Jetzt Mitglied werden!
eRecht24.de

Standardvertragsklauseln

Neue Standardvertragsklauseln: Das müssen Sie jetzt tun

Fachlich geprüft von: Rechtsanwalt Sören Siebert Rechtsanwalt Sören Siebert
(12 Bewertungen, 4.83 von 5)

Das Wichtigste in Kürze

  • Agenturen, Webdesigner und Webworker, die mit Freelancern und Partnern außerhalb der EU zusammenarbeiten, müssen sich mit dem Thema Standardvertragsklauseln beschäftigen.
  • Wenn Freelancer und Partner Zugriff auf die Daten Ihrer Kunden haben, müssen Sie so genannte Standardvertragsklauseln verwenden.
  • Das betrifft z.B. Dienste wie Mailchimp, Microsoft, Zoom, AWS, YouTube, Instagram, Facebook oder Google Analytics. Google, Microsoft und AWS haben bereits eigene Standardvertragsklauseln veröffentlicht.
Ich möchte mich umfassend informieren. Ich möchte meine Website absichern.

Worum geht's?

Wenn Sie personenbezogene Daten in die USA oder andere Drittländer übermitteln, müssen Sie für einen angemessenen Schutz der Daten sorgen. Das geht zum Beispiel, indem Sie Standardvertragsklauseln abschließen und eine Risikoabschätzung machen. Die neuen EU-Standardvertragsklauseln sind DSGVO-konform. Wir erklären, was das genau bedeutet und was Sie jetzt tun müssen.

1. Neue Standardvertragsklauseln: Was nun?

So gehen Sie vor:

  • Prüfen Sie, an welche Anbieter und Freelancer außerhalb der EU Sie personenbezogene Daten übermitteln.
  • Verwenden Sie bei neuen Verträgen die neuen Standardvertragsklauseln. Alte Versionen mussten bis zum 27.12.2022 ausgetauscht werden.
  • Planen Sie genug Zeit ein, denn Sie müssen zusätzlich eine Risikoabschätzung machen.

Wenn Sie eRecht24 Premium buchen, erhalten Sie hierfür ein anwaltlich erstelltes Muster.

Sören Siebert
Sören SiebertRechtsanwalt

Ob Mailchimp, Microsoft, Zoom oder Google Analytics: Es gibt zahlreiche Tools, auf die Sie als Unternehmer womöglich nicht verzichten möchten. Sobald Sie dabei personenbezogene Daten in Staaten außerhalb der EU übermitteln, wird es aber datenschutzrechtlich komplizierter. Denn Sie müssen dafür sorgen, dass die Daten so geschützt werden, wie es innerhalb der EU verlangt wird. Was viele nicht wissen: Das gilt auch dann, wenn Sie selbst eine Dienstleistung innerhalb der EU erbringen, aber dabei Ihrerseits Freelancer außerhalb der EU als Subunternehmer beauftragen.

2. Was sind EU Standardvertragsklauseln?

Standardvertragsklauseln sind Musterverträge der EU-Kommission, die beide Vertragsparteien verpflichten ein Datenschutzniveau einzuhalten, das mit dem der EU vergleichbar ist.

3. Warum brauche ich Standardvertragsklauseln beim Datentransfer?

Für die Übermittlung von personenbezogenen Daten an nicht-europäische Drittländer, müssen Sie zum einen eine geeignete Rechtsgrundlage nach der DSGVO für den Datentransfer haben. Doch damit ist es nicht getan. Der Empfänger personenbezogener Daten muss auch ein angemessenes Schutzniveau haben. Sicherstellen können Sie dies, indem Sie eine geeignete Garantie dafür nachweisen. Besonders beliebt hierfür sind die sog. Standardvertragsklauseln.

Das Blöde an der Sache ist nur: Bis vor kurzem gab es nur EU Standardvertragsklauseln aus den Jahren vor 2018, also bevor die Datenschutz-Grundverordnung (DSGVO) in Kraft getreten ist. Dies hat sich nun endlich geändert: Die europäische Kommission hat die neuen EU-Sandardvertragsklauseln an die Vorgaben der DSGVO angepasst.

Anzeige

Zudem sind auch die Anforderungen aus dem EuGH-Urteil zum Privacy Shield an die dokumentierte Risikoeinschätzung („Transfer Impact Assessment“) aufgenommen: Die Parteien müssen sinngemäß versichern,

  • dass sie nicht glauben,
  • dass sie mit Blick auf die Rechtsvorschriften und Gepflogenheiten des Drittstaates
  • die Pflichten aus den Standardvertragsklauseln nicht einhalten können.

Hintergrund: Der EuGH hatte in seinem Urteil zum Privacy Shield in der Rechtssache C 311/18 erklärt, dass die bisherigen EU Standardvertragsklauseln zwar gültig seien, der Unternehmer aber zusätzlich im Einzelfall prüfen müsse, ob das Drittland tatsächlich ein angemessenes Schutzniveau für den Datentransfer sicherstelle. Viele Unternehmer fragten sich, was sie jetzt genau tun müssen. Insoweit bieten die neuen Standardvertragsklauseln von der Kommission ein wenig mehr Rechtssicherheit.

4. Was ist der Unterschied der neuen EU Standardvertragsklauseln gegenüber den alten?

Wenn Sie Sie als Unternehmer die neuen Standardvertragsklauseln verwenden, ergeben sich folgende Änderungen gegenüber der alten Version:

  • Die Klauseln sind modular aufgebaut – sie enthalten Bausteine für die vier denkbaren Fälle, vgl. unten)
  • Sie beinhalten umfassende Haftungsregeln
  • Sie können den Gerichtsstand und das anwendbare Recht festlegen
  • Sie haben umfassende Dokumentationspflichten

5. Was habe ich davon?

Im Ergebnis haben Sie folgende Vor- und Nachteile:

  • Vorteil: Mit den neuen Standardvertragsklauseln sind Sie flexibler.
  • Nachteil: Der Abschluss der Standardvertragsklauseln wird für Sie komplizierter.

Brauche ich überhaupt EU Standardvertragsklauseln?

Bei Datenübermittlungen nur in die EU brauchen Sie keine Standardvertragsklauseln. Sobald Sie die Daten aber an Anbieter übermitteln, die in einem Drittland sitzen, sollten Sie als Grundlage aber Standardvertragsklauseln abschließen. Und das kann manchmal schneller passieren, als man denkt. Die zwei wichtigsten Praxisfälle:

1. Sie nutzen Tools eines Anbieters mit Sitz außerhalb der EU und übermitteln personenbezogenen Daten in dieses Land

  • Beispiele:
  • Google Analytics
  • Microsoft Zoom
  • Mailchimp
  • Facebook
  • YouTube
  • Instagram

2. Sie bieten selbst ein Tool oder eine Dienstleistung an. Sie bedienen sich dafür (zum Teil) selbst weiterer Freelancer, die nicht in der EU sitzen

Beispiele:

  • Sie bieten eine App an. Ihr Kunde nutzt diese und übermittelt Ihnen personenbezogenen Daten seiner Kunden.
  • Die Programmierung einzelner Bestandteile übernimmt ein Freelancer mit Sitz in Indien, der die personenbezogene Daten verarbeitet.
  • Den telefonischen Kundenservice Ihres Unternehmens führt ein Callcenter durch, das in Pakistan sitzt.

