Icon Compliance
Compliance

Google und Microsoft adé? - Teil 1

Fabian Brandenburger
Verfasst von: Fabian Brandenburger
Berater für Datenschutz und Informationssicherheit

Die neuen EU-Standardvertragsklauseln (SCC) Teil 1: In diesem dreiteiligen Blog-Artikel machen wir Sie mit den Neuerungen der EU-Standardvertragsklauseln vertraut. Im ersten Teil der Trilogie zeigen wir Ihnen auf, worum es geht, was EU-Standardvertragsklauseln sind, ab wann die Neuerungen gelten und aus welchen Modulen diese aufgebaut sind.

Worum geht es?

Die Europäische Kommission hat am 04.06.2021 eine neue Version der sogenannten Standardvertragsklauseln veröffentlicht (im Weiteren: engl. “Standard Contractual Clauses”, kurz SCC). Dieses Update müssen fast alle Unternehmen und Organisationen beachten, da es vor allem den Einsatz von US-Dienstleistern, wie z.B. Microsoft, Google oder AWS betrifft.

Die neuen SCC sind an die Datenschutz-Grundverordnung (DSGVO) angepasst, berücksichtigen die EuGH-Rechtsprechung zum gekippten Privacy Shield (sogenannte „Schrems II“-Entscheidung) und sind modular aufgebaut. Bereits vor dem 04.06.2021 abgeschlossene SCC müssen zum 27.12.2022 (innerhalb von 18 Monaten) aktualisiert werden. Da jede Aktualisierung die Prüfung der jeweiligen SCC voraussetzt, kommt auf Unternehmen erneut viel Arbeit zu.

1. Was sind die EU-Standardvertragsklauseln (SCC)?

Bei den SCC handelt es sich um standardisierte Datenschutzverträge, die gleichzeitig eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten in Staaten außerhalb der Europäischen Union (EU)/des Europäischen Wirtschaftsraumes (EWR) darstellen. Eine Besonderheit der neuen SCC ist der modulare Aufbau. Beteiligte Vertragsparteien müssen nun selbstständig die passenden Module für die tatsächliche Vertragskonstellation auswählen, z.B. für den Fall, dass ein US-Dienstleister als sogenannter Auftragsverarbeiter agiert.

2. Ab wann gelten die neuen EU-Standardvertragsklauseln (SCC)?

Diese Fristen für die Anwendung der aktualisierten SCC sollten Sie kennen.

  • Die neuen SCC wurden am 04. Juni 2021von der EU-Kommission veröffentlicht.
  • Verbindlich ab dem 27. September 2021:
    Die neuen SCC müssen ab dem 27. September für alle Neuverträge berücksichtigt werden.
  • Verbindlich für Altverträge ab dem 27. Dezember 2022:
    Im Fall bestehender Altverträge müssen die neuen SCC spätestens ab dem 27. Dezember 2022 aktualisiert werden.

    Aus welchen Modulen sind die neuen SCC aufgebaut?

Im Folgenden wird näher auf die möglichen Module der SCC eigegangen.

Modul 1: DSGVO Verantwortlicher <-> Nicht-DSGVO-Verantwortlicher

  • Betrifft die Übermittlung personenbezogener Daten zwischen einem Verantwortlichen (Unternehmen A), der die Vorgaben der DSGVO anwenden muss (DSGVO-Verantwortlicher) und einem Verantwortlichen (Unternehmen B), der die Vorgaben der DSGVO nicht anwenden muss (Nicht-DSGVO-Verantwortlicher).
  • In der Regel übermittelt ein Verantwortlicher mit Sitz innerhalb der EU/des EWR personenbezogene Daten an einen Verantwortlichen mit Sitz außerhalb der EU/des EWR.
  • Immer dann zutreffend, wenn es sich um keine Auftragsverarbeitung handelt, z.B. im Rahmen einer Konzern-internen Datenverarbeitung.

Modul 2: DSGVO-Verantwortlicher <-> Nicht-DSGVO-Auftragsverarbeiter

  • Betrifft die Verarbeitung personenbezogener Daten eines DSGVO-Verantwortlichen (Auftraggeber) durch einen Auftragsverarbeiter (Auftragnehmer), der die Vorgaben der DSGVO nicht anwenden muss (Nicht-DSGVO-Auftragsverarbeiter).
  • Es ist kein zusätzlicher Auftragsverarbeitungsvertrag erforderlich – die SCC enthalten bereits alle erforderlichen Vorgaben (Art. 28 Abs. 7 DSGVO).
  • Die Auftragsverarbeitung findet in der Regel dann statt, wenn ein DSGVO-Verantwortlicher bestimmte Datenverarbeitungen durch Dritte ausführen lässt.
  • Hierbei handelt es sich um den häufigsten Anwendungsfall in der Praxis.

Modul 3: DSGVO-Auftragsverarbeiter <-> Nicht-DSGVO-Unterauftragsverarbeiter

  • Betrifft die Verarbeitung personenbezogener Daten durch einen Auftragsverarbeiter, der die Vorgaben der DSGVO anwenden muss (DSGVO-Auftragsverarbeiter) und sich eines Unter-Auftragsverarbeiters (Unter-Auftragnehmer) bedient, der die Vorgaben der DSGVO nicht anwenden muss (Nicht-DSGVO-Auftragsverarbeiter).
  • In der Regel setzt ein Auftragsverarbeiter mit Sitz innerhalb der EU/des EWR selbstständig (mit Genehmigung des Verantwortlichen) einen Unter-Auftragsverarbeiter mit Sitz außerhalb der EU/ des EWR ein.
  • Auch in dieser Konstellation der Abschluss eines (Unter-)Auftragsverarbeitungsvertrages nicht erforderlich. Zu beachten ist jedoch, dass im Anhang I A der Verantwortliche als Vertragspartei benannt werden muss.

Modul 4: DSGVO-Auftragsverarbeiter <-> Nicht-DSGVO-Verantwortlicher

  • Betrifft die Verarbeitung personenbezogener Daten durch einen DSGVO-Auftragsverarbeiter für einen Nicht-DSGVO-Verantwortlichen
  • In der Regel setzt ein Verantwortlicher mit Sitz außerhalb der EU/ des EWR einen DSGVO-Auftragsverarbeiter ein
  • Eine eher seltene Konstellation, in der z.B. ein US-Unternehmen personenbezogene Daten innerhalb der EU/ des EWR im Auftrag verarbeiten lässt, z.B. innerhalb von internationalen Konzernen möglich

Der Europäische Datenschutzausschuss (EDSA) erläutert in seinen “Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR” vom 18.11.2021 wann eine Datenverarbeitung außerhalb der EU/ des EWR überhaupt stattfindet. Die Hinweise helfen somit bei der Auswahl der zutreffenden Module für die entsprechende Vertragskonstellation.

Melden Sie sich für unseren Newsletter an.

Erhalten Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und IT-Sicherheit und Compliance.