Wenn Sie personenbezogene Daten in die USA oder andere Drittländer übermitteln, müssen Sie für einen angemessenen Schutz der Daten sorgen. Das geht zum Beispiel, indem Sie Standardvertragsklauseln abschließen und eine Risikoabschätzung machen. Nun hat die EU-Kommission neue, lang ersehnte Standardvertragsklauseln verabschiedet, die endlich DSGVO-konform sind. Wir erklären, was das genau bedeutet und was Sie jetzt tun müssen.
So gehen Sie vor:
- Prüfen Sie, an welche Anbieter und Freelancer außerhalb der EU Sie personenbezogene Daten übermitteln.
- Verwenden Sie bei neuen Verträgen die neuen Standardvertragsklauseln. Tauschen Sie alte Versionen bis zum 27.12.2022 aus.
- Planen Sie genug Zeit ein, denn Sie müssen zusätzlich eine Risikoabschätzung machen.
{siebert}
Wenn Sie eRecht24 Premium buchen, erhalten Sie hierfür ein anwaltlich erstelltes Muster.
{/siebert}
Ob Mailchimp, Microsoft, Zoom oder Google Analytics: Es gibt zahlreiche Tools, auf die Sie als Unternehmer womöglich nicht verzichten möchten. Sobald Sie dabei personenbezogene Daten in Staaten außerhalb der EU übermitteln, wird es aber datenschutzrechtlich komplizierter. Denn Sie müssen dafür sorgen, dass die Daten so geschützt werden, wie es innerhalb der EU verlangt wird. Was viele nicht wissen: Das gilt auch dann, wenn Sie selbst eine Dienstleistung innerhalb der EU erbringen, aber dabei Ihrerseits Freelancer außerhalb der EU als Subunternehmer beauftragen.
Standardvertragsklauseln sind Musterverträge der EU-Kommission, die beide Vertragsparteien verpflichten ein Datenschutzniveau einzuhalten, das mit dem der EU vergleichbar ist.
Wenn Sie personenbezogene Daten in nicht-europäische Drittländer übertragen, müssen Sie zum einen eine geeignete Rechtsgrundlage nach der DSGVO dafür haben. Doch damit ist es nicht getan. Der Empfänger personenbezogener Daten muss auch ein angemessenes Schutzniveau haben. Sicherstellen können Sie dies, indem Sie eine geeignete Garantie dafür nachweisen. Besonders beliebt hierfür sind die sog. Standardvertragsklauseln.
Das Blöde an der Sache ist nur: Bis vor kurzem gab es nur EU Standardvertragsklauseln aus den Jahren vor 2018, also bevor die DSGVO in Kraft getreten ist. Dies hat sich nun endlich geändert: Die neuen EU Standardvertragsklauseln sind an die Vorgaben der DSGVO angepasst.
Zudem sind auch die Anforderungen aus dem EuGH-Urteil zum Privacy Shield an die dokumentierte Risikoeinschätzung („Transfer Impact Assessment“): aufgenommen: Die Parteien müssen sinngemäß versichern,
- dass sie nicht glauben,
- dass sie mit Blick auf die Rechtsvorschriften und Gepflogenheiten des Drittstaates
- die Pflichten aus den Standardvertragsklauseln nicht einhalten können.
Hintergrund: Der EuGH hatte in seinem Urteil zum Privacy Shield erklärt, dass die bisherigen EU Standardvertragsklauseln zwar gültig seien, der Unternehmer aber zusätzlich im Einzelfall prüfen müsse, ob das Drittland auch tatsächlich ein angemessenes Schutzniveau sicherstelle. Viele Unternehmer fragten sich, was sie jetzt genau tun müssen. Insoweit bieten die neuen Standardvertragsklauseln zumindest ein wenig mehr Rechtssicherheit.
