Neue Standardvertragsklauseln: Das müssen Sie jetzt tun

(7 Bewertungen, 5.00 von 5)

Worum geht's?

Wenn Sie personenbezogene Daten in die USA oder andere Drittländer übermitteln, müssen Sie für einen angemessenen Schutz der Daten sorgen. Das geht zum Beispiel, indem Sie Standardvertragsklauseln abschließen und eine Risikoabschätzung machen. Nun hat die EU-Kommission neue, lang ersehnte Standardvertragsklauseln verabschiedet, die endlich DSGVO-konform sind. Wir erklären, was das genau bedeutet und was Sie jetzt tun müssen.

Ob Mailchimp, Microsoft, Zoom oder Google Analytics: Es gibt zahlreiche Tools, auf die Sie als Unternehmer womöglich nicht verzichten möchten. Sobald Sie dabei personenbezogene Daten in Staaten außerhalb der EU übermitteln, wird es aber datenschutzrechtlich komplizierter. Denn Sie müssen dafür sorgen, dass die Daten so geschützt werden, wie es innerhalb der EU verlangt wird. Was viele nicht wissen: Das gilt auch dann, wenn Sie selbst eine Dienstleistung innerhalb der EU erbringen, aber dabei Ihrerseits Freelancer außerhalb der EU als Subunternehmer beauftragen.


Das Wichtigste:

  • Agenturen, Webdesigner und Webworker, die mit Freelancern und Partnern außerhalb der EU zusammenarbeiten, müssen sich mit dem Thema Standardvertragsklauseln beschäftigen.
  • Wenn Freelancer und Partner Zugriff auf die Daten Ihrer Kunden haben, müssen Sie so genannte Standardvertragsklauseln verwenden.
  • Ab dem 27.09.2021 müssen Sie für Ihre Partner bei neuen Verträgen die neuen Standardvertragsklauseln verwenden.
  • Das betrifft z.B. Dienste wie Mailchimp, Microsoft, Zoom, AWS, YouTube, Instagram, Facebook oder Google Analytics. Google, Microsoft und AWS haben bereits eigene Standardvertragsklauseln veröffentlicht.
  • Gehen Sie dazu in Ihr Nutzerkonto bei den jeweiligen Anbietern und bestätigen Sie dort die neuen Verträge.

So gehen Sie vor:

  • Prüfen Sie, an welche Anbieter und Freelancer außerhalb der EU Sie personenbezogene Daten übermitteln.
  • Verwenden Sie bei neuen Verträgen die neuen Standardvertragsklauseln. Tauschen Sie alte Versionen bis zum 27.12.2022 aus.
  • Planen Sie genug Zeit ein, denn Sie müssen zusätzlich eine Risikoabschätzung machen. 

Wenn Sie eRecht24 Premium buchen, erhalten Sie hierfür ein anwaltlich erstelltes Muster.

Sören Siebert
Sören SiebertRechtsanwalt

 

Anzeige

Inhaltsverzeichnis:

Was sind EU Standardvertragsklauseln?

Standardvertragsklauseln sind Musterverträge der EU-Kommission, die beide Vertragsparteien verpflichten ein Datenschutzniveau einzuhalten, das mit dem der EU vergleichbar ist.

Warum brauche ich Standardvertragsklauseln?

Wenn Sie personenbezogene Daten in nicht-europäische Drittländer übertragen, müssen Sie zum einen eine geeignete Rechtsgrundlage nach der DSGVO dafür haben. Doch damit ist es nicht getan. Der Empfänger personenbezogener Daten muss auch ein angemessenes Schutzniveau haben. Sicherstellen können Sie dies, indem Sie eine geeignete Garantie dafür nachweisen. Besonders beliebt hierfür sind die sog. Standardvertragsklauseln.

Das Blöde an der Sache ist nur: Bis vor kurzem gab es nur EU Standardvertragsklauseln aus den Jahren vor 2018, also bevor die DSGVO in Kraft getreten ist. Dies hat sich nun endlich geändert: Die neuen EU Standardvertragsklauseln sind an die Vorgaben der DSGVO angepasst.

Zudem sind auch die Anforderungen aus dem EuGH-Urteil zum Privacy Shield an die dokumentierte Risikoeinschätzung („Transfer Impact Assessment“): aufgenommen: Die Parteien müssen sinngemäß versichern,

  • dass sie nicht glauben,
  • dass sie mit Blick auf die Rechtsvorschriften und Gepflogenheiten des Drittstaates
  • die Pflichten aus den Standardvertragsklauseln nicht einhalten können.