Sie müssen die neuen Standardvertragsklauseln nämlich in vier Fällen abschließen:

  1. wenn Sie für die personenbezogenen Daten verantwortlich sind und Ihr Vertragspartner im nicht-europäischen Drittland ebenfalls Verantwortlicher ist (Standardvertragsklauseln Verantwortlicher – Verantwortlicher)
    Beispiel: Sie haben ein Unternehmen mit Kunden in den USA. Sie beauftragen ein Inkassounternehmen mit Sitz in den USA und übertragen diesem eine Forderung.
  2. wenn Sie für die personenbezogenen Daten verantwortlich sind und Ihr Vertragspartner für Sie im Auftrag tätig ist, also in Ihrem Auftrag die Daten verarbeitet (Standardvertragsklauseln Verantwortlicher – Auftragsverarbeitung)
    Beispiel: Sie beauftragen Mailchimp mit dem Newsletterversand.
  3. wenn sowohl ihr Vertragspartner als auch Sie als Auftragsverarbeiter handeln, also jemand anders Verantwortlicher ist (Standardvertragsklauseln Auftragsverarbeitung – Auftragsverarbeitung);
    Beispiel: Sie haben ein Callcenter und führen für eine Firma Anrufe durch. Sie bedienen sich eines weiteren Callcenters außerhalb der EU, an die Sie die Anrufe teilweise auslagern.
  4. wenn Sie selbst Auftragsverarbeiter sind und die Daten an den Verantwortlichen übermitteln, der in einem Drittstaat sitzt (Standardvertragsklauseln Auftragsverarbeitung – Verantwortlicher)
    Beispiel: Ein Unternehmen aus Asien beauftragt Sie mit der Betreuung seiner deutschen Kontaktanfragen.

6. Bis wann brauche ich die neuen Standardvertragsklauseln?

Bis zum 27. Dezember 2022 müssen alle alten Standardvertragsklauseln zwischen Datenimporteur und Datenexporteur durch die neuen ersetzt werden.

7. Haben Anbieter wie Google, Microsoft und Zoom eigene Standardvertragsklauseln?

Im Folgenden sehen Sie, ob und wie die größten Anbieter die Standardvertragsklauseln umgesetzt haben, wie Sie diese abschließen und wo Sie die Bestimmungen finden.

Anbieter Wie umgesetzt? Wie abschließen?
Intuit (Mailchimp) SCC sind im Nachtrag zur Datenverarbeitung eingebunden. Die neuen SCC gelten automatisch.
Microsoft Anbieter hat die neuen SCCs in Dokument "Microsoft Products and Services Data Protection Addendum“  eingebunden.

Die neuen SCC gelten automatisch.
Zoom Anbieter hat die neuen SCC in die Verträge eingebunden. Die neuen SCC gelten automatisch.
AWS Anbieter hat die neuen SCCs in Dokument "AWS GDPR Data Processing Addendum“; eingebunden Die neuen SCC gelten automatisch.
YouTube siehe Google, Nutzung ist Auftragsverarbeitung  
Facebook Anbieter hat die neuen SCCs in Dokument „Facebook-Vertragszusatz für die Übermittlung europäischer Daten“; eingebunden, aktuell nur "Processor to Processor" (Modul 3) vefügbar Die neuen SCC gelten automatisch.
Instagram siehe Facebook  
Google Anbieter hat die neuen SCCs in Datenschutzbestimmungen eingebunden

Die neuen SCC gelten automatisch.
Google Analytics siehe Google, Nutzung ist Auftragsverarbeitung  
Atlassian Anbieter hat die neuen SCCs in Dokument "Data Processing Addendum“ eingebunden Sie müssen den Vertrag aktiv abschließen.
Laden Sie dazu die Verträge herunter, unterschreiben Sie sie und senden Sie sie per Mail ein.
Salesforce Anbieter hat die neuen SCCs in Dokument "Data Processing Addendum“ eingebunden Sie müssen den Vertrag aktiv abschließen. Schließen Sie dazu die Data Processing Addendum Änderungsvereibarung oder den SCC-Zusatz ab und senden das Dokument per Mail ein.

