Neue Standardvertragsklauseln: Das müssen Sie jetzt tun

Fachlich geprüft von: Rechtsanwalt Sören Siebert Rechtsanwalt Sören Siebert
(9 Bewertungen, 5.00 von 5)

Das Wichtigste in Kürze

  • Agenturen, Webdesigner und Webworker, die mit Freelancern und Partnern außerhalb der EU zusammenarbeiten, müssen sich mit dem Thema Standardvertragsklauseln beschäftigen.
  • Wenn Freelancer und Partner Zugriff auf die Daten Ihrer Kunden haben, müssen Sie so genannte Standardvertragsklauseln verwenden.
  • Ab dem 27.09.2021 müssen Sie für Ihre Partner bei neuen Verträgen die neuen Standardvertragsklauseln verwenden.
  • Das betrifft z.B. Dienste wie Mailchimp, Microsoft, Zoom, AWS, YouTube, Instagram, Facebook oder Google Analytics. Google, Microsoft und AWS haben bereits eigene Standardvertragsklauseln veröffentlicht.
  • Gehen Sie dazu in Ihr Nutzerkonto bei den jeweiligen Anbietern und bestätigen Sie dort die neuen Verträge.

Worum geht's?

Wenn Sie personenbezogene Daten in die USA oder andere Drittländer übermitteln, müssen Sie für einen angemessenen Schutz der Daten sorgen. Das geht zum Beispiel, indem Sie Standardvertragsklauseln abschließen und eine Risikoabschätzung machen. Nun hat die EU-Kommission neue, lang ersehnte Standardvertragsklauseln verabschiedet, die endlich DSGVO-konform sind. Wir erklären, was das genau bedeutet und was Sie jetzt tun müssen.


So gehen Sie vor:

  • Prüfen Sie, an welche Anbieter und Freelancer außerhalb der EU Sie personenbezogene Daten übermitteln.
  • Verwenden Sie bei neuen Verträgen die neuen Standardvertragsklauseln. Tauschen Sie alte Versionen bis zum 27.12.2022 aus.
  • Planen Sie genug Zeit ein, denn Sie müssen zusätzlich eine Risikoabschätzung machen. 

Wenn Sie eRecht24 Premium buchen, erhalten Sie hierfür ein anwaltlich erstelltes Muster.

Sören Siebert
Sören SiebertRechtsanwalt

 Ob Mailchimp, Microsoft, Zoom oder Google Analytics: Es gibt zahlreiche Tools, auf die Sie als Unternehmer womöglich nicht verzichten möchten. Sobald Sie dabei personenbezogene Daten in Staaten außerhalb der EU übermitteln, wird es aber datenschutzrechtlich komplizierter. Denn Sie müssen dafür sorgen, dass die Daten so geschützt werden, wie es innerhalb der EU verlangt wird. Was viele nicht wissen: Das gilt auch dann, wenn Sie selbst eine Dienstleistung innerhalb der EU erbringen, aber dabei Ihrerseits Freelancer außerhalb der EU als Subunternehmer beauftragen.

Was sind EU Standardvertragsklauseln?

Standardvertragsklauseln sind Musterverträge der EU-Kommission, die beide Vertragsparteien verpflichten ein Datenschutzniveau einzuhalten, das mit dem der EU vergleichbar ist.

Warum brauche ich Standardvertragsklauseln?

Wenn Sie personenbezogene Daten in nicht-europäische Drittländer übertragen, müssen Sie zum einen eine geeignete Rechtsgrundlage nach der DSGVO dafür haben. Doch damit ist es nicht getan. Der Empfänger personenbezogener Daten muss auch ein angemessenes Schutzniveau haben. Sicherstellen können Sie dies, indem Sie eine geeignete Garantie dafür nachweisen. Besonders beliebt hierfür sind die sog. Standardvertragsklauseln.

Das Blöde an der Sache ist nur: Bis vor kurzem gab es nur EU Standardvertragsklauseln aus den Jahren vor 2018, also bevor die DSGVO in Kraft getreten ist. Dies hat sich nun endlich geändert: Die neuen EU Standardvertragsklauseln sind an die Vorgaben der DSGVO angepasst.

