Standardvertragsklauseln: Alles Wichtige über die neuen SCCs

von Dennis Kurpierz, Co-Founder & COO
26. Dezember 2022
8 Minuten
Ab dem 27.12.2022 müssen alle Standardvertragsklauseln dem von der EU vorgegebenen neuen Muster entsprechen. Dann läuft die letzte Übergangsfrist für einen Prozess ab, der mit dem Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH) bereits 2020 begonnen hat. In diesem Artikel erfährst du alles Wichtige über die Hintergründe der Entscheidung und wie du neue Standardvertragsklauseln einfach umsetzt.

DSGVO und Schrems-II: Startschüsse für neue Standardvertragsklauseln

Die seit 2018 anzuwendende, von der EU beschlossene DSGVO zielt darauf ab, ein höheres Datenschutzniveau zu erreichen und sicherzustellen, dass insbesondere Unternehmen und Institutionen diskret mit personenbezogenen Daten umgehen. Doch was passiert mit Daten, die in unserer global vernetzten Welt den europäischen Datenschutzraum verlassen? Dafür gibt es zwei Optionen: Einen Angemessenheitsbeschluss oder andere geeignete Garantien, wie zum Beispiel die sogenannten Standardvertragsklauseln beziehungsweise Standard Contractual Clauses (SCC).

Die EU kann durch einen Angemessenheitsbeschluss feststellen, dass ein Land einen vergleichbaren Datenschutzstandard besitzt und damit der Datentransfer unbedenklich ist. Dies hatte die EU mit Bezug auf die USA mit dem Privacy Shield getan. 2020 befand der EuGH jedoch im Schrems-II-Urteil, dass dieser Angemessenheitsbeschluss ungültig sei.

Daher mussten betroffene Unternehmen fortan die Standardvertragsklauseln nutzen, wenn sie Daten in die USA übertragen wollten, um beispielsweise Software von US-Unternehmen einzusetzen. Diese SCCs gewährleisten nämlich, dass ein außereuropäischer Vertragspartner einen mit der DSGVO vergleichbaren Datenschutzstandard einhält. Dieses Verfahren wird auch bei jedem anderen Staat angewendet, dessen Datenschutzniveau nicht der EU-Norm entspricht. Als Reaktion auf die Einführung der DSGVO und das Schrems-II-Urteil wurden neue Regeln für Standardvertragsklauseln beschlossen, die von Unternehmen und Institutionen umzusetzen waren.

Standardvertragsklauseln stellen sicher, dass auch bei der Kooperation mit außereuropäischen Unternehmen das hohe Datenschutzniveau der DSGVO gewahrt wird.

Welche Funktion haben die neuen Standardvertragsklauseln und wie sind sie aufgebaut?

Nach dem Schrems-II-Urteil 2020 hat die EU 2021 neue Standardvertragsklauseln eingeführt. Seitdem müssen alle neu abgeschlossenen Verträge den aktualisierten Anforderungen entsprechen. Für die Überarbeitung alter SCCs wurde eine Frist bis zum 27.12.2022 beschlossen.

Die neuen Standardvertragsklauseln zeichnen sich vor allem durch ihren modularen Aufbau aus. Zuvor gab es drei verschiedene Sets von SCCs, die nun durch ein Modulsystem ersetzt wurden. Dadurch sollen Unternehmen neben der aktualisierten Rechtssicherheit auch von mehr Flexibilität für den Datentransfer in Drittländer profitieren.

Die neuen SCCs können von Unternehmen als rechtssichere Vorlagen genutzt werden und sollen schnellere Prozesse und einen verbesserten Datenschutz ermöglichen. Allerdings sorgt die gewonnene Flexibilität durch den komplexen modularen Aufbau auch dafür, dass das Aufsetzen von Standardvertragsklauseln ohne die nötige Expertise oder Software kaum zu schaffen ist.

Wie kann ich die neuen Standardvertragsklauseln für mein Unternehmen erstellen?

Die Datenschutzbeauftragten der betroffenen Unternehmen sehen sich seit 2020 mit großen Herausforderungen konfrontiert. Sie mussten zunächst prüfen, welche Daten sie überhaupt in datenschutztechnisch unsichere Drittstaaten transferieren – beispielsweise im Rahmen von Cloud-Lösungen der US-Anbieter Amazon, Microsoft oder Google. Daraufhin galt es, für bestehende Verträge neue Standardvertragsklauseln mit den Partnerfirmen außerhalb der EU abzuschließen.

Auch neu abzuschließende SCCs sind kein Kinderspiel. Aufgrund des modularen Aufbaus der Standardvertragsklauseln ist der richtige Vertragsaufbau eine komplexe Angelegenheit. Gleichzeitig gibt es jedoch für viele Unternehmen keine gleichwertige Alternative, die ohne internationale Datenschutztransfers auskommt.

Daher haben wir einen SCC-Generator entwickelt, bei dem die Benutzerfreundlichkeit im Mittelpunkt steht. Er kann dank seiner gut verständlichen Erklärungen auch von Personen ohne Expertise im Datenschutzrecht bedient werden. Darüber hinaus ist der SCC-Generator sowohl auf Deutsch als auch auf Englisch nutzbar. So entwickeln Unternehmen DSGVO-konforme Standardvertragsklauseln für den Datentransfer in Drittstaaten.

Ausblick: Standardvertragsklauseln und ein neuer Angemessenheitsbeschluss 2023?

Bei Standardvertragsklauseln liegt der Fokus häufig auf den USA und ihrem Datenschutzrecht. Dies ist mit den dort ansässigen großen Unternehmen zu erklären, die auf Datenverarbeitung ausgelegt sind und auch in der EU häufig genutzt werden. Aktuell müssen in der EU agierende Unternehmen für die Zusammenarbeit mit US-amerikanischen Partnern SCCs abschließen – genauso wie mit Firmen aus anderen Teilen der Welt, deren Datenschutzniveau nicht dem der europäischen DSGVO entspricht. Dabei hilft der SCC-Generator, mit dem die Verträge nach neuem Muster aufgesetzt werden können.

In der Beziehung der EU mit den USA zeichnet sich jedoch aktuell erneut eine Veränderung ab. Im Dezember 2022 gab die Europäische Kommission bekannt, dass sie ein Verfahren zur Annahme eines neuen Angemessenheitsbeschlusses für die USA eingeleitet habe. Der neue Beschluss ist das Ergebnis langwieriger Verhandlungen mit den USA, woraufhin diese mit der Executive Order 14086 datenschutzrechtliche Verbesserungen in das US-Recht überführt haben. Inwieweit die Bedenken des EuGH aus dem Schrempf-II-Urteil ausgeräumt wurden und ob der Angemessenheitsbeschluss vor den europäischen Gerichten standhält, bleibt abzuwarten.
Zeitstrahl der neuen Standardvertragsklauseln:

2018: DSGVO tritt final in Kraft.

2020: Der EuGH kippt mit dem Schrems-II-Urteil das EU-US Privacy Shield.

2021: Die EU veröffentlicht neue Standardvertragsklauseln.

2022: Die Frist zur Umstellung auf die neuen SCCs läuft ab.

2023: Ein neuer Angemessenheitsbeschluss mit den USA zeichnet sich ab.

Auf dieser Seite
Primary Item (H2)

Über den Autor

Dennis Kurpierz
Co-Founder & COO von caralegal
Dennis Kurpierz ist Mitgründer und Chief Operating Officer von caralegal und kennt durch seine langjährige Erfahrung als Senior Consultant und Lead Project Manager bei der ISiCO Datenschutz GmbH die Kundenbedürfnisse sowie Pain Points und Herausforderungen im Datenschutzmanagement. Als Product Owner setzt er dieses Fachwissen in der Produktentwicklung von caralegal um.
Ihre Anmeldung konnte nicht gespeichert werden. Bitte versuchen Sie es erneut.
Ihre Anmeldung war erfolgreich.
Zum Newsletter
anmelden

Diesen Beitrag teilen

Teilen Sie die interessantesten Neuigkeiten aus der Welt 
des Datenrechts mit FreundInnen und KollegInnen.
linked-in-logo

Ähnliche Beiträge

Entdecke weitere Beiträge zu diesem Thema:
Betroffenenanfragen – der Erfolgsguide
Mehr erfahren
7 SDM-Gewährleistungsziele
Mehr erfahren
Auf einen Blick: Schwellwertanalyse
Mehr erfahren

Dafür fehlt mir
die Zeit caralegal

caralegal live testen
In 2 Tagen startklar
64% Zeitersparnis
20 Jahre Datenschutzerfahrung
We make the legal way the lighter way
Wir glauben, dass Verordnungen dazu da sind, die Welt zu lenken. Nicht sie auszubremsen. Deshalb verändern wir, wie Unternehmen datenrechtliche Anforderungen erfüllen: intuitiv, dank intelligenter Technologie.
Wissen sichern - keine News mehr verpassen
Jetzt Newsletter abonnieren
Zum Newsletter anmelden
Unsere Partner
© 2024 caralegal GmbH
DatenschutzerklärungImpressum