{"id":6291,"date":"2022-11-25T17:02:54","date_gmt":"2022-11-25T15:02:54","guid":{"rendered":"https:\/\/www.psw-consulting.de\/blog\/?p=6291"},"modified":"2022-11-25T17:02:54","modified_gmt":"2022-11-25T15:02:54","slug":"update-der-standardvertragsklauseln","status":"publish","type":"post","link":"https:\/\/www.psw-consulting.de\/blog\/update-der-standardvertragsklauseln\/","title":{"rendered":"Update der Standardvertragsklauseln bis zum 27.Dezember 2022"},"content":{"rendered":"

Standardvertragsklauseln<\/strong> gab es schon lange vor der DSGVO. Allerdings haben die DSGVO und unter anderem das Schrems-II-Urteil dazu gef\u00fchrt, dass die EU-Kommission diese aktualisieren musste, um weiterhin Rechtssicherheit f\u00fcr Datentransfers au\u00dferhalb der EU zu gew\u00e4hrleisten. Die Hintergrundgeschichte k\u00f6nnt ihr in unserem anderen Blog-Beitrag<\/a> lesen.<\/p>\n

Umsetzungsfrist endet<\/h2>\n

Diese neuen Standardvertragsklauseln gibt es seit September 2021<\/strong>. Seitdem m\u00fcssen alle neu abgeschlossenen Vertr\u00e4ge mit Unternehmen au\u00dferhalb der EU diese neuen Klauseln enthalten. F\u00fcr bereits bestehende Vertragsbeziehungen wurde eine Frist f\u00fcr die Umstellung gesetzt: 27. Dezember 2022<\/strong>. Bis dahin m\u00fcssen alte Vertr\u00e4ge mit den neuen Klauseln aktualisiert sein, ansonsten drohen Strafen der Datenschutzbeh\u00f6rden.<\/p>\n

Die Umsetzungsfrist ist bindend und kann nicht verl\u00e4ngert werden<\/strong>. Das hei\u00dft, bis Ende Dezember m\u00fcssen alle Altvertr\u00e4ge durch die neuen ersetzt werden. Die Altvertr\u00e4ge gew\u00e4hrleisten kein angemessenes Schutzniveau beim Datentransfer mehr. Sie werden unwirksam<\/strong>.<\/p>\n

Dies l\u00e4sst sich einfach erkl\u00e4ren: In dem EuGH-Urteil \u201eSchrems II\u201c<\/strong> hat das Gericht geurteilt, dass der bis dato existierende Angemessenheitsbeschluss \u201eEU-US Privacy Shield\u201c<\/strong> f\u00fcr die Daten\u00fcbermittlung in die USA ung\u00fcltig<\/strong> ist. Gleichzeitig hat der EuGH auch die Anforderungen konkretisiert, die sich f\u00fcr alle Daten\u00fcbermittlungen in Drittl\u00e4ndern aus den Art. 44 ff. DSGVO<\/strong> ergeben. Es sei hier angemerkt, dass es sich bei den USA um ein sogenanntes unsicheres Drittland handelt, bei dem kein mit der EU vergleichbares und gleichwertiges Datenschutzniveau vorliegt.<\/p>\n

Was ist bei den Standardvertragsklauseln neu?<\/h3>\n

Module<\/strong><\/p>\n

Die neuen SCCs (Standard Contractual Clauses) bestehen aus vier Modulen f\u00fcr verschiedene Szenarios der Beziehung zwischen Verantwortlichen und Auftragsverarbeitern im Sinne der DSGVO:<\/p>\n

\u2022 Modul 1: C2C – Verantwortlicher \u2013 Verantwortlicher\/Controller to Controller<\/strong>
\ndeckt die Daten\u00fcbermittlung von einem Verantwortlichen in der EU an einen Verantwortlichen in einem Drittland ab. Bereits die alten SCCs haben diese Konstellation erfasst.<\/p>\n