Anzeige

Zudem sind auch die Anforderungen aus dem EuGH-Urteil zum Privacy Shield an die dokumentierte Risikoeinschätzung („Transfer Impact Assessment“): aufgenommen: Die Parteien müssen sinngemäß versichern,

  • dass sie nicht glauben,
  • dass sie mit Blick auf die Rechtsvorschriften und Gepflogenheiten des Drittstaates
  • die Pflichten aus den Standardvertragsklauseln nicht einhalten können.

Hintergrund: Der EuGH hatte in seinem Urteil zum Privacy Shield erklärt, dass die bisherigen EU Standardvertragsklauseln zwar gültig seien, der Unternehmer aber zusätzlich im Einzelfall prüfen müsse, ob das Drittland auch tatsächlich ein angemessenes Schutzniveau sicherstelle. Viele Unternehmer fragten sich, was sie jetzt genau tun müssen. Insoweit bieten die neuen Standardvertragsklauseln zumindest ein wenig mehr Rechtssicherheit.

Was ist der Unterschied der neuen EU Standardvertragsklauseln gegenüber den alten?

Wenn Sie Sie als Unternehmer die neuen Standardvertragsklauseln verwenden, ergeben sich folgende Änderungen gegenüber der alten Version:

  • Die Klauseln sind modular aufgebaut – sie enthalten Bausteine für die vier denkbaren Fälle, vgl. unten)
  • Sie beinhalten umfassende Haftungsregeln
  • Sie können den Gerichtsstand und das anwendbare Recht festlegen
  • Sie haben umfassende Dokumentationspflichten

Was habe ich davon?

Im Ergebnis haben Sie folgende Vor- und Nachteile:

  • Vorteil: Mit den neuen Standardvertragsklauseln sind Sie flexibler.
  • Nachteil: Der Abschluss der Standardvertragsklauseln wird für Sie komplizierter.

Brauche ich überhaupt EU Standardvertragsklauseln?

Wenn Sie personenbezogene Daten nur in die EU übermitteln, brauchen Sie keine Standardvertragsklauseln. Sobald Sie die Daten aber an Anbieter übermitteln, die in einem Drittland sitzen, sollten Sie aber Standardvertragsklauseln abschließen. Und das kann manchmal schneller passieren, als man denkt. Die zwei wichtigsten Praxisfälle:

1. Sie nutzen Tools eines Anbieters mit Sitz außerhalb der EU und übermitteln personenbezogenen Daten in dieses Land

  • Beispiele:
  • Google Analytics
  • Microsoft Zoom
  • Mailchimp
  • Facebook
  • YouTube
  • Instagram

2. Sie bieten selbst ein Tool oder eine Dienstleistung an. Sie bedienen sich dafür (zum Teil) selbst weiterer Freelancer, die nicht in der EU sitzen

Beispiele:

  • Sie bieten eine App an. Ihr Kunde nutzt diese und übermittelt Ihnen personenbezogenen Daten seiner Kunden.
  • Die Programmierung einzelner Bestandteile übernimmt ein Freelancer mit Sitz in Indien, der die personenbezogene Daten verarbeitet.
  • Den telefonischen Kundenservice Ihres Unternehmens führt ein Callcenter durch, das in Pakistan sitzt.

Sie müssen die neuen Standardvertragsklauseln nämlich in vier Fällen abschließen:

