Schon wieder neue Standardvertragsklauseln im Datenschutz? Wer soll da noch durchblicken? Warum wurden überhaupt neue Standardvertragsklauseln definiert? Was muss ich jetzt tun? Und was hat es mit den Standardvertragsklauseln für den EWR auf sich? Viele Fragen – wir beantworten sie im folgenden Beitrag.
Wenn Ihr Dienstleister personenbezogene Daten für Sie oder gemeinsam mit Ihnen verarbeitet, müssen Sie bereits seit dem 27.09.2021 in den Verträgen, die den Datenschutz regeln, die neuen Standardvertragsklauseln heranziehen. Bis allerspätestens 27.12.2022 müssen auch alle bestehenden Verträge auf die neuen SCCs umgestellt sein. Bitte beachten Sie: Wir sprechen nur von den Verträgen, die den Datenschutz regeln. Weitere Verträge / Teilverträge, wie konkrete Leistungsbeschreibung, Laufzeiten und so weiter, sind hiervon nicht betroffen.
Inhaltsverzeichnis
Auf den Punkt gebracht: Die neuen Standardvertragsklauseln im Datenschutz
- In den neuen Standardvertragsklauseln (SCC) wurden verschiedene Module eingeführt.
- Der Verantwortliche muss eine Daten-Transfer-Folgenabschätzung nach Klausel 14 der SCC durchführen.
- Es gibt nun auch einheitliche Standardvertragsklauseln gem. Art. 28 DSGVO für Verantwortliche und Auftragsverarbeiter im EWR.
Standardvertragsklauseln (SCC) für den internationalen Drittlandstransfer
Warum wurden die Standardvertragsklauseln überhaupt überarbeitet?
Viele US-Firmen haben sich zur Datenübermittlung in der Vergangenheit auf das Privacy-Shield berufen. Seit dem Wegfall des Privacy-Shields durch das EuGH-Urteil im Jahr 2020 sind „neue“ geeignete Garantien für den Drittlandstransfer zu definieren. Neben dem Angemessenheitsbeschluss und BCR (Binding Corporate Rules) oder weiteren Garantien greifen die meisten Anbieter nun auf die EU-Standardvertragsklauseln zurück. Diese Klauseln sind von der EU-Kommission definiert und auch beschlossen. So weit, so gut.
Die alten Standardvertragsklauseln wurden kurz nach dem Urteil bereits von Datenschutzbeauftragten „bemängelt“, da sie nicht den aktuellen Stand und die vorgegebenen Sicherheitsstandards der DSGVO umsetzen. Nach langem Hin und Her hat die Kommission im Juni 2021 schließlich neue Standardvertragsklauseln erlassen.
Die neuen Standardvertragsklauseln können hier eingesehen werden.
Welche Änderungen gibt es bei den neuen Standardvertragsklauseln (2021)?
Die wesentlichen Kernelemente aus den vorherigen SCC wurden beibehalten. Neu ist aber die Einführung von verschiedenen Modulen in den einzelnen Klauseln. Konkrete Beispiele zeige ich Ihnen in den nächsten Abschnitten. Eine weitere Neuerung besteht darin, dass in den Anhängen nun die konkreten Angaben zu Datenimporteur und -exporteur sowie zu den Daten zu nennen sind.
Dürfen die neuen Standardvertragsklauseln selbst angepasst werden?
Nein. Die neuen Standardvertragsklauseln dürfen an sich nicht geändert werden. In bestimmten Ausnahmefällen dürfen Anpassungen der SCC vorgenommen werden, dies ist aber im Originaltext kenntlich gemacht. Hierbei geht es:
- um Auswahl von Modulen und/oder spezifischen Optionen im Text
- zur Vervollständigung des Texts (eckige Klammern)
- zum Ausfüllen der Aushänge
- zum Hinzufügen von zusätzlichen Garantien
Die Module der neuen Standardvertragsklauseln
Ich muss zugeben, am Anfang habe ich mich etwas schwer getan, die Module richtig zuzuordnen bzw. deren Mechanismus zu verstehen. Wenn man sie grafisch darstellt, wird das Ganze einfacher. Grundsätzlich wird zwischen vier Modulen unterschieden:
Wenn in den Standardvertragsklauseln von Modul 2 die Rede ist, dann ist immer die Datenübermittlung von einem Verantwortlichen an den Auftragsverarbeiter gemeint. In Modul 4 hingegen wird die Datenübermittlung von einem Auftragsverarbeiter an den Verantwortlichen geregelt.
Werfen wir nun einen kurzen Blick auf die Module. Die angeführten Beispiele stammen aus dem FAQ der EU-Kommission zu den SCC.
Modul 1: Verantwortlicher an Verantwortlicher (Datenexporteur an Datenimporteur)
Ein Reisebüro aus Schweden (Datenexporteur) schließt einen Rahmenvertrag mit einer Hotelkette (Datenimporteur) zur Vermittlung von Unterkünften in Europa. Für die Übermittlung der Gästedaten an das Buchungszentrum ist das Modul 1 zu wählen.