Wenn Sie Sie als Unternehmer die neuen Standardvertragsklauseln verwenden, ergeben sich folgende Änderungen gegenüber der alten Version:
- Die Klauseln sind modular aufgebaut – sie enthalten Bausteine für die vier denkbaren Fälle, vgl. unten)
- Sie beinhalten umfassende Haftungsregeln
- Sie können den Gerichtsstand und das anwendbare Recht festlegen
- Sie haben umfassende Dokumentationspflichten
Im Ergebnis haben Sie folgende Vor- und Nachteile:
- Vorteil: Mit den neuen Standardvertragsklauseln sind Sie flexibler.
- Nachteil: Der Abschluss der Standardvertragsklauseln wird für Sie komplizierter.
Wenn Sie personenbezogene Daten nur in die EU übermitteln, brauchen Sie keine Standardvertragsklauseln. Sobald Sie die Daten aber an Anbieter übermitteln, die in einem Drittland sitzen, sollten Sie aber Standardvertragsklauseln abschließen. Und das kann manchmal schneller passieren, als man denkt. Die zwei wichtigsten Praxisfälle:
1. Sie nutzen Tools eines Anbieters mit Sitz außerhalb der EU und übermitteln personenbezogenen Daten in dieses Land
- Beispiele:
- Google Analytics
- Microsoft Zoom
- Mailchimp
- Facebook
- YouTube
- Instagram
2. Sie bieten selbst ein Tool oder eine Dienstleistung an. Sie bedienen sich dafür (zum Teil) selbst weiterer Freelancer, die nicht in der EU sitzen
Beispiele:
- Sie bieten eine App an. Ihr Kunde nutzt diese und übermittelt Ihnen personenbezogenen Daten seiner Kunden.
- Die Programmierung einzelner Bestandteile übernimmt ein Freelancer mit Sitz in Indien, der die personenbezogene Daten verarbeitet.
- Den telefonischen Kundenservice Ihres Unternehmens führt ein Callcenter durch, das in Pakistan sitzt.
Sie müssen die neuen Standardvertragsklauseln nämlich in vier Fällen abschließen:
- wenn Sie für die personenbezogenen Daten verantwortlich sind und Ihr Vertragspartner im nicht-europäischen Drittland ebenfalls Verantwortlicher ist (Standardvertragsklauseln Verantwortlicher – Verantwortlicher)
Beispiel: Sie haben ein Unternehmen mit Kunden in den USA. Sie beauftragen ein Inkassounternehmen mit Sitz in den USA und übertragen diesem eine Forderung.
- wenn Sie für die personenbezogenen Daten verantwortlich sind und Ihr Vertragspartner für Sie im Auftrag tätig ist, also in Ihrem Auftrag die Daten verarbeitet (Standardvertragsklauseln Verantwortlicher – Auftragsverarbeitung)
Beispiel: Sie beauftragen Mailchimp mit dem Newsletterversand.
- wenn sowohl ihr Vertragspartner als auch Sie als Auftragsverarbeiter handeln, also jemand anders Verantwortlicher ist (Standardvertragsklauseln Auftragsverarbeitung – Auftragsverarbeitung);
Beispiel: Sie haben ein Callcenter und führen für eine Firma Anrufe durch. Sie bedienen sich eines weiteren Callcenters außerhalb der EU, an die Sie die Anrufe teilweise auslagern.
- wenn Sie selbst Auftragsverarbeiter sind und die Daten an den Verantwortlichen übermitteln, der in einem Drittstaat sitzt (Standardvertragsklauseln Auftragsverarbeitung – Verantwortlicher)
Beispiel: Ein Unternehmen aus Asien beauftragt Sie mit der Betreuung seiner deutschen Kontaktanfragen.
Sie haben noch 18 Monate Zeit, die neuen Standardvertragsklauseln mit Ihren Vertragspartnern abzuschließen: Bis zum 27. Dezember 2022 müssen Sie alle alten Standardvertragsklauseln durch die neuen ersetzt haben. Sofern Sie neue Verträge abschließen, müssen Sie die neuen Standardvertragsklauseln spätestens ab dem 27.9.2021 verwenden. Bis dahin können Sie also theoretisch noch wählen, ob Sie die neuen oder alten Standardvertragsklauseln abschließen.