  1. wenn Sie für die personenbezogenen Daten verantwortlich sind und Ihr Vertragspartner im nicht-europäischen Drittland ebenfalls Verantwortlicher ist (Standardvertragsklauseln Verantwortlicher – Verantwortlicher)
    Beispiel: Sie haben ein Unternehmen mit Kunden in den USA. Sie beauftragen ein Inkassounternehmen mit Sitz in den USA und übertragen diesem eine Forderung.
  2. wenn Sie für die personenbezogenen Daten verantwortlich sind und Ihr Vertragspartner für Sie im Auftrag tätig ist, also in Ihrem Auftrag die Daten verarbeitet (Standardvertragsklauseln Verantwortlicher – Auftragsverarbeitung)
    Beispiel: Sie beauftragen Mailchimp mit dem Newsletterversand.
  3. wenn sowohl ihr Vertragspartner als auch Sie als Auftragsverarbeiter handeln, also jemand anders Verantwortlicher ist (Standardvertragsklauseln Auftragsverarbeitung – Auftragsverarbeitung);
    Beispiel: Sie haben ein Callcenter und führen für eine Firma Anrufe durch. Sie bedienen sich eines weiteren Callcenters außerhalb der EU, an die Sie die Anrufe teilweise auslagern.
  4. wenn Sie selbst Auftragsverarbeiter sind und die Daten an den Verantwortlichen übermitteln, der in einem Drittstaat sitzt (Standardvertragsklauseln Auftragsverarbeitung – Verantwortlicher)
    Beispiel: Ein Unternehmen aus Asien beauftragt Sie mit der Betreuung seiner deutschen Kontaktanfragen.

Bis wann brauche ich die neuen Standardvertragsklauseln?

Sie haben noch 18 Monate Zeit, die neuen Standardvertragsklauseln mit Ihren Vertragspartnern abzuschließen: Bis zum 27. Dezember 2022 müssen Sie alle alten Standardvertragsklauseln durch die neuen ersetzt haben. Sofern Sie neue Verträge abschließen, müssen Sie die neuen Standardvertragsklauseln spätestens ab dem 27.9.2021 verwenden. Bis dahin können Sie also theoretisch noch wählen, ob Sie die neuen oder alten Standardvertragsklauseln abschließen.

Haben Anbieter wie Google, Microsoft und Zoom eigene Standardvertragsklauseln?

Im folgenden sehen Sie, ob und wie die größten Anbieter die Standardvertragsklauseln umgesetzt haben, wie Sie diese abschließen und wo Sie die Bestimmungen finden.

Anbieter  Wie umgesetzt? Wie abschließen? Link
Mailchimp offen    
Microsoft Anbieter hat die neuen SCCs in Dokument "Microsoft Products and Services Data Protection Addendum“  eingebunden.

1. bestehende Verträge:
Sie müssen den Vertrag aktiv abschließen.
Aktualisieren Sie dazu die bestehenden Verträge über den Onlinedienst.

2. neue Verträge:
Die neuen SCC gelten automatisch automatisch.

https://www.microsoft.com/-licensing/docs
Zoom offen    
AWS  Anbieter hat die neuen SCCs in Dokument "AWS GDPR Data Processing Addendum“  eingebunden Die neuen SCC gelten automatisch. https://d1.awsstatic.com/-legal/aws-gdpr/AWS_GDPR_DPA.pdf
YouTube offen    
Facebook Anbieter hat die neuen SCCs in Dokument „Facebook-Vertragszusatz für die Übermittlung europäischer Daten“  eingebunden,  aktuell nur "Processor to Processor" (Modul 3) vefügbar Die neuen SCC gelten automatisch. https://www.facebook.com/-legal/EU_data_transfer-_addendum/update
Instagram siehe Facebook    
Google   Anbieter hat die neuen SCCs in Datenschutzbestimmungen eingebunden

1. bestehende Verträge:
a) Sie müssen den Vertrag aktiv abschließen.
Stimmen Sie dazu in Ihrem Account den Änderungen der Datenschutz-bestimmungen zu.
b) Wenn Sie nicht aktiv zugestimmen, gelten diese bei fortgesetzter Nutzung trotzdem.

2. neue Verträge:

Die neuen SCC gelten automatisch.

https://business.safety.google/-adsprocessorterms/sccs/
Google Analytics siehe Google, Nutzung ist Auftragsverarbeitung    
Atlassian  Anbieter hat die neuen SCCs in Dokument "Data Processing Addendum“  eingebunden Sie müssen den Vertrag aktiv abschließen.
Laden Sie dazu die Verträge herunter, unterschreiben Sie sie und senden Sie sie per Mail ein. 
https://www.atlassian.com/-legal/data-processing-addendum
Salesforce  Anbieter hat die neuen SCCs in Dokument "Data Processing Addendum“  eingebunden Sie müssen den Vertrag aktiv abschließen. Schließen Sie dazu die Data Processing Addendum Änderungsvereibarung oder den SCC-Zusatz ab und senden das Dokument per Mail ein.  https://www.salesforce.com/-content/dam/web/en_us/-www/documents/legal/-Agreements/scc-amendment.pdf

  

 Checkliste: Neue EU Standardvertragsklauseln - Was muss ich jetzt tun?