Modul 2: Verantwortlicher an Auftragsverarbeiter (Datenexporteur an Datenimporteur)
Dieses Modul werden Sie am häufigsten in der Praxis anwenden.
Ein niederländisches Unternehmen (Datenexporteur) lagert die Personalverwaltung nach Indien (Datenimporteur) aus. Hier ist das SCC Modul 2 zu wählen.
Modul 3: Auftragsverarbeiter an (Unter-)Auftragsverarbeiter (Datenexporteuer an Datenimporteur)
Ein deutsches Krankenhaus gibt Blutproben zur Analyse an ein Labor in Polen weiter. Das Labor in Polen (Datenexporteur als Auftragsverarbeiter) lagert die Tätigkeit wiederum an ein indonesisches Labor (Datenimporteuer als Auftragsverarbeiter) aus. Zwischen dem polnischen und indischen Labor ist das Modul 3 zu schließen.
Modul 4: Auftragsverarbeiter an Verantwortlichen (Datenexporteur an Datenimporteur)
- Beispiel 1: Ein Unternehmen aus Marokko nutzt die Cloud-Dienste zur Kundenverwaltung eines Unternehmens aus Luxemburg. Für die Datenübermittlung zurück an das marokkanische Unternehmen ist seitens des luxemburgischen Unternehmens das Modul 4 zu wählen.
- Beispiel 2: Eine Universität in Tunesien beauftragt ein Forschungsinstitut in Belgien mit der Durchführung einer Umfrage, für die es Daten in der EU erhebt, verarbeitet und an die Universität sendet.
Wie wende ich die Module der Datenschutz SCC in der Praxis an?
Wenn Sie das passende Modul für sich definiert haben, müssen Sie lediglich die SCC entsprechend den Modulen anpassen. Betrachten Sie die Module wie einen Baukasten. Nehmen wir als Beispiel die Klausel 8 (Datenschutzgarantien) der SCC.
In Klausel 8 sind die Datenschutzgarantien beinhaltet, die auf das jeweilige Modul passend sind. Das bedeutet, wenn Sie Modul 2 wählen, dann sind alle weiteren Beschreibungen zu Modul 1, Modul 3 und Modul 4 aus dieser Klausel zu entnehmen.
Folgende Klauseln müssen auf die einzelnen Module angepasst werden:
- Klausel 8 – Datenschutzgarantien
- Klausel 9 – Einsatz von Unterauftragsverarbeitern (nur Modul 2 und Modul 3 betreffend)
- Klausel 10 – Rechte betroffener Personen
- Klausel 11 ab lit. b (nur Modul 1 bis Modul 3)
- Klausel 12 – Haftung
- Klausel 13 – Aufsicht (nur Modul 1 bis Modul 3)
- Klausel 14 – Lokale Rechtsvorschriften und Gepflogenheiten, die sich auf die Einhaltung der Klauseln auswirken
- Klausel 15 – Pflichten des Datenimporteurs im Falle des Zugangs von Behörden zu den Daten
- Klausel 17 – Anwendbares Recht
- Klausel 18 – Gerichtsstand und Zuständigkeit
Inhalt der Standardvertragsklauseln
Keine Sorge! Ich werde hier nicht alle einzelnen Klauseln erläutern. Alles andere würde den Rahmen des Beitrags sprengen.
Grundsätzliche wird immer wieder Bezug auf die Vorgaben der DSGVO genommen – unter anderem bei Zweckbindung, Transparenz, Speicherbegrenzung, Richtigkeit der Daten und Sicherheit bei der Bearbeitung.
Im Folgenden möchte ich ein paar Klauseln herausgreifen und auf diese kurz eingehen.
Klausel 7 – Kopplungsklausel
Mit der sog. „Andockklausel“ kann vereinbart werden, dass zukünftig weitere Parteien dem Vertrag beitreten können. Die Klausel ist optional abzuschließen. Klausel 7 bietet sich an, wenn nicht ausgeschlossen werden kann, dass zukünftig weitere Parteien zustoßen. Daher ist es aus meiner Sicht sinnvoll, wenn die Klausel beibehalten wird.
Damit die Partei rechtskräftig den Standardvertragsklauseln beitritt, ist es notwendig den Anhang I A (siehe unten) auszufüllen und zu ergänzen.
Klausel 9 – Einsatz von Unterauftragnehmern
Je nachdem, welches Modul zutreffend ist (siehe oben), ist die Vereinbarung über die Art und Weise des Einsatzes von neuen Unterauftragnehmern zu regeln. Die Standardvertragsklauseln bieten hierfür zwei Möglichkeiten:
- Vorherige gesonderte Genehmigung
- Allgemeine schriftliche Genehmigung
In beiden Fällen sind dem Datenexporteur alle notwendigen Informationen zur Beurteilung des neuen Unterauftragnehmers (z.B. TOMs, Sicherheitskonzepte, Vertragliche Regelung zur Einhaltung des Datenschutzes etc.) zur Verfügung zu stellen.
Vorherige gesonderte Genehmigung
Der Datenimporteur darf einen neuen Unterauftragsverarbeiter nur mit einer aktiven Genehmigung des Datenexporteurs beauftragen. In der Klausel 9 ist eine angemessene Frist für die Genehmigung einzuräumen. In der Praxis habe ich meist Fristen von zwei bis vier Wochen vernommen. Welche Frist angemessen ist, ist jedoch im Einzelfall zu prüfen.
Das bedeutet im Ergebnis, bei Zustimmung des Datenexporteur darf der neue Unterauftragnehmer beauftragt werden.
Allgemeine schriftliche Genehmigung
Bei der Genehmigung bedarf es keiner aktiven Zustimmung des Datenexporteurs. Der Datenimporteur informiert den Datenexporteur aktiv über die geplante Beauftragung und räumt hier ebenfalls eine angemessene Frist (siehe oben) für die Überlegung ein. Der Datenimporteur muss aktiv widersprechen, wenn er mit der Beauftragung nicht einverstanden ist. Erfolgt kein Widerspruch nach Fristablauf ist das Stillschweigen als Zustimmung zu vernehmen und der neue Unterauftragnehmer darf eingesetzt werden.
Welche Variante ist vorteilhafter?
Die juristische Antwort von mir: es kommt drauf an, je nachdem welche Rolle Sie einnehmen. Für Datenimporteure ist die allgemeine schriftliche Genehmigung vorteilhafter, da nur ein Handlungsbedarf besteht, wenn Widersprüche eintreffen. Für den Datenexporteur bedeutet es aber auch weniger Aufwand, da keine aktive Handlung erforderlich ist, wenn das Ergebnis der Prüfung in Ordnung ist.
Natürlich bietet die vorherige schriftliche Genehmigung Vorteile für den Datenexporteur. Nur mit dessen Zustimmung darf der Unterauftragnehmer eingesetzt werden. Das bedeutet, er hat sich zwangsläufig mit den Informationen innerhalb der gesetzten Frist auseinanderzusetzen und eine Entscheidung zu treffen.
In den meisten Fällen wird die Variante der allgemeinen schriftlichen Genehmigung in der Praxis angewandt.
Klausel 17 – Anwendbares Recht
Nach Klausel 17 müssen die Parteien das Recht angeben, das für die Anwendung der SCC maßgeblich wird („anwendbares Recht“). Für die Module 1, 2 und 3 muss dies immer das Recht eines der EU-Mitgliedstaaten oder eines EWR-Landes sein. Bei Modul 4 kann es sich auch um das Recht eines Nicht-EWR-Landes handeln.
Question and answer for the two sets of Standard Contractual Clauses, Nr. 37 questions_answers_on_sccs_en.pdf (europa.eu)
Es bietet sich an, das Recht zu wählen, in dem der Datenexporteur seinen Hauptsitz (z.B. Deutschland) hat.
Das soll es erst einmal zu den inhaltlichen Themen der SCC gewesen sein. Möchten Sie, dass wir noch weitere Klauseln erläutern? Dann schreiben Sie es gerne in die Kommentare. Werfen wir nun einen Blick auf die Anhänge, die von äußerster Wichtigkeit sind.
Die Anhänge der neuen Datenschutz SCC für den Drittlandstransfer
Es muss möglich sein, die für jede Datenübermittlung oder jede Kategorie von Datenübermittlungen geltenden Informationen klar voneinander zu unterscheiden und in diesem Zusammenhang die jeweilige(n) Rolle(n) der Parteien als Datenexporteur(e) und/oder Datenimporteur(e) zu bestimmen. Dies erfordert nicht zwingend, dass für jede Datenübermittlung bzw. jede Kategorie von Datenübermittlungen und/oder für jedes Vertragsverhältnis getrennte Anlagen ausgefüllt und unterzeichnet werden müssen, sofern die geforderte Transparenz bei Verwendung einer einzigen Anlage erzielt werden kann. Erforderlichenfalls sollten getrennte Anlagen verwendet werden, um ausreichende Klarheit zu gewährleisten.
Amtsblatt der Europäischen Union, L 199/57 vom 07.06.2022, Seite 27
Anhang I
Im Anhang I ist die Liste der Parteien (A) und die Beschreibung der Datenübermittlung (B) sowie die zuständige Aufsichtsbehörde (C) zu nennen.
Ich gehe an dieser Stelle auf den Anhang I B genauer ein. In der Auflistung kennzeichne ich in Fettschrift, welche „neuen“ Angaben zu beschreiben sind.
Beschreibung der Datenübermittlung
Folgende Angaben sind im Anhang I B vