Außerdem beantworten wir die Frage, ob EU-Standardvertragsklauseln angepasst werden dürfen. Den ersten Teil verpasst? Kein Problem, Sie können diesen einfach hier nachlesen.
4. Welche Vorteile bringen die neuen SCC?
- Inhaltliche Anpassungen
Die bisherigen bzw. alten SCC stammen aus einer Zeit vor in Kraft treten der DSGVO. Nun wurden sie an deren Wortlaut und Anforderungen, Probleme aus der Praxis sowie das Schrems-II-Urteil des EuGH angepasst.
- Erhöhter Schutz der betroffenen Personen
Die betroffenen Personen, wie Beschäftigte oder Kunden, deren personenbezogene Daten durch Verantwortliche in einem Drittland verarbeitet werden, genießen eine höhere Schutzwirkung, gem. Klausel 3 der SCC.
- Beitritt von Dritten
Mehrer Vertragsparteien können den abgeschlossenen SCC, auch im Nachhinein, beitreten, gem. Klausel 7 der SCC.
- Keine zusätzlichen Auftragsverarbeitungsverträge mehr erforderlich
Sofern eine Auftragsverarbeitung stattfindet, muss kein zusätzlicher Auftragsverarbeitungsvertrag abgeschlossen werden. Die Klauseln der SCC decken mittlerweile alle Anforderungen des Art. 28 DSGVO ab.
- Vorrang der Standardvertragsklauseln / Haftungsbeschränkung
Die SCC verdrängen mögliche widersprechende Vertragsklauseln aus ggf. vorhandenen Nutzungsbedingungen / Allgemeinen Geschäftsbedingungen oder sonstigen Abreden zum Datenschutz, gem. Klausel 5 und 12 der SCC.
- Auswahl des geltenden Rechts und Gerichtsstandes
Die Vertragsparteien müssen das Recht und den Gerichtsstand eines EU- bzw. EWR-Mitgliedstaates auswählen, gem. Klausel 17 und 18 der SCC. Eine Ausnahme bildet das Modul 4.
- Flexibilität und größerer Anwendungskreis
Die aktuellen SCC ermöglichen durch ihren modularen Aufbau einen deutlich größeren Anwendungskreis und sind durch die Einbeziehung Dritter in eine bestehende Vertragskonstellation auch deutlich flexibler im Handling.
5. Welche Alternativen zu den SCC gibt es?
Für die Verarbeitung personenbezogener Daten außerhalb der EU/des EWR kommen folgende alternative Rechtsundlagen in Betracht, gem. Artt. 44 bis 49 DSGVO, § 10 DSG-EKD, §§ 39 bis 41 KDG. Ihre Praxisrelevanz ist jedoch deutlich geringer.
- Angemessenheitsbeschluss der EU-Kommission (Art. 45 DSGVO)
Einige Drittländer bekommen von der EU-Kommission ein vergleichbares Datenschutz-Niveau über einen Angemessenheitsbeschluss bescheinigt. Dazu gehört z.B. die Schweiz, Großbritannien, Israel, Japan. Eine Übersicht mit allen „sicheren“ Drittländern findet sich hier.
- Binding Corporate Rules (Art. 47 DSGVO)
Verantwortliche, z.B. in einem internationalen Konzern, können sich auch selbst bestimmten Datenschutzvorgaben unterwerfen, welche durch die zuständige Datenschutz-Aufsichtsbehörde genehmigt werden müssen. Die Entwicklung und das Prüfverfahren sind in der Regel sehr (zeit-)aufwendig.
- Einwilligung als Ausnahmefall (Art. 49 Abs. 1 lit. a) DSGVO)
In Ausnahmefällen kann auf eine Einwilligung der betroffenen Person zurückgegriffen werden. Dies ist jedoch nur in wenigen Praxis-Szenarien sinnvoll. Fraglich ist vor allem die Legitimierung von externen Diensten auf Webseiten, wie Plug-Ins oder Tracking-Technologien.
- Weitere Ausnahmenfür bestimmte Fälle (Art. 49 DSGVO)
Abgesehen von der Einwilligung kann die Übermittlung personenbezogener Daten in ein Drittland ggf. erforderlich sein, um einen Vertrag mit der betroffenen Person zu erfüllen, z.B. im Rahmen einer Hotel-Reservierung oder Ähnlichem. Zudem gibt es noch weitere solcher Ausnahmen, die jedoch stets auf eine einmalige bzw. kurzfristige Datenverarbeitung ausgelegt sind. Hier ist auf jeden Fall Vorsicht geboten, da es sich um sehr eng gesteckte Ausnahmen handelt.
6. Müssen bzw. dürfen die EU-Standardvertragsklauseln (SCC) angepasst werden?
Nein, die SCC dürfen grundsätzliche nicht verändert werden, es sei denn die Anpassung wurde durch die zuständige Datenschutz-Aufsichtsbehörde genehmigt. Die Anhänge der SCC müssen jedoch um Angaben zu den konkreten Verarbeitungstätigkeiten sowie den technisch-organisatorischen Maßnahmen angepasst werden.