Im folgenden sehen Sie, ob und wie die größten Anbieter die Standardvertragsklauseln umgesetzt haben, wie Sie diese abschließen und wo Sie die Bestimmungen finden.
| Anbieter |
Wie umgesetzt? |
Wie abschließen? |
Link |
| Mailchimp |
offen |
|
|
| Microsoft |
Anbieter hat die neuen SCCs in Dokument "Microsoft Products and Services Data Protection Addendum“ eingebunden. |
1. bestehende Verträge:
Sie müssen den Vertrag aktiv abschließen.
Aktualisieren Sie dazu die bestehenden Verträge über den Onlinedienst.
2. neue Verträge:
Die neuen SCC gelten automatisch automatisch.
|
https://www.microsoft.com/-licensing/docs |
| Zoom |
offen |
|
|
| AWS |
Anbieter hat die neuen SCCs in Dokument "AWS GDPR Data Processing Addendum“ eingebunden |
Die neuen SCC gelten automatisch. |
https://d1.awsstatic.com/-legal/aws-gdpr/AWS_GDPR_DPA.pdf |
| YouTube |
offen |
|
|
| Facebook |
Anbieter hat die neuen SCCs in Dokument „Facebook-Vertragszusatz für die Übermittlung europäischer Daten“ eingebunden, aktuell nur "Processor to Processor" (Modul 3) vefügbar |
Die neuen SCC gelten automatisch. |
https://www.facebook.com/-legal/EU_data_transfer-_addendum/update |
| Instagram |
siehe Facebook |
|
|
| Google |
Anbieter hat die neuen SCCs in Datenschutzbestimmungen eingebunden |
1. bestehende Verträge:
a) Sie müssen den Vertrag aktiv abschließen.
Stimmen Sie dazu in Ihrem Account den Änderungen der Datenschutz-bestimmungen zu.
b) Wenn Sie nicht aktiv zugestimmen, gelten diese bei fortgesetzter Nutzung trotzdem.
2. neue Verträge:
Die neuen SCC gelten automatisch.
|
https://business.safety.google/-adsprocessorterms/sccs/ |
| Google Analytics |
siehe Google, Nutzung ist Auftragsverarbeitung |
|
|
| Atlassian |
Anbieter hat die neuen SCCs in Dokument "Data Processing Addendum“ eingebunden |
Sie müssen den Vertrag aktiv abschließen.
Laden Sie dazu die Verträge herunter, unterschreiben Sie sie und senden Sie sie per Mail ein. |
https://www.atlassian.com/-legal/data-processing-addendum |
| Salesforce |
Anbieter hat die neuen SCCs in Dokument "Data Processing Addendum“ eingebunden |
Sie müssen den Vertrag aktiv abschließen. Schließen Sie dazu die Data Processing Addendum Änderungsvereibarung oder den SCC-Zusatz ab und senden das Dokument per Mail ein. |
https://www.salesforce.com/-content/dam/web/en_us/-www/documents/legal/-Agreements/scc-amendment.pdf |
Wenn Sie die Übermittlung personenbezogener Daten in Drittstaaten planen, gehen Sie am besten wie folgt vor:
- Prüfen, welche Anbieter betroffen sind
Prüfen Sie, bei welchen Tools und Partnern bzw. deren Subunternehmern Sie personenbezogene Daten in Drittländer übermitteln und ob Sie mit diesen bereits Standardvertragsklauseln abgeschlossen haben. Prüfen Sie auch, ob Sie selbst Subunternehmer in Drittländern beschäftigen, an die Sie personenbezogene Daten übermitteln.
- Mit dem Anbieter sprechen
Sofern Sie die alten Standardvertragsklauseln genutzt haben, bitten Sie den Anbieter und gegebenenfalls deren Subunternehmer, die neuen Muster zu verwenden. Sofern Sie neue Verträge mit Anbietern in Drittländern schließen, nutzen Sie die neuen Standardvertragsklauseln.