Wenn Sie die Übermittlung personenbezogener Daten in Drittstaaten planen, gehen Sie am besten wie folgt vor:

  1. Prüfen, welche Anbieter betroffen sind
    Prüfen Sie, bei welchen Tools und Partnern bzw. deren Subunternehmern Sie personenbezogene Daten in Drittländer übermitteln und ob Sie mit diesen bereits Standardvertragsklauseln abgeschlossen haben. Prüfen Sie auch, ob Sie selbst Subunternehmer in Drittländern beschäftigen, an die Sie personenbezogene Daten übermitteln.
  2. Mit dem Anbieter sprechen
    Sofern Sie die alten Standardvertragsklauseln genutzt haben, bitten Sie den Anbieter und gegebenenfalls deren Subunternehmer, die neuen Muster zu verwenden. Sofern Sie neue Verträge mit Anbietern in Drittländern schließen, nutzen Sie die neuen Standardvertragsklauseln.
    Achtung: Möglicherweise fragen Sie sich in diesem Zusammenhang: Gibt es eigentlich auch:
    • Google Analytics Standardvertragsklauseln
    • Microsoft Standardvertragsklauseln
    • Zoom Standardvertragsklauseln?
    Die Antwort: Teilweise. Zumindest Google, AWS und Microsoft haben bereits eigene Standardvertragsklauseln veröffentlicht. Es ist gut möglich, dass weitere größere Anbieter demnächst nachziehen. Sobald dies der Fall ist, werden wir Sie selbstverständlich an dieser Stelle darüber informieren.
  3. Prüfen der neuen Standardvertragsklauseln
    Sofern Sie die neuen Standardvertragsklauseln von Ihrem Partner vorgelegt bekommen, prüfen Sie, ob dieser
    • die richtigen Module ausgewählt hat,
    • den Text nicht angepasst hat und
    • die Anhänge richtig ausgefüllt hat.
  4. Risikoabschätzung machen
    Es reicht auch mit den neuen EU Standardvertragsklauseln nicht aus, diese nur abzuschließen. Sie müssen zusätzlich eine Risikoabschätzung vornehmen. Das heißt: Prüfen Sie genau, wie die Datenübertragung in das Drittland abläuft und welche technischen und organisatorischen Maßnahmen Ihr Vertragspartner zum Schutz der Daten vorgesehen hat. In diesem Zusammenhang ist wichtig:
    • Welche Art von Daten ist betroffen (z.B. besonders sensible Gesundheitsdaten)?
    • Welche Rechtsvorschriften und Gepflogenheiten gelten in dem Drittland? Werden in dem Land z.B. Behörden gegenüber die Daten offengelegt?
    • Können Sie – neben den vorgesehenen Maßnahmen - weitere technische Schutzmaßnahmen implementieren, z. B. eine SSL-Verschlüsselung?
    Tipp: Bei eRecht24 Premium erhalten Sie eine anwaltlich erstellte Prüfvorlage, mit der Sie das aktuelle datenschutzrechtliche Risiko deutlich reduzieren.
  5. Prüfverfahren protokollieren
    Halten Sie aus Nachweisgründen für jeden Anbieter fest:
    • Wann haben Sie den Anbieter nach den neuen Standardvertragsklauseln gefragt?
    • Was hat die Prüfung ergeben?
    • Warum ist die Prüfung so ausgefallen?
  6. Kalender im Blick behalten
    Schieben Sie das Thema Standardvertragsklauseln nicht auf die lange Bank. Sie haben zwar 18 Monate Zeit für die Umsetzung. Kümmern Sie sich aber am besten so schnell wie möglich darum, denn die Umsetzung wird einige Zeit in Anspruch nehmen. Insbesondere müssen Sie die Risikoabschätzung durchführen, mit Ihrem Vertragspartner die geeigneten technischen und organisatorischen Maßnahmen besprechen und zuletzt alles umfassend dokumentieren. Übrigens: Ihre Datenschutzerklärung müssen Sie in der Regel nicht anpassen. Denn dort verweisen Sie vermutlich nur auf die Standardvertragsklauseln, die Sie ja separat abschließen.