 

8. Checkliste: Neue EU Standardvertragsklauseln - Was muss ich jetzt tun?

Wenn Sie die Übermittlung personenbezogener Daten in Drittstaaten planen, gehen Sie am besten wie folgt vor:

  1. Prüfen, welche Anbieter betroffen sind
    Prüfen Sie, bei welchen Tools und Partnern bzw. deren Subunternehmern Sie personenbezogene Daten in Drittländer übermitteln und ob Sie mit diesen bereits Standardvertragsklauseln abgeschlossen haben. Prüfen Sie auch, ob Sie selbst Subunternehmer in Drittländern beschäftigen, an die Sie personenbezogene Daten übermitteln.
  2. Mit dem Anbieter sprechen
    Sofern Sie die alten Standardvertragsklauseln genutzt haben, bitten Sie den Anbieter und gegebenenfalls deren Subunternehmer, die neuen Muster zu verwenden. Sofern Sie neue Verträge mit Anbietern in Drittländern schließen, nutzen Sie die neuen Standardvertragsklauseln.
    Achtung: Möglicherweise fragen Sie sich in diesem Zusammenhang: Gibt es eigentlich auch:
    • Google Analytics Standardvertragsklauseln
    • Microsoft Standardvertragsklauseln
    • Zoom Standardvertragsklauseln?
    Die Antwort: Teilweise. Zumindest Google, AWS und Microsoft haben bereits eigene Standardvertragsklauseln veröffentlicht. Es ist gut möglich, dass weitere größere Anbieter demnächst nachziehen. Sobald dies der Fall ist, werden wir Sie selbstverständlich an dieser Stelle darüber informieren.
  3. Prüfen der neuen Standardvertragsklauseln
    Sofern Sie die neuen Standardvertragsklauseln von Ihrem Partner vorgelegt bekommen, prüfen Sie, ob dieser
    • die richtigen Module ausgewählt hat,
    • den Text nicht angepasst hat und
    • die Anhänge richtig ausgefüllt hat.
  4. Risikoabschätzung machen
    Es reicht auch mit den neuen EU Standardvertragsklauseln nicht aus, diese nur abzuschließen. Sie müssen zusätzlich eine Risikoabschätzung vornehmen. Das heißt: Prüfen Sie genau, wie die Datenübertragung in das Drittland abläuft und welche technischen und organisatorischen Maßnahmen Ihr Vertragspartner zum Schutz der Daten vorgesehen hat. In diesem Zusammenhang ist wichtig:
    • Welche Art von Daten ist betroffen (z.B. besonders sensible Gesundheitsdaten)?
    • Welche Rechtsvorschriften und Gepflogenheiten gelten in dem Drittland? Werden in dem Land z.B. Behörden gegenüber die Daten offengelegt?
    • Können Sie – neben den vorgesehenen Maßnahmen - weitere technische Schutzmaßnahmen implementieren, z. B. eine SSL-Verschlüsselung?
    Tipp: Bei eRecht24 Premium erhalten Sie eine anwaltlich erstellte Prüfvorlage, mit der Sie das aktuelle datenschutzrechtliche Risiko deutlich reduzieren.
  5. Prüfverfahren protokollieren
    Halten Sie aus Nachweisgründen für jeden Anbieter fest:
    • Wann haben Sie den Anbieter nach den neuen Standardvertragsklauseln gefragt?
    • Was hat die Prüfung ergeben?
    • Warum ist die Prüfung so ausgefallen?
  6. Kalender im Blick behalten
    Schieben Sie das Thema Standardvertragsklauseln nicht auf die lange Bank. Sie haben nur noch bis zum 27. Dezember 2022 Zeit für die Umsetzung. Kümmern Sie sich aber am besten so schnell wie möglich darum, denn die Umsetzung wird einige Zeit in Anspruch nehmen. Insbesondere müssen Sie die Risikoabschätzung durchführen, mit Ihrem Vertragspartner die geeigneten technischen und organisatorischen Maßnahmen besprechen und zuletzt alles umfassend dokumentieren. Übrigens: Ihre Datenschutzerklärung müssen Sie in der Regel nicht anpassen. Denn dort verweisen Sie vermutlich nur auf die Standardvertragsklauseln, die Sie ja separat abschließen.