Achtung: Möglicherweise fragen Sie sich in diesem Zusammenhang: Gibt es eigentlich auch:
- Google Analytics Standardvertragsklauseln
- Microsoft Standardvertragsklauseln
- Zoom Standardvertragsklauseln?
Die Antwort: Teilweise. Zumindest Google, AWS und Microsoft haben bereits eigene Standardvertragsklauseln veröffentlicht. Es ist gut möglich, dass weitere größere Anbieter demnächst nachziehen. Sobald dies der Fall ist, werden wir Sie selbstverständlich an dieser Stelle darüber informieren.
- Prüfen der neuen Standardvertragsklauseln
Sofern Sie die neuen Standardvertragsklauseln von Ihrem Partner vorgelegt bekommen, prüfen Sie, ob dieser
- die richtigen Module ausgewählt hat,
- den Text nicht angepasst hat und
- die Anhänge richtig ausgefüllt hat.
- Risikoabschätzung machen
Es reicht auch mit den neuen EU Standardvertragsklauseln nicht aus, diese nur abzuschließen. Sie müssen zusätzlich eine Risikoabschätzung vornehmen. Das heißt: Prüfen Sie genau, wie die Datenübertragung in das Drittland abläuft und welche technischen und organisatorischen Maßnahmen Ihr Vertragspartner zum Schutz der Daten vorgesehen hat. In diesem Zusammenhang ist wichtig:
- Welche Art von Daten ist betroffen (z.B. besonders sensible Gesundheitsdaten)?
- Welche Rechtsvorschriften und Gepflogenheiten gelten in dem Drittland? Werden in dem Land z.B. Behörden gegenüber die Daten offengelegt?
- Können Sie – neben den vorgesehenen Maßnahmen - weitere technische Schutzmaßnahmen implementieren, z. B. eine SSL-Verschlüsselung?
Tipp: Bei eRecht24 Premium erhalten Sie eine anwaltlich erstellte Prüfvorlage, mit der Sie das aktuelle datenschutzrechtliche Risiko deutlich reduzieren.
- Prüfverfahren protokollieren
Halten Sie aus Nachweisgründen für jeden Anbieter fest:
- Wann haben Sie den Anbieter nach den neuen Standardvertragsklauseln gefragt?
- Was hat die Prüfung ergeben?
- Warum ist die Prüfung so ausgefallen?
- Kalender im Blick behalten
Schieben Sie das Thema Standardvertragsklauseln nicht auf die lange Bank. Sie haben zwar 18 Monate Zeit für die Umsetzung. Kümmern Sie sich aber am besten so schnell wie möglich darum, denn die Umsetzung wird einige Zeit in Anspruch nehmen. Insbesondere müssen Sie die Risikoabschätzung durchführen, mit Ihrem Vertragspartner die geeigneten technischen und organisatorischen Maßnahmen besprechen und zuletzt alles umfassend dokumentieren. Übrigens: Ihre Datenschutzerklärung müssen Sie in der Regel nicht anpassen. Denn dort verweisen Sie vermutlich nur auf die Standardvertragsklauseln, die Sie ja separat abschließen.
Sie müssen als Unternehmer bis zum 27.12.2022 die neuen Standardvertragsklauseln abschließen. Diese sind zwar erfreulicherweise an die DSGVO angepasst und allein dadurch schon etwas sicherer. Doch allein diese abzuschließen bietet Ihnen keinen Freifahrtschein: Sie müssen zusätzlich eine Risikoabschätzung machen. Es gibt also viel zu tun und Sie sollten sich so schnell wie möglich darum kümmern. Wenn Sie Unterstützung brauchen, wenden Sie sich am besten an einem auf Datenschutzrecht spezialisierten Anwalt: Zum Beispiel von der Kanzlei Siebert Lexow: www.kanzlei-siebert.de
7 Kommentare
Sören Siebert ist Rechtsanwalt mit Kanzleien in Berlin und Potsdam.
