begründung Ihres Prüfungsergebnisses).
Auch wenn man sich zurecht fragen kann, wie kleinere oder mittlere Unternehmen diese Aufgaben stemmen sollen, sollten sie dennoch durchgeführt werden (man könnte auch von einer “Quadratur des Kreises” sprechen). Denn bereits deren Unterlassung würde einen Datenschutzverstoß darstellen.
Weitere Details erhalten Sie in unserem Ratgeber: “Keine Angst vor US-Datentransfers ohne Privacy Shield – Muster, Ratschläge und Checkliste für Standardvertragsklauseln“.
Fazit und Praxisempfehlung
Auch wenn ein Jahr noch weit in der Zukunft liegt, sollten Sie Ihre Vertragspartner darauf drängen, die Standardvertragsklauseln möglichst schnell auszutauschen. Das aber nicht nur, weil die Frist von einem Jahr im Hinblick auf eine Umstellung von Verträgen sehr schnell vergeht.
Sondern vor allem, weil die neuen Standardvertragsklauseln die Forderungen der Datenschutzaufsicht nach Ergänzung der bisherigen Klauseln in Folge der Rechtsprechung des EuGH zu US-Datentransfers umsetzen. Daher ist davon auszugehen, dass Aufsichtsbehörden den Einsatz von US-Anbietern auf Grundlage alter Standardvertragsklauseln, sehr bald für unzulässig erklären werden.
Trotz der positiven Auswirkungen für die Verbraucher, dürfte die Aktualisierungspflicht bei Unternehmen dagegen auf Missfallen stoßen und die Vorstellung von der DSGVO als ein Bürokratie-Monster bestärken. Denn seit der Einführung der DSGVO, müssen Unternehmen gefühlt jedes Jahr ihre Datenschutzverträge prüfen und ergänzen.
Dazu kommt, dass zumindest politisch ein neuer Privacy Shield in Aussicht gestellt wird. Damit könnten viele der frisch geprüften Standardvertragsklauseln, noch innerhalb der anderthalbjährigen Aktualisierungsfrist überflüssig werden.
Tipp für mehr Rechtssicherheit
Mit unseren Generatoren können Sie rechtssichere Datenschutzerklärungen oder Shop-AGB erstellen und die folgenden Vorteile genießen: vom Anwalt mit Siegel kein Abo Dokumente ohne zeitliches Limit nutzbar Download als Word-Datei oder PDF Nachträgliche Bearbeitung der Eingaben.
In unserem Shop erhalten Sie eine Übersicht unserer Angebote: