IT-Recht aktuell

Reminder: Übergangsfrist für „alte“ Standardvertragsklauseln endet am 26.12.2022

Unternehmen, die ihren Datentransfer in Drittländer noch immer über die „alten“ Standardvertragsklauseln (SCC) absichern, sollten sich umgehend mit den neuen Standardvertragsklauseln (SCC2021) auseinandersetzen, da die Übergangsfrist zur Nutzung der ursprünglichen SCCs am 26.12.2022 endet. Datentransfers in Drittländer können damit am 27.12.2022 nicht mehr auf die alten SCC gestützt werden.

Bereits seit dem 27.06.2021 dürfen neue oder abgeänderte Drittlandtransfers nur noch mit den SCC2021 abgesichert werden. Für bereits bestehende Datenübermittlungen galt jedoch eine Übergangsfrist, die mit Ablauf des 26.12.2022 endet. Ab 27.12.2022 sind die von der EU-Kommission veröffentlichen SCCs2021 zu verwenden, wenn keine anderweitigen Methoden wie „Binding Corporate Rules“, Einwilligungen, etc. für den Datentransfer in das Drittland zielführend sind.

 

Was ändert sich?

Im Gegensatz zu den alten SCC sind die SCC2021 modular aufgebaut. Es gibt vier Module:

 

Modul 1: Controller-to-Controller (Verantwortlicher an Verantwortlicher)

Modul 2: Controller-to-Processor (Verantwortlicher an Auftragsverarbeiter)

Modul 3: Processor-to-Processor (Auftragsverarbeiter an Sub-Auftragsverarbeiter)

Modul 4: Processor-to-Controller (Auftragsverarbeiter aus EU an Verantwortlichen in Drittland)

 

Vorteil der neuen SCC ist folglich, dass u.a. auch die Konstellation eines Transfers von einem Auftragsverarbeiter (Processor) zu einem Subauftragsverarbeiter in einem Drittland erfasst wird.

Darüber hinaus bedarf es keines separaten Auftragsverarbeitungsvertrags (AVV), da die neuen SCC alle erforderlichen Bestimmungen enthalten.

Der modulare Aufbau erfordert allerdings, dass das korrekte Modul ausgewählt und nicht relevante Klauseln gelöscht werden müssen.

Wie zuvor gilt, dass die SCC (mit Ausnahme der Auswahl der Module und Optionen) nicht verändert oder eingeschränkt werden dürfen.

Die neuen SCC sehen zudem zusätzliche präventive und reaktive Klauseln zum Schutz von personenbezogenen Daten vor ausländischen Behörden vor. Die Parteien müssen bspw. zusichern, dass sie keinen Grund zu der Annahme haben, dass es im Zielland Zugriffe ohne Rechtsweggarantie gibt. Sollte es doch zu einem Zugriff durch eine Behörde kommen, greifen Informations- und Abwehrpflichten. Hierzu muss ein sog. Transfer Impact Assessment (TIA) durchgeführt werden.

Gegenüber den alten SCC nehmen zudem die Informations- und Meldepflichten zu. So müssen sogar Unterauftragsbearbeiter betroffene Personen über eine Kontaktmöglichkeit (Ziffer 36) und über Zugriffsversuche ausländischer Behörden informieren (Ziffer 41) informieren.

 

Formelle Anforderungen

Verträge basierend auf SCC müssen nicht mit eigenhändiger Unterschrift versehen werden. Sofern das nationale Rechte die elektronische Unterschrift vorsieht, ist diese erlaubt.

 

Checkliste:

  1. Unternehmen müssen ihre Datenströme in Drittländer prüfen.
  2. Es muss anschließend entschieden werden, welche Fallkonstellation der SCC zum Einsatz kommt.
  3. Das ausgewählte SCC-Modul wird vereinbart. Dazu gibt es folgende Möglichkeiten:
    • durch Übernahme von Passagen aus dem Vorlagentext,
    • durch eine Vereinbarung, in der unter Beifügung der vollständigen SCC geregelt wird, welche Module und Optionen in welchen Konstellationen gelten sollen;
    • durch eine separate Vereinbarung, bei der die SCC inklusive Auswahl der betreffenden Module und Optionen als Referenz zum Vertragsbestandteil erklärt werden.
  1. Durchführung eines TIA durch Abfrage der zusätzlichen Sicherheitsmaßnahmen.
  2. Prüfung des Datenschutzniveaus im Drittland.
  3. Implementierung zusätzliche Schutzmaßnahmen (bspw. Pseudonymisierung, Verschlüsselung etc.), sofern nach TIA notwendig.
  4. Protokollierung des Prüfverfahrens.

 

Die Zeit drängt. Unternehmen sollten den Abschluss der neuen SCC2021 jetzt anstoßen, da die Durchführung des TIA mit Zeitaufwand verbunden ist.

« Alle Artikel anzeigen