Fazit

Sie müssen als Unternehmer bis zum 27.12.2022 die neuen Standardvertragsklauseln abschließen. Diese sind zwar erfreulicherweise an die DSGVO angepasst und allein dadurch schon etwas sicherer. Doch allein diese abzuschließen bietet Ihnen keinen Freifahrtschein: Sie müssen zusätzlich eine Risikoabschätzung machen. Es gibt also viel zu tun und Sie sollten sich so schnell wie möglich darum kümmern. Wenn Sie Unterstützung brauchen, wenden Sie sich am besten an einem auf Datenschutzrecht spezialisierten Anwalt: Zum Beispiel von der Kanzlei Siebert Lexow: www.kanzlei-siebert.de 

Anzeige
Rechtsanwältin Annika Haucke
Annika Haucke
Rechtsanwältin

Annika Haucke ist Rechtsanwältin und Journalistin (Freie Journalistenschule). Als Fachredakteurin von eRecht24 bereitet sie Beiträge verständlich auf und gibt praxisnahe Handlungsempfehlungen. Rechtsanwältin Haucke ist auf Medienrecht spezialisiert und hat darüber hinaus mehrjährige redaktionelle Erfahrung in weiteren Rechtsgebieten, z.B. Steuer-und Medizinrecht. Seit 2013 veröffentlichte sie eine Vielzahl von Artikeln und Ratgebern, u. a. bei Stiftung Warentest, Tagesspiegel Background und Computerwoche.

Rechtsanwalt Sören Siebert
Sören Siebert
Rechtsanwalt und Gründer von eRecht24

Rechtsanwalt Sören Siebert ist Gründer von eRecht24 und Inhaber der Kanzlei Siebert Lexow. Mit 20 Jahren Erfahrung im Internetrecht, Datenschutz und ECommerce sowie mit mehr als 10.000 veröffentlichten Beiträgen und Artikeln weist Rechtsanwalt Sören Siebert nicht nur hervorragende Fach-Expertise vor, sondern hat auch das richtige Gespür für seine Leser, Mandanten, Kunden und Partner, wenn es um rechtssichere Lösungen im Online-Marketing und B2B / B2C Dienstleistungen sowie Online-Shops geht. Neben den zahlreichen Beiträgen auf eRecht24.de hat Sören Siebert u.a. auch diverse Ebooks und Ratgeber zum Thema Internetrecht publiziert und weiß ganz genau, worauf es Unternehmern, Agenturen und Webdesignern im täglichen Business mit Kunden ankommt: Komplexe rechtliche Vorgaben leicht verständlich und mit praktischer Handlungsanleitung für rechtssichere Webseiten umsetzen.


Diese Beiträge könnten Sie ebenfalls interessieren:
Weiterlesen...
Whatsapp und die DSGVO: Darf der Messenger auf dem Firmenhandy bleiben?
Weiterlesen...
Datenschutz: Ist der Newsletter-Dienst Mailchimp nicht mehr erlaubt?
Weiterlesen...
Videokonferenzen und Datenschutz: Der große Vergleichstest zu Zoom und Co.
Weiterlesen...
Neues Urteil: Geschäftsführer haften bei Datenschutzverstößen persönlich
Weiterlesen...
Geschäftliche E-Mails: Signatur, Impressum und DSGVO-Pflichtangaben
Weiterlesen...
WordPress Tools & Plugins: Was ist nach DSGVO noch erlaubt?
Weiterlesen...
Die DSGVO und die E-Mail-Verschlüsselung
Weiterlesen...
Impressumspflicht: 7 wichtige Fragen zum Impressum für Webseiten
Weiterlesen...
Wichtiges aktuelles Urteil: OLG Hamburg sagt, DSGVO-Verstöße sind abmahnfähig
Weiterlesen...
DSGVO Auftragsverarbeitung: Was ist das und was geht mich das an?
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details
Support