\u2022 Modul 2: C2P – Verantwortlicher und Auftragsverarbeiter\/Controller to Processor<\/strong>
\ndeckt die Daten\u00fcbermittlung von einem Verantwortlichen in der EU an einen Auftragsverarbeiter in einem Drittland ab. Auch diese Konstellation wurde von den alten SCCs erfasst. Allerdings haben die neuen SCCs den Vorteil, dass Verantwortliche mit Auftragsverarbeitern in einem Drittland keine gesonderte Auftragsverarbeitungsvereinbarung mehr abschlie\u00dfen m\u00fcssen. Gem\u00e4\u00df Artikel 28 DSGVO darf die Verarbeitung von Daten durch einen Auftragsverarbeiter nur auf Basis einer Auftragsverarbeitungsvereinbarung erfolgen. Modul 2 deckt diese Anforderung nun mit ab.<\/p>\n

\u2022 Modul 3: P2P – Auftragsverarbeiter und (Unter-)Auftragsverarbeiter\/Processor to Processor<\/strong>
\nerfasst die Konstellation, dass ein Auftragsverarbeiter in der EU, Daten an einen
\nUnterauftragsverarbeiter\/Sub Processor in einem Drittland \u00fcbermittelt. Auftragsverarbeiter in der EU k\u00f6nnen also Unterauftragsverarbeiter au\u00dferhalb der EU einsetzen. Diese Konstellation wurde neu eingef\u00fchrt. Wollte ein Auftragsverarbeiter einen Unterauftragsverarbeiter unter den alten SCCs einsetzen, war es notwendig, dass der Verantwortliche selbst SCCs mit dem Unterauftragsverarbeiter abschlie\u00dft. Der Auftragsverarbeiter konnte nicht selbstst\u00e4ndig einen Unterauftragsverarbeiter einsetzen, obwohl zwischen ihm und dem Verantwortlichen eine Auftragsverarbeitungsvereinbarung bestand. Dies hat sich nun ge\u00e4ndert. Modul 3 \u00e4hnelt Modul 2, mit der Folge, dass Parteien keine gesonderte Unterauftragsverarbeitungsvereinbarung mehr abschlie\u00dfen m\u00fcssen. Hierdurch verringert sich der organisatorische Aufwand f\u00fcr den Verantwortlichen.<\/p>\n

\u2022 Modul 4: P2C – Auftragsverarbeiter und Verantwortlicher\/Processor to Controller<\/strong>
\nDie Parteienkonstellation unter Modul 4 ist ebenfalls neu und deckt die Daten(r\u00fcck)\u00fcbermittlung von einem Auftragsverarbeiter in der EU an einen Verantwortlichen in einem Drittland ab. Anders als Modul 2 und 3 erf\u00fcllt Modul 4 die Anforderung des Artikel 28 DSGVO nicht, sprich es m\u00fcssen gesonderte Auftragsverarbeitungsvereinbarungen abgeschlossen werden.<\/p>\n

Mehre Parteien<\/h3>\n

Des Weiteren gibt es die sogenannte Kopplungsklausel<\/strong> \u2013 diese besagt, dass die Standardvertragsklauseln auch zwischen mehr als zwei Parteien geschlossen werden k\u00f6nnen, auch k\u00f6nnen dritte Parteien bereits geschlossenen Standardvertragsklauseln beitreten.<\/p>\n

Wichtig:<\/strong> Standardvertragsklauseln d\u00fcrfen nicht abge\u00e4ndert werden, sondern nur durch weitere Klauseln erg\u00e4nzt werden, soweit sie dem Wortlaut der SVK nicht widersprechen.<\/p>\n

Was sollte man als N\u00e4chstes tun?<\/h3>\n

Um drohende Strafen zu vermeiden<\/strong>, empfehlen wir, Datentransfers in unsichere Drittl\u00e4nder wie folgt zu pr\u00fcfen:<\/p>\n

