Der Countdown läuft: Pflicht zur Umstellung auf neue EU-Standardvertragsklauseln bis 27.12.2022

Bereits seit dem 27.09.2021 sind Unternehmen und Organisationen dazu verpflichtet, bei der „Übermittlung“ personenbezogener Daten in ein Drittland, d.h. ein Land außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraumes, die neuen Standard Contractual Clauses (SCC) der Europäischen Kommission in die von ihnen abgeschlossenen Verträge aufzunehmen. Dies gilt jedenfalls sofern kein Angemessenheitsbeschluss der Europäischen Kommission für das jeweilige Land oder ein sonstiger gesetzlicher Ausnahmetatbestand vorliegt. Die am 27.12.2022 ablaufende Umsetzungsfrist verpflichtet Sie nunmehr dazu, bis dahin auch alle Ihre bereits bestehenden Altverträge mit früheren Versionen der SCC auf die neuen SCC umzustellen.

Warum Standardvertragsklauseln?

Seit Mai 2018 gilt europaweit die Datenschutzgrundverordnung, welche ein einheitliches Schutzniveau für die Verarbeitung von personenbezogenen Daten gewährleisten soll. Bei der Übermittlung personenbezogener Daten in ein Drittland, also Staaten außerhalb der EU und des Europäischen Wirtschaftsraumes werden wir vor das Problem gestellt, dass ein vergleichbares Schutzniveau nicht überall gewährleistet ist. Durch die Verwendung der SCC verpflichten sich die Vertragsparteien zur Einhaltung des Datenschutzniveaus der Europäischen Union.

Bis zum sogenannten „Schrems II“ Urteil des Europäischen Gerichtshofs wurde für die Datenübertragung in die USA von zahlreichen Akteuren oft das damals geltende „Privacy Shield“ als Rechtsgrundlage genutzt. Besagtes Urteil beendete das Privacy Shield, da die USA kein dem der EU vergleichbares Datenschutzniveau gewährleisten können. Da aber die EU-Standardvertragsklauseln als solche weiterhin als wirksames Instrument der Datenübermittlung verbleiben, wurden sie durch die EU-Kommission aktualisiert, um sicherzustellen, dass die notwendigen Datenschutzmechanismen auch bei einer Verarbeitung von Daten in den USA eingehalten werden. Das Ergebnis sind die neuen Standardvertragsklauseln, deren Anwendung bei der Übermittlung von personenbezogenen Daten in alle Drittländer möglich ist.

Wichtig ist zu beachten, dass eine „Übermittlung“ von personenbezogenen Daten in ein Drittland auch dann erfolgt, wenn die Daten grundsätzlich innerhalb des Europäischen Wirtschaftsraumes gespeichert werden, im Zuge der Verarbeitung der Daten aber (z.B. im Rahmen des Supports) ein Zugriff auf die Daten aus einem Drittstaat erfolgt.

Veränderungen

Da Sie die neuen und aktuellen Standardvertragsklauseln bereits seit 27.09.2021 in neuen Verträgen anwenden, sind Sie sicher vertraut mit den Neuerungen im Vergleich zum Vertragsabschluss auf Basis der alten Standardvertragsklauseln. Dennoch erfolgt hier eine Zusammenfassung der wesentlichen Veränderungen:

Transfer Impact Assessments (TIA): Die neuen SCC setzen die Durchführung einer Daten-Transfer-Folgenabschätzung voraus. Diese Abschätzung soll dafür sorgen, dass Datenimporteure in Drittländern tatsächlich in der Lage sind, den Pflichten aus den Klauseln nachzukommen. Für Sie hat das zur Folge, dass Sie sich mit den Umständen der Übermittlung und auch mit der Rechtslage im betreffenden Land (bspw. die Möglichkeit behördlicher Zugriffe auf die Daten durch bestehende Rechtsgrundlagen im Drittland) auseinanderzusetzen haben. Im Bedarfsfall müssen dann zusätzliche technische oder vertragliche Sicherheitsmaßnahmen implementiert werden. Dies entspricht weitgehend den Empfehlungen des Europäischen Datenschutzausschusses. Gerne stehen wir Ihnen für die Durchführung der TIA als Berater zur Verfügung.

Modularer Aufbau: Durch die Wahl von bis zu vier verschiedenen Modulen ist es möglich, eine Vielzahl von Verträgen auch auf der Ebene von Unterauftragsverhältnissen zu rechtfertigen. Vor Einführung der aktuellen SCC konnte zum Beispiel ein Datentransfer zwischen einem Auftragsverarbeiter und einem Unterauftragsverarbeiter nicht auf die Standardvertragsklauseln gestützt werden.
Keine Notwendigkeit von separaten Auftragsverarbeitungsverträgen: Die aktuellen SCC machen den Abschluss von gesonderten AVV entbehrlich. Sie entsprechen bereits grundsätzlich den Anforderungen des Art. 28 DSGVO. Die einzige Ausnahme besteht bei Nutzung des Moduls Nr. 4.
Vorrang der SCC: Die SCC haben Vorrang vor widersprechenden Vertrags- und/oder AGB-Klauseln. Es werden modular auswählbare Haftungsregeln vorgegeben, die nicht durch AGB beschränkt werden können.

Die Umsetzungsfrist für die Änderung von bestehenden Verträgen hin zu den neuen und aktuellen Standardvertragsklauseln läuft am 27.12.2022 ab. Wer jetzt die Umstellungsprozesse noch nicht eingeleitet hat, muss sofort handeln. Achten Sie hierbei insbesondere auf die Wahl der korrekten Module und die richtige Integration in das vertragliche Gesamtkonstrukt – auch unter Einbeziehung von Subdienstleistern.

Gerne unterstützen wir Sie bei einer individuellen Umsetzung.

SAP
ORACLE
IBM
MICROSOFT
SALESFORCE

SAP
ORACLE
IBM
MICROSOFT
SALESFORCE

Der Countdown läuft: Pflicht zur Umstellung auf neue EU-Standardvertragsklauseln bis 27.12.2022

AUS JENTZSCH IT WIRD MARAIT.

SAP ORACLE IBM MICROSOFT SALESFORCE

SAP ORACLE IBM MICROSOFT SALESFORCE

Der Countdown läuft: Pflicht zur Umstellung auf neue EU-Standardvertragsklauseln bis 27.12.2022

Teilen Sie diese News & wählen eine Plattform:

Related Posts

Aus JENTZSCH IT wird MARAIT

Podiumsdiskussion bei Mertus zum Thema KI & Recht

Neue Gesetzgebung im IT- und Datenrecht

Zum Auftakt der DSAG in Bremen: Rechtlich gut gerüstet in die SAP S/4 HANA Conversion

Angemessenheitsbeschluss für Datenübertragungen in die USA

AUS JENTZSCH IT WIRD MARAIT.

SAP
ORACLE
IBM
MICROSOFT
SALESFORCE

SAP
ORACLE
IBM
MICROSOFT
SALESFORCE