9. Fazit

Bis zum 27.12.2022 sollten die neuen Standardvertragsklauseln abgeschlossen werden. Diese sind zwar erfreulicherweise an die DSGVO angepasst und allein dadurch schon etwas sicherer. Doch allein diese abzuschließen bietet Ihnen keinen Freifahrtschein: Sie müssen zusätzlich eine Risikoabschätzung machen. Es gibt also viel zu tun und Sie sollten sich so schnell wie möglich darum kümmern.

Wenn Sie Unterstützung brauchen, wenden Sie sich am besten an einem auf Datenschutzrecht spezialisierten Anwalt: Zum Beispiel von der Kanzlei Siebert Lexow.

Sören Siebert
Sören SiebertRechtsanwalt
Anzeige
Rechtsanwältin Annika Haucke
Annika Haucke
Rechtsanwältin

Annika Haucke ist Rechtsanwältin und Journalistin (Freie Journalistenschule). Als Fachredakteurin von eRecht24 bereitet sie Beiträge verständlich auf und gibt praxisnahe Handlungsempfehlungen. Rechtsanwältin Haucke ist auf Medienrecht spezialisiert und hat darüber hinaus mehrjährige redaktionelle Erfahrung in weiteren Rechtsgebieten, z.B. Steuer-und Medizinrecht. Seit 2013 veröffentlichte sie eine Vielzahl von Artikeln und Ratgebern, u. a. bei Stiftung Warentest, Tagesspiegel Background und Computerwoche.

Rechtsanwalt Sören Siebert
Sören Siebert
Rechtsanwalt und Gründer von eRecht24

Rechtsanwalt Sören Siebert ist Gründer von eRecht24 und Inhaber der Kanzlei Siebert Lexow. Mit 20 Jahren Erfahrung im Internetrecht, Datenschutz und ECommerce sowie mit mehr als 10.000 veröffentlichten Beiträgen und Artikeln weist Rechtsanwalt Sören Siebert nicht nur hervorragende Fach-Expertise vor, sondern hat auch das richtige Gespür für seine Leser, Mandanten, Kunden und Partner, wenn es um rechtssichere Lösungen im Online-Marketing und B2B / B2C Dienstleistungen sowie Online-Shops geht. Neben den zahlreichen Beiträgen auf eRecht24.de hat Sören Siebert u.a. auch diverse Ebooks und Ratgeber zum Thema Internetrecht publiziert und weiß ganz genau, worauf es Unternehmern, Agenturen und Webdesignern im täglichen Business mit Kunden ankommt: Komplexe rechtliche Vorgaben leicht verständlich und mit praktischer Handlungsanleitung für rechtssichere Webseiten umsetzen.

Diese Beiträge könnten Sie ebenfalls interessieren:
Weiterlesen...
DSGVO und Fotografie: Was ändert sich für Fotografen?
Weiterlesen...
WordPress Tools & Plugins: Was ist nach DSGVO noch erlaubt?
Weiterlesen...
Anleitung: So fügen Sie Impressum und Datenschutzerklärung bei sozialen Netzwerken ein
Weiterlesen...
Altersprüfung in Online Shops: Ist der Verkauf von Tabak, Alkohol und E-Zigaretten erlaubt?
Weiterlesen...
Wie auch Sie das Videokonferenztool Zoom datenschutzkonform nutzen können
Weiterlesen...
Gericht: Schmerzensgeld wegen Verbreitung von Nacktbildern über WhatsApp
Weiterlesen...
Home Office wegen Corona: Was Unternehmer und Mitarbeiter zu Datenschutz und Arbeitsrecht beachten müssen (mit Generator...
Weiterlesen...
Rechtssicher in der Cloud: Ihre Daten bei Dropbox, iCloud, Google Drive & Co
Weiterlesen...
Chatbots und die DSGVO: Wie setze ich Chatbots DSGVO-konform ein?
Weiterlesen...
Dürfen Datenschutzbehörden Facebook Fanpages verbieten?
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details