\u2022 Kontrolliert<\/strong>, auf welcher rechtlichen Basis und an welche Vertragspartner personenbezogene Daten in Drittl\u00e4nder \u00fcbermittelt werden.
\n\u2022 Findet heraus<\/strong>, welche der SCCs Module f\u00fcr Eure Drittlandtransfers abzuschlie\u00dfen sind.
\n\u2022 F\u00fchrt die Risiko- und Folgenabsch\u00e4tzung<\/strong> (bekannt als \u201eTransfer Impact Assessment\u201c, TIA) gem\u00e4\u00df den neuen SCCs f\u00fcr die jeweiligen Drittlandtransfers mit Unterst\u00fctzung der Vertragspartner durch.
\n\u2022 Trefft angemessene Sicherheitsma\u00dfnahmen<\/strong>, wie Pseudonymisierung, Anonymisierung und Verschl\u00fcsselung um die Risiken zu senken
\n\u2022 Dokumentiert<\/strong> Eure Ergebnisse und legt mit den Vertragspartnern einen Termin f\u00fcr die n\u00e4chste Evaluierung fest. Die neuen SCCs sind keine \u201eFire-and-Forget\u201c-L\u00f6sung, sondern bed\u00fcrfen entsprechender Anpassung gem\u00e4\u00df den rechtlichen Risiken und \u00c4nderungen in den unsicheren Drittstaaten (z. B., wenn Angemessenheitsbeschl\u00fcsse betreffend Drittl\u00e4nder aufgehoben werden, – so geschehen bei den USA – oder bestimmte nationale Gesetze in Drittl\u00e4ndern erlassen werden etc.).<\/p>\n

Tipps<\/h3>\n

Einen detaillierten Einblick \u00fcber die Interpretation und die einhergehende Empfehlungen des Europ\u00e4ischen Datenschutzausschusses (EDSA) findet ihr hier<\/a>.
\nUnd wie immer gilt; Solltet Ihr Unterst\u00fctzung ben\u00f6tigen, unser Datenschutz-Team hilft gerne weiter.<\/p>\n

Fazit<\/h2>\n

Euer Unternehmen muss bis zum 27.12.2022<\/strong> die neuen Standardvertragsklauseln abschlie\u00dfen. Diese sind zwar erfreulicherweise an die DSGVO angepasst und allein dadurch schon etwas sicherer. Doch allein diese abzuschlie\u00dfen bietet Euch keinen Freifahrtschein<\/strong>: Ihr m\u00fcsst zus\u00e4tzlich eine Risikoabsch\u00e4tzung machen. Es gibt also viel zu tun und Ihr solltet euch so schnell wie m\u00f6glich darum k\u00fcmmern.<\/p>\n","protected":false},"excerpt":{"rendered":"

Standardvertragsklauseln gab es schon lange vor der DSGVO. Allerdings haben die DSGVO und unter anderem das Schrems-II-Urteil dazu gef\u00fchrt, dass die EU-Kommission diese aktualisieren musste, um weiterhin Rechtssicherheit f\u00fcr Datentransfers au\u00dferhalb der EU zu gew\u00e4hrleisten. Die Hintergrundgeschichte k\u00f6nnt ihr in unserem anderen Blog-Beitrag lesen. Umsetzungsfrist endet Diese neuen Standardvertragsklauseln gibt es seit September 2021. Seitdem … <\/p>\n

Mehr Lesen Mehr Lesen<\/span><\/a><\/p>\n","protected":false},"author":9,"featured_media":6294,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[111],"tags":[3,176,177,174,175,173],"class_list":["post-6291","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-datenschutz","tag-datenschutz","tag-datentransfers","tag-drittlandtransfer","tag-scc","tag-scc-klauseln","tag-standardvertragsklauseln"],"_links":{"self":[{"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/posts\/6291","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/users\/9"}],"replies":[{"embeddable":true,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/comments?post=6291"}],"version-history":[{"count":6,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/posts\/6291\/revisions"}],"predecessor-version":[{"id":6298,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/posts\/6291\/revisions\/6298"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/media\/6294"}],"wp:attachment":[{"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/media?parent=6291"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/categories?post=6291"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/tags?post=6291"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}