Standardvertragsklauseln: Alles Wichtige über die neuen SCCs

Ab dem 27.12.2022 müssen alle Standardvertragsklauseln dem von der EU vorgegebenen neuen Muster entsprechen. Dann läuft die letzte Übergangsfrist für einen Prozess ab, der mit dem Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH) bereits 2020 begonnen hat. In diesem Artikel erfährst du alles Wichtige über die Hintergründe der Entscheidung und wie du neue Standardvertragsklauseln einfach umsetzt.

Die Frist für die alten Standardvertragsklauseln endet mit dem 26.12.2022.

DSGVO und Schrems-II: Startschüsse für neue Standardvertragsklauseln

Die seit 2018 anzuwendende, von der EU beschlossene DSGVO zielt darauf ab, ein höheres Datenschutzniveau zu erreichen und sicherzustellen, dass insbesondere Unternehmen und Institutionen diskret mit personenbezogenen Daten umgehen. Doch was passiert mit Daten, die in unserer global vernetzten Welt den europäischen Datenschutzraum verlassen? Dafür gibt es zwei Optionen: Einen Angemessenheitsbeschluss oder andere geeignete Garantien, wie zum Beispiel die sogenannten Standardvertragsklauseln beziehungsweise Standard Contractual Clauses (SCC).

Die EU kann durch einen Angemessenheitsbeschluss feststellen, dass ein Land einen vergleichbaren Datenschutzstandard besitzt und damit der Datentransfer unbedenklich ist. Dies hatte die EU mit Bezug auf die USA mit dem Privacy Shield getan. 2020 befand der EuGH jedoch im Schrems-II-Urteil, dass dieser Angemessenheitsbeschluss ungültig sei. Daher mussten betroffene Unternehmen fortan die Standardvertragsklauseln nutzen, wenn sie Daten in die USA übertragen wollten, um beispielsweise Software von US-Unternehmen einzusetzen. Diese SCCs gewährleisten nämlich, dass ein außereuropäischer Vertragspartner einen mit der DSGVO vergleichbaren Datenschutzstandard einhält. Dieses Verfahren wird auch bei jedem anderen Staat angewendet, dessen Datenschutzniveau nicht der EU-Norm entspricht. Als Reaktion auf die Einführung der DSGVO und das Schrems-II-Urteil wurden neue Regeln für Standardvertragsklauseln beschlossen, die von Unternehmen und Institutionen umzusetzen waren.

 

Standardvertragsklauseln stellen sicher, dass auch bei der Kooperation mit außereuropäischen Unternehmen das hohe Datenschutzniveau der DSGVO gewahrt wird.

Welche Funktion haben die neuen Standardvertragsklauseln und wie sind sie aufgebaut?

Nach dem Schrems-II-Urteil 2020 hat die EU 2021 neue Standardvertragsklauseln eingeführt. Seitdem müssen alle neu abgeschlossenen Verträge den aktualisierten Anforderungen entsprechen. Für die Überarbeitung alter SCCs wurde eine Frist bis zum 27.12.2022 beschlossen.

Die neuen Standardvertragsklauseln zeichnen sich vor allem durch ihren modularen Aufbau aus. Zuvor gab es drei verschiedene Sets von SCCs, die nun durch ein Modulsystem ersetzt wurden. Dadurch sollen Unternehmen neben der aktualisierten Rechtssicherheit auch von mehr Flexibilität für den Datentransfer in Drittländer profitieren.

Die neuen SCCs können von Unternehmen als rechtssichere Vorlagen genutzt werden und sollen schnellere Prozesse und einen verbesserten Datenschutz ermöglichen. Allerdings sorgt die gewonnene Flexibilität durch den komplexen modularen Aufbau auch dafür, dass das Aufsetzen von Standardvertragsklauseln ohne die nötige Expertise oder Software kaum zu schaffen ist.

Wie kann ich die neuen Standardvertragsklauseln für mein Unternehmen erstellen?

Die Datenschutzbeauftragten der betroffenen Unternehmen sehen sich seit 2020 mit großen Herausforderungen konfrontiert. Sie mussten zunächst prüfen, welche Daten sie überhaupt in datenschutztechnisch unsichere Drittstaaten transferieren – beispielsweise im Rahmen von Cloud-Lösungen der US-Anbieter Amazon, Microsoft oder Google. Daraufhin galt es, für bestehende Verträge neue Standardvertragsklauseln mit den Partnerfirmen außerhalb der EU abzuschließen.

Auch neu abzuschließende SCCs sind kein Kinderspiel. Aufgrund des modularen Aufbaus der Standardvertragsklauseln ist der richtige Vertragsaufbau eine komplexe Angelegenheit. Gleichzeitig gibt es jedoch für viele Unternehmen keine gleichwertige Alternative, die ohne internationale Datenschutztransfers auskommt.

Daher haben wir einen SCC-Generator entwickelt, bei dem die Benutzerfreundlichkeit im Mittelpunkt steht. Er kann dank seiner gut verständlichen Erklärungen auch von Personen ohne Expertise im Datenschutzrecht bedient werden. Darüber hinaus ist der SCC-Generator sowohl auf Deutsch als auch auf Englisch nutzbar. So entwickeln Unternehmen DSGVO-konforme Standardvertragsklauseln für den Datentransfer in Drittstaaten.

Ausblick: Standardvertragsklauseln und ein neuer Angemessenheitsbeschluss 2023?

Bei Standardvertragsklauseln liegt der Fokus häufig auf den USA und ihrem Datenschutzrecht. Dies ist mit den dort ansässigen großen Unternehmen zu erklären, die auf Datenverarbeitung ausgelegt sind und auch in der EU häufig genutzt werden. Aktuell müssen in der EU agierende Unternehmen für die Zusammenarbeit mit US-amerikanischen Partnern SCCs abschließen – genauso wie mit Firmen aus anderen Teilen der Welt, deren Datenschutzniveau nicht dem der europäischen DSGVO entspricht. Dabei hilft der SCC-Generator, mit dem die Verträge nach neuem Muster aufgesetzt werden können.

In der Beziehung der EU mit den USA zeichnet sich jedoch aktuell erneut eine Veränderung ab. Im Dezember 2022 gab die Europäische Kommission bekannt, dass sie ein Verfahren zur Annahme eines neuen Angemessenheitsbeschlusses für die USA eingeleitet habe. Der neue Beschluss ist das Ergebnis langwieriger Verhandlungen mit den USA, woraufhin diese mit der Executive Order 14086 datenschutzrechtliche Verbesserungen in das US-Recht überführt haben. Inwieweit die Bedenken des EuGH aus dem Schrempf-II-Urteil ausgeräumt wurden und ob der Angemessenheitsbeschluss vor den europäischen Gerichten standhält, bleibt abzuwarten.

Zeitstrahl der neuen Standardvertragsklauseln:

  • 2018: DSGVO tritt final in Kraft.
  • 2020: Der EuGH kippt mit dem Schrems-II-Urteil das EU-US Privacy Shield.
  • 2021: Die EU veröffentlicht neue Standardvertragsklauseln.
  • 2022: Die Frist zur Umstellung auf die neuen SCCs läuft ab.
  • 2023: Ein neuer Angemessenheitsbeschluss mit den USA zeichnet sich ab.
Online SCC-Generator von caralegal

Jetzt den SCC Generator von caralegal nutzen

Erstellen Sie passende Standardvertragsklauseln in wenigen Minuten.

Diese Beiträge könnten Sie auch interessieren

Wörterbuch für die Datenschutzpraxis

Wörterbuch für die Datenschutzpraxis

Spätestens seit der Einführung der DSGVO 2018 ist der Datenschutz eine internationale Angelegenheit. Das ist für Unternehmen, die außerhalb von Deutschland eine Niederlassung haben, auch eine sprachliche Herausforderung.Praxistaugliches Datenschutzwörterbuch Das...