Hintergrund: Der EuGH hatte in seinem Urteil zum Privacy Shield erklärt, dass die bisherigen EU Standardvertragsklauseln zwar gültig seien, der Unternehmer aber zusätzlich im Einzelfall prüfen müsse, ob das Drittland auch tatsächlich ein angemessenes Schutzniveau sicherstelle. Viele Unternehmer fragten sich, was sie jetzt genau tun müssen. Insoweit bieten die neuen Standardvertragsklauseln zumindest ein wenig mehr Rechtssicherheit.

Was ist der Unterschied der neuen EU Standardvertragsklauseln gegenüber den alten?

Wenn Sie Sie als Unternehmer die neuen Standardvertragsklauseln verwenden, ergeben sich folgende Änderungen gegenüber der alten Version:

  • Die Klauseln sind modular aufgebaut – sie enthalten Bausteine für die vier denkbaren Fälle, vgl. unten)
  • Sie beinhalten umfassende Haftungsregeln
  • Sie können den Gerichtsstand und das anwendbare Recht festlegen
  • Sie haben umfassende Dokumentationspflichten

Was habe ich davon?

Im Ergebnis haben Sie folgende Vor- und Nachteile:

  • Vorteil: Mit den neuen Standardvertragsklauseln sind Sie flexibler.
  • Nachteil: Der Abschluss der Standardvertragsklauseln wird für Sie komplizierter.

Brauche ich überhaupt EU Standardvertragsklauseln?

Wenn Sie personenbezogene Daten nur in die EU übermitteln, brauchen Sie keine Standardvertragsklauseln. Sobald Sie die Daten aber an Anbieter übermitteln, die in einem Drittland sitzen, sollten Sie aber Standardvertragsklauseln abschließen. Und das kann manchmal schneller passieren, als man denkt. Die zwei wichtigsten Praxisfälle:

1. Sie nutzen Tools eines Anbieters mit Sitz außerhalb der EU und übermitteln personenbezogenen Daten in dieses Land

  • Beispiele:
  • Google Analytics
  • Microsoft Zoom
  • Mailchimp
  • Facebook
  • YouTube
  • Instagram

2. Sie bieten selbst ein Tool oder eine Dienstleistung an. Sie bedienen sich dafür (zum Teil) selbst weiterer Freelancer, die nicht in der EU sitzen

Beispiele:

  • Sie bieten eine App an. Ihr Kunde nutzt diese und übermittelt Ihnen personenbezogenen Daten seiner Kunden.
  • Die Programmierung einzelner Bestandteile übernimmt ein Freelancer mit Sitz in Indien, der die personenbezogene Daten verarbeitet.
  • Den telefonischen Kundenservice Ihres Unternehmens führt ein Callcenter durch, das in Pakistan sitzt.

Sie müssen die neuen Standardvertragsklauseln nämlich in vier Fällen abschließen:

  1. wenn Sie für die personenbezogenen Daten verantwortlich sind und Ihr Vertragspartner im nicht-europäischen Drittland ebenfalls Verantwortlicher ist (Standardvertragsklauseln Verantwortlicher – Verantwortlicher)
    Beispiel: Sie haben ein Unternehmen mit Kunden in den USA. Sie beauftragen ein Inkassounternehmen mit Sitz in den USA und übertragen diesem eine Forderung.
  2. wenn Sie für die personenbezogenen Daten verantwortlich sind und Ihr Vertragspartner für Sie im Auftrag tätig ist, also in Ihrem Auftrag die Daten verarbeitet (Standardvertragsklauseln Verantwortlicher – Auftragsverarbeitung)
    Beispiel: Sie beauftragen Mailchimp mit dem Newsletterversand.
  3. wenn sowohl ihr Vertragspartner als auch Sie als Auftragsverarbeiter handeln, also jemand anders Verantwortlicher ist (Standardvertragsklauseln Auftragsverarbeitung – Auftragsverarbeitung);
    Beispiel: Sie haben ein Callcenter und führen für eine Firma Anrufe durch. Sie bedienen sich eines weiteren Callcenters außerhalb der EU, an die Sie die Anrufe teilweise auslagern.
  4. wenn Sie selbst Auftragsverarbeiter sind und die Daten an den Verantwortlichen übermitteln, der in einem Drittstaat sitzt (Standardvertragsklauseln Auftragsverarbeitung – Verantwortlicher)
    Beispiel: Ein Unternehmen aus Asien beauftragt Sie mit der Betreuung seiner deutschen Kontaktanfragen.

Bis wann brauche ich die neuen Standardvertragsklauseln?

Sie haben noch 18 Monate Zeit, die neuen Standardvertragsklauseln mit Ihren Vertragspartnern abzuschließen: Bis zum 27. Dezember 2022 müssen Sie alle alten Standardvertragsklauseln durch die neuen ersetzt haben. Sofern Sie neue Verträge abschließen, müssen Sie die neuen Standardvertragsklauseln spätestens ab dem 27.9.2021 verwenden. Bis dahin können Sie also theoretisch noch wählen, ob Sie die neuen oder alten Standardvertragsklauseln abschließen.

Haben Anbieter wie Google, Microsoft und Zoom eigene Standardvertragsklauseln?

Im folgenden sehen Sie, ob und wie die größten Anbieter die Standardvertragsklauseln umgesetzt haben, wie Sie diese abschließen und wo Sie die Bestimmungen finden.

Anbieter  Wie umgesetzt? Wie abschließen? Link
Mailchimp offen    
Microsoft Anbieter hat die neuen SCCs in Dokument "Microsoft Products and Services Data Protection Addendum“  eingebunden.

1. bestehende Verträge:
Sie müssen den Vertrag aktiv abschließen.
Aktualisieren Sie dazu die bestehenden Verträge über den Onlinedienst.

2. neue Verträge:
Die neuen SCC gelten automatisch automatisch.

https://www.microsoft.com/-licensing/docs
Zoom offen    
AWS  Anbieter hat die neuen SCCs in Dokument "AWS GDPR Data Processing Addendum“  eingebunden Die neuen SCC gelten automatisch. https://d1.awsstatic.com/-legal/aws-gdpr/AWS_GDPR_DPA.pdf
YouTube offen    
Facebook Anbieter hat die neuen SCCs in Dokument „Facebook-Vertragszusatz für die Übermittlung europäischer Daten“  eingebunden,  aktuell nur "Processor to Processor" (Modul 3) vefügbar Die neuen SCC gelten automatisch. https://www.facebook.com/-legal/EU_data_transfer-_addendum/update
Instagram siehe Facebook    
Google   Anbieter hat die neuen SCCs in Datenschutzbestimmungen eingebunden

1. bestehende Verträge:
a) Sie müssen den Vertrag aktiv abschließen.
Stimmen Sie dazu in Ihrem Account den Änderungen der Datenschutz-bestimmungen zu.
b) Wenn Sie nicht aktiv zugestimmen, gelten diese bei fortgesetzter Nutzung trotzdem.

2. neue Verträge:

Die neuen SCC gelten automatisch.

https://business.safety.google/-adsprocessorterms/sccs/
Google Analytics siehe Google, Nutzung ist Auftragsverarbeitung    
Atlassian  Anbieter hat die neuen SCCs in Dokument "Data Processing Addendum“  eingebunden Sie müssen den Vertrag aktiv abschließen.
Laden Sie dazu die Verträge herunter, unterschreiben Sie sie und senden Sie sie per Mail ein. 
https://www.atlassian.com/-legal/data-processing-addendum
Salesforce  Anbieter hat die neuen SCCs in Dokument "Data Processing Addendum“  eingebunden Sie müssen den Vertrag aktiv abschließen. Schließen Sie dazu die Data Processing Addendum Änderungsvereibarung oder den SCC-Zusatz ab und senden das Dokument per Mail ein.  https://www.salesforce.com/-content/dam/web/en_us/-www/documents/legal/-Agreements/scc-amendment.pdf

  

 Checkliste: Neue EU Standardvertragsklauseln - Was muss ich jetzt tun?

Wenn Sie die Übermittlung personenbezogener Daten in Drittstaaten planen, gehen Sie am besten wie folgt vor:

  1. Prüfen, welche Anbieter betroffen sind
    Prüfen Sie, bei welchen Tools und Partnern bzw. deren Subunternehmern Sie personenbezogene Daten in Drittländer übermitteln und ob Sie mit diesen bereits Standardvertragsklauseln abgeschlossen haben. Prüfen Sie auch, ob Sie selbst Subunternehmer in Drittländern beschäftigen, an die Sie personenbezogene Daten übermitteln.
  2. Mit dem Anbieter sprechen
    Sofern Sie die alten Standardvertragsklauseln genutzt haben, bitten Sie den Anbieter und gegebenenfalls deren Subunternehmer, die neuen Muster zu verwenden. Sofern Sie neue Verträge mit Anbietern in Drittländern schließen, nutzen Sie die neuen Standardvertragsklauseln.
    Achtung: Möglicherweise fragen Sie sich in diesem Zusammenhang: Gibt es eigentlich auch:
    • Google Analytics Standardvertragsklauseln
    • Microsoft Standardvertragsklauseln
    • Zoom Standardvertragsklauseln?
    Die Antwort: Teilweise. Zumindest Google, AWS und Microsoft haben bereits eigene Standardvertragsklauseln veröffentlicht. Es ist gut möglich, dass weitere größere Anbieter demnächst nachziehen. Sobald dies der Fall ist, werden wir Sie selbstverständlich an dieser Stelle darüber informieren.
  3. Prüfen der neuen Standardvertragsklauseln
    Sofern Sie die neuen Standardvertragsklauseln von Ihrem Partner vorgelegt bekommen, prüfen Sie, ob dieser
    • die richtigen Module ausgewählt hat,
    • den Text nicht angepasst hat und
    • die Anhänge richtig ausgefüllt hat.
  4. Risikoabschätzung machen
    Es reicht auch mit den neuen EU Standardvertragsklauseln nicht aus, diese nur abzuschließen. Sie müssen zusätzlich eine Risikoabschätzung vornehmen. Das heißt: Prüfen Sie genau, wie die Datenübertragung in das Drittland abläuft und welche technischen und organisatorischen Maßnahmen Ihr Vertragspartner zum Schutz der Daten vorgesehen hat. In diesem Zusammenhang ist wichtig:
    • Welche Art von Daten ist betroffen (z.B. besonders sensible Gesundheitsdaten)?
    • Welche Rechtsvorschriften und Gepflogenheiten gelten in dem Drittland? Werden in dem Land z.B. Behörden gegenüber die Daten offengelegt?
    • Können Sie – neben den vorgesehenen Maßnahmen - weitere technische Schutzmaßnahmen implementieren, z. B. eine SSL-Verschlüsselung?
    Tipp: Bei eRecht24 Premium erhalten Sie eine anwaltlich erstellte Prüfvorlage, mit der Sie das aktuelle datenschutzrechtliche Risiko deutlich reduzieren.
  5. Prüfverfahren protokollieren
    Halten Sie aus Nachweisgründen für jeden Anbieter fest:
    • Wann haben Sie den Anbieter nach den neuen Standardvertragsklauseln gefragt?
    • Was hat die Prüfung ergeben?
    • Warum ist die Prüfung so ausgefallen?
  6. Kalender im Blick behalten
    Schieben Sie das Thema Standardvertragsklauseln nicht auf die lange Bank. Sie haben zwar 18 Monate Zeit für die Umsetzung. Kümmern Sie sich aber am besten so schnell wie möglich darum, denn die Umsetzung wird einige Zeit in Anspruch nehmen. Insbesondere müssen Sie die Risikoabschätzung durchführen, mit Ihrem Vertragspartner die geeigneten technischen und organisatorischen Maßnahmen besprechen und zuletzt alles umfassend dokumentieren. Übrigens: Ihre Datenschutzerklärung müssen Sie in der Regel nicht anpassen. Denn dort verweisen Sie vermutlich nur auf die Standardvertragsklauseln, die Sie ja separat abschließen.

Fazit

Sie müssen als Unternehmer bis zum 27.12.2022 die neuen Standardvertragsklauseln abschließen. Diese sind zwar erfreulicherweise an die DSGVO angepasst und allein dadurch schon etwas sicherer. Doch allein diese abzuschließen bietet Ihnen keinen Freifahrtschein: Sie müssen zusätzlich eine Risikoabschätzung machen. Es gibt also viel zu tun und Sie sollten sich so schnell wie möglich darum kümmern. Wenn Sie Unterstützung brauchen, wenden Sie sich am besten an einem auf Datenschutzrecht spezialisierten Anwalt: Zum Beispiel von der Kanzlei Siebert Lexow: www.kanzlei-siebert.de 

Anzeige

Diese Beiträge könnten Sie ebenfalls interessieren:
Weiterlesen...
Oft vergessen, aber Pflicht für jeden Unternehmer: Das DSGVO Verarbeitungsverzeichnis
Weiterlesen...
2021 stressfrei & schnell zur rechtssicheren Webseite: Die neuen eRecht24 Premium Tools
Weiterlesen...
Wichtiges aktuelles Urteil: OLG Hamburg sagt, DSGVO-Verstöße sind abmahnfähig
Weiterlesen...
Wichtiges EuGH-Urteil: Einwilligung für Tracking-Cookies und Haftung für den Facebook Like-Button
Weiterlesen...
Was sind personenbezogene Daten?
Weiterlesen...
Neues Gesetz: Fehlende Datenschutzerklärung kann ab sofort abgemahnt werden
Weiterlesen...
Die DSGVO und die E-Mail-Verschlüsselung
Weiterlesen...
Nutzer-Einwilligung auf Webseiten: Quatsch oder Pflicht?
Weiterlesen...
Videokonferenzen und Datenschutz: Der große Vergleichstest zu Zoom und Co.
Weiterlesen...
Viren, Trojaner, Phishing und Co: 10 Regeln zum Schutz Ihrer Daten
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

DSGVO Schnellstarter-Paket

Das Datenschutzrecht hat sich 2018 vollständig geändert. Haben Sie die DSGVO umgesetzt? Sichern Sie jetzt Ihre Webseite ab.

Jetzt absichern

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details
Support