Unterschied Standardvertragsklauseln neue/alte Fassung Änderungsmöglichkeiten

Neue Standardvertragsklauseln

1. Die neuen Standardvertragsklauseln (SCC) sind spätestens ab dem 27.09.2021 zwingend für Neuverträge zu verwenden. Spätestens bis zum 27.12.2022 muss eine Umstellung sämtlicher Altverträge auf die neuen Standardvertragsklauseln erfolgt sein.

Unterschied Standardvertragsklauseln neue/alte Fassung

2. Bei den Standardvertragsklauseln handelt es sich um Vertragsmuster, die von der Europäischen Kommission verabschiedet wurden. Diese  dürfen grundsätzlich nur dann grundsätzlich ohne eine besondere Genehmigung einer Aufsichtsbehörde verwendet werden, wenn sie gänzlich unverändert bleiben, Art. 46 Abs.2 lit. c der DSGVO.

a. Genehmigungsfrei bleibt auch die Auswahl eines Moduls oder die Ergänzung oder Aktualisierung von Informationen in der Anlage. Die neuen SCC sind modular aufgebaut; sie können in folgenden Konstellationen eingesetzt werden:

(1) EU-Verantwortlicher und Auftragsverarbeiter im Drittland

(2) EU-Verantwortlicher und Verantwortlicher im Drittland

(3) EU-Auftragsverarbeiter und Verantwortlicher im Drittland

(4) EU-Auftragsverarbeiter und Unterauftragsverarbeiter im Drittland

Dürfen Standardvertragsklauseln ergänzt oder sogar verändert werden?

b.  Die Frage, ob Standardvertragsklauseln ausschließlich mit einer besonderen Genehmigung verwendet werden dürfen, sobald diese um eine Regelung ergänzt werden, ist im Hinblick auf die Regelung in Art. 46 Abs.2 lit. c der DSGVO nicht ganz eindeutig.

In einer Entscheidung der Kommission (Verfahren 2010/87/EU) heißt es in Art.10 „Die Parteien verpflichten sich, die Klauseln nicht zu verändern. Es steht den Parteien allerdings frei, erforderlichenfalls weitere, geschäftsbezogene Klauseln aufzunehmen, sofern diese nicht im Widerspruch zu der Klausel stehen.“  Auch der Erwägungsgrund 109 Standardvertragsschutzklauseln ist wie vorher zitiert gleichlautend erklärt, dass Ergänzungen unter bestimmten Möglichkeiten zulässig sind.

Einige Datenschutzbehörden nehmen ebenfalls Stellung zu dieser Frage, wie der Landesbeauftragte für Datenschutz in Rheinland-Pfalz sowie NRW, welche die genehmigungsfreie Ergänzung der SCC unter den oben genannten Bedingungen für möglich erachten, wobei der hessische Beauftragte für Datenschutz jede Ergänzung der SCC für genehmigungspflichtig hält.

Das Bayerische Landesamt für Datenschutz hatte in seiner Pressemitteilung vom 20.11.2020 die Stärkung der Nutzer-Rechte bei Microsoft durch entsprechende Ergänzung der Standardvertragsklauseln öffentlich begrüßt. Insoweit ist davon auszugehen, dass die bayerische Datenschutzbehörde die Ergänzung der SCC nicht für per se genehmigungspflichtig hält.

Für eine genehmigungsfreie Anpassung der SCC sprechen auch die „FAQ der EU-Kommission“ zu internationalen Datentransfer. Auf der Seite 24 B.1. wird die Frage 9 „Can Companies include the standard contractual clauses in a wider contract and add specific clauses?“ eindeutig mit „ja“ beantwortet:

„Yes. Parties are free to agree to add other clauses as long as they do not contradict, directly or indirectly, the standard contractual clauses approved by the Commission or prejudice fundamental rights or freedoms of the data subjects. It is possible, for example, to include additional guarantees or procedural safeguards for the individuals (e.g. on-line procedures or relevant provisions contained in a privacy policy). All these other clauses that parties may decide to add would not be covered by the third-party beneficiary rights and would benefit from confidentiality rights where appropriate. Member States may also add additional items to the Appendix to the set of clauses adopted in 2001. In this Appendix, parties to the contract are expected to provide certain information about the categories of data being transferred and the purposes of the transfer. In all cases, the standard clauses have to be fully respected if they are to have the legal effect of providing an adequate safeguard for the transfer of personal data as required by the Data Protection Directive.“

Im Ergebnis ist wie folgt festzuhalten: Die Ergänzung der Klauseln darf nicht zu einer Änderung der SCC führen. Für den Fall der Ergänzung der SCC dürfte nach dem derzeitigen Rechtsstand eine besondere Genehmigung der Datenschutzbehörde nicht erforderlich werden, sofern die ergänzenden Klauseln weder mittelbar noch unmittelbar im Widerspruch zu den SCC stehen und die Grundrechte und Grundfreiheiten der betroffenen Personen nicht beschneiden. 

3. Die neuen SCC berücksichtigen sowohl das Schrems II-Urteil als auch die dazu veröffentlichten Stellungnahmen der Aufsichtsbehörden.

• Die neuen SCC verpflichten die Verwender dazu, explizit zu prüfen, ob der Datenimporteuer (im Drittland) die vertraglichen Regelungen, insbesondere zum Schutz vor Behördenzugriffen, einhalten kann, sog. Risikobewertung. Ferner muss der Verwender eventuell weitere technische und organisatorische Maßnahmen (wie z.B. Verschlüsselung) ergreifen. Das Ergebnis dieser Prüfung und die TOM müssen die Parteien dokumentieren und der für das datenexportierende EU-Unternehmen zuständigen Aufsichtsbehörde auf Verlangen vorlegen. Ferner ist der Datenimporteur verpflichtet, dem Datenexporteur mitzuteilen, wenn er sich zum Schutz der Daten vor Behördenzugriffen nicht länger in der Lage sieht. In diesem Fall muss der Datentransfer beendet werden.
• Der Datenimporteuer im Drittland muss sich gegen behördliche Informationsersuchen mit den möglichen Mitteln wehren (ggf. rechtliche Schritte dagegen unternehmen) und den Datenexporteuer sowie die betroffenen Personen informieren (Benachrichtigungspflicht).
• Die neuen SCC sind wie folgt modular aufgebaut:
• EU-Verantwortlicher und Auftragsverarbeiter im Drittland
• EU-Verantwortlicher und Verantwortlicher im Drittland
• EU-Auftragsverarbeiter und Verantwortlicher im Drittland
• EU-Auftragsverarbeiter und Unterauftragsverarbeiter im Drittland

Durch den modularen Aufbau bestehen mehr Gestaltungsoptionen als bisher.

• Neu sind auch die sog. „docking clauses“ , die den Beitritt weiterer Parteien zu den SCC ermöglichen sollen.
• Haftung der Parteien im Innenverhältnis für Pflichtverletzungen, nicht nur gegenüber betroffenen Personen. Unklar geblieben ist, ob die Parteien diese Haftung im Innenverhältnis ausschließen können.

So hilft Ihnen die Anwaltskanzlei Schenk Datenschutz Rechtsanwaltsgesellschaft mbH:

Die TÜV-zertifizierte Datenschutzbeauftragte Sabine Schenk, Fachanwältin für gewerblichen Rechtsschutz (Marken-, Medien-, Wettbewerbs-, Patentrecht), widmet sich seit 10 Jahren der zielorientierten und kostenoptimierten rechtlichen Beratung von Unternehmen und Selbstständigen.

Frau Schenk und ihr Team stehen Ihnen mit hoher Expertise in Sachen Datenschutz beratend zur Seite.

Rufen Sie uns an für eine kostenlose Ersteinschätzung oder schreiben Sie uns eine E-Mail:

info@europajurist-schenk.com

Tel: 08333 / 926936-0  

oder                                         

Tel: 089 / 2154387-7

https://www.europajurist-schenk.com/