Countdown läuft: Umsetzungsfrist der neuen Standarddatenschutzklauseln endet

Die EU-Kommission hatte die neuen Standarddatenschutzklauseln (SCC) bereits im Juni letzten Jahres veröffentlicht. Die darin festgesetzte Frist zur Umsetzung der SCC in Altverträgen endet in wenigen Tagen. Diese sollen das europäische Datenschutzniveau für die Übertragung personenbezogener Daten in Drittländer außerhalb der EU sicherstellen.

Wer muss die neuen SCC beachten?

Abgeschlossen werden die Standarddatenschutzklauseln zwischen einem Unternehmen und einem Drittanbieter im Nicht-EU-Ausland, an den die personenbezogenen Daten fließen. Dies sind insbesondere Hosting-Dienste (z.B. AWS), Cloud-Software (z.B. Salesforce), CDN-Anbieter (z.B. Cloudflare, Google Maps), Werbe-Netzwerke (z.B. Google Ads), Soziale Netzwerke (z.B. Facebook) oder Tracking-Dienste (z.B. Google Analytics).

Was ist neu an den SCC?

Der Aufbau nach Modulen soll eine flexiblere Anpassung an die gegebene Situation ermöglichen.  Insbesondere ist nun auch der Beitritt zu den Standardvertragsklauseln durch weitere Parteien möglich. Außerdem wurden in den neuen SCC, ausgehend vom Schrems-II-Urteil (ECLI:EU:C:2020:559), neue Pflichten festgelegt.

  • Modul 1: C2C (Verantwortlicher und Verantwortlicher)
  • Modul 2: C2P (Verantwortlicher und Auftragsverarbeiter)
  • Modul 3: P2P (Auftragsverarbeiter und (Unter-)Auftragsverarbeiter)
  • Modul 4: P2C (Auftragsverarbeiter und Verantwortlicher)

Was muss bei der Anpassung der SCC beachtet werden?

Seit dem Erlass müssen die neuen SCC im Rahmen des Abschlusses neuer Verträge ab dem 27.09.2021 miteinbezogen werden. Bereits bestehende Verträge müssen bis zum 27.12.2022 entsprechend angepasst werden. Danach verlieren die alten SCC ihre Wirksamkeit und darauf gestützte Drittlandübermittlungen werden rechtwidrig.

Wie sollte die Anpassung erfolgen?

  1. Unternehmen sollten überprüfen, ob sie Daten in Drittländer exportieren, für die kein Angemessenheitsbeschluss existiert.
  2. Sollten in den entsprechenden Verträgen mit Dienstleistern noch die alten Standardvertragsklauseln enthalten sein, sollten die Unternehmen umgehend Kontakt zu den Drittanbietern aufnehmen.
  3. Bei Umstellung der Altverträge muss darauf geachtet werden, dass sie in die Form der Neuverträge gegossen werden und die passenden Module jeweils abgeschlossen werden. Neue Auftragsverarbeitungsverträge (AVV) müssen in aller Regel nicht geschlossen werden, da die SCC von den Dienstleistern regelmäßig als Anlage zum AVV beigefügt werden. Hier muss dann lediglich den neuen SCC an irgendeiner Stelle zugestimmt werden. Manche Anbieter haben die SCC jedoch bereits eingebunden und stützen sich darauf, dass diesen durch die Nutzung des Dienstes „konkludent” (d.h. ohne aktive Handlung) zugestimmt wurde.
  4. Die neuen SCC können nun aber auch alleine stehen und in anderen Konstellationen als AVVs eingesetzt werden.

Problematisch bleiben weiterhin die Fälle in denen Vertragspartner des europäischen Kunden eine europäische Tochtergesellschaft des Online-Dienstes ist (z.B. Google Irland, Facebook Irland etc.). Nach Auffassung der Unternehmen findet der Drittlandtransfer dann nur im Verhältnis zwischen US-Mutter und EU-Tochter statt, sodass sich für das Vertragsverhältnis mit dem Kunden gar nichts ändert. Ob dieses Verständnis jedoch rechtlich haltbar ist, wurde bisher nicht gerichtlich geklärt.

Fazit:

Unternehmen sollten, falls nicht schon geschehen, umgehend eine Überprüfung und ggf. Anpassung ihrer Altverträge vornehmen.

In einer aktuellen Pressemittteilung mahnte die LfD Niedersachsen die entsprechenden Anpassungen bis zum Ende der Frist vorzunehmen. Es ist also mit einer möglichen Überprüfung nach Ablauf der Frist zu rechnen. Sollte die Aufsichtsbehörde bei einer Überprüfung einen rechtswidrigen Datentransfer feststellen, so kann sie eine Aussetzung der Übermittlung anordnen. Außerdem droht dem Unternehmen ein Bußgeld.

Zu beachten bleibt weiterhin, dass die Übermittlung personenbezogener Daten an Dienstleister in den USA momentan generell nicht ohne rechtliches Risiko möglich ist. Auch die Einbindung der neuen SCC kann dieses nicht ausschließen.

Hintergrund: https://www.fx-data.de/google-shopify-klaviyo-us-dienste-datenschutz-visier/

Im Übrigen muss die Datenschutzerklärung in aller Regel nicht angepasst werden, da dort regelmäßig nur eine Verweisung auf die SCC erfolgt.

 

Photo by FLY:D on Unsplash

0 replies

Leave a Reply

Want to join the discussion?
Feel free to contribute!

Leave a Reply

Your email address will not be published.