Icon Compliance
Compliance

Google und Microsoft adé? - Teil 2

Fabian Brandenburger
Verfasst von: Fabian Brandenburger
Berater für Datenschutz und Informationssicherheit

Im zweiten Teil des dreiteiligen Blog-Artikels zeigen wir Ihnen die Vorteile und Alternativen der EU-Standardvertragsklauseln auf.

Außerdem beantworten wir die Frage, ob EU-Standardvertragsklauseln angepasst werden dürfen. Den ersten Teil verpasst? Kein Problem, Sie können diesen einfach hier nachlesen.

4. Welche Vorteile bringen die neuen SCC?

  1. Inhaltliche Anpassungen
    Die bisherigen bzw. alten SCC stammen aus einer Zeit vor in Kraft treten der DSGVO. Nun wurden sie an deren Wortlaut und Anforderungen, Probleme aus der Praxis sowie das Schrems-II-Urteil des EuGH angepasst.
     
  2. Erhöhter Schutz der betroffenen Personen
    Die betroffenen Personen, wie Beschäftigte oder Kunden, deren personenbezogene Daten durch Verantwortliche in einem Drittland verarbeitet werden, genießen eine höhere Schutzwirkung, gem. Klausel 3 der SCC.
     
  3. Beitritt von Dritten
    Mehrer Vertragsparteien können den abgeschlossenen SCC, auch im Nachhinein, beitreten, gem. Klausel 7 der SCC.
     
  4. Keine zusätzlichen Auftragsverarbeitungsverträge mehr erforderlich
    Sofern eine Auftragsverarbeitung stattfindet, muss kein zusätzlicher Auftragsverarbeitungsvertrag abgeschlossen werden. Die Klauseln der SCC decken mittlerweile alle Anforderungen des Art. 28 DSGVO ab.
     
  5. Vorrang der Standardvertragsklauseln / Haftungsbeschränkung
    Die SCC verdrängen mögliche widersprechende Vertragsklauseln aus ggf. vorhandenen Nutzungsbedingungen / Allgemeinen Geschäftsbedingungen oder sonstigen Abreden zum Datenschutz, gem. Klausel 5 und 12 der SCC.
     
  6. Auswahl des geltenden Rechts und Gerichtsstandes
    Die Vertragsparteien müssen das Recht und den Gerichtsstand eines EU- bzw. EWR-Mitgliedstaates auswählen, gem. Klausel 17 und 18 der SCC. Eine Ausnahme bildet das Modul 4.
     
  7. Flexibilität und größerer Anwendungskreis
    Die aktuellen SCC ermöglichen durch ihren modularen Aufbau einen deutlich größeren Anwendungskreis und sind durch die Einbeziehung Dritter in eine bestehende Vertragskonstellation auch deutlich flexibler im Handling.

5. Welche Alternativen zu den SCC gibt es?

Für die Verarbeitung personenbezogener Daten außerhalb der EU/des EWR kommen folgende alternative Rechtsundlagen in Betracht, gem. Artt. 44 bis 49 DSGVO, § 10 DSG-EKD, §§ 39 bis 41 KDG. Ihre Praxisrelevanz ist jedoch deutlich geringer.

  1. Angemessenheitsbeschluss der EU-Kommission (Art. 45 DSGVO)
    Einige Drittländer bekommen von der EU-Kommission ein vergleichbares Datenschutz-Niveau über einen Angemessenheitsbeschluss bescheinigt. Dazu gehört z.B. die Schweiz, Großbritannien, Israel, Japan. Eine Übersicht mit allen „sicheren“ Drittländern findet sich hier.
     
  2. Binding Corporate Rules (Art. 47 DSGVO)
    Verantwortliche, z.B. in einem internationalen Konzern, können sich auch selbst bestimmten Datenschutzvorgaben unterwerfen, welche durch die zuständige Datenschutz-Aufsichtsbehörde genehmigt werden müssen. Die Entwicklung und das Prüfverfahren sind in der Regel sehr (zeit-)aufwendig.
     
  3. Einwilligung als Ausnahmefall (Art. 49 Abs. 1 lit. a) DSGVO)
    In Ausnahmefällen kann auf eine Einwilligung der betroffenen Person zurückgegriffen werden. Dies ist jedoch nur in wenigen Praxis-Szenarien sinnvoll. Fraglich ist vor allem die Legitimierung von externen Diensten auf Webseiten, wie Plug-Ins oder Tracking-Technologien.
     
  4. Weitere Ausnahmenfür bestimmte Fälle (Art. 49 DSGVO)
    Abgesehen von der Einwilligung kann die Übermittlung personenbezogener Daten in ein Drittland ggf. erforderlich sein, um einen Vertrag mit der betroffenen Person zu erfüllen, z.B. im Rahmen einer Hotel-Reservierung oder Ähnlichem. Zudem gibt es noch weitere solcher Ausnahmen, die jedoch stets auf eine einmalige bzw. kurzfristige Datenverarbeitung ausgelegt sind. Hier ist auf jeden Fall Vorsicht geboten, da es sich um sehr eng gesteckte Ausnahmen handelt.

6. Müssen bzw. dürfen die EU-Standardvertragsklauseln (SCC) angepasst werden?

Nein, die SCC dürfen grundsätzliche nicht verändert werden, es sei denn die Anpassung wurde durch die zuständige Datenschutz-Aufsichtsbehörde genehmigt. Die Anhänge der SCC müssen jedoch um Angaben zu den konkreten Verarbeitungstätigkeiten sowie den technisch-organisatorischen Maßnahmen angepasst werden.

Melden Sie sich für unseren Newsletter an.

Erhalten Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und IT-Sicherheit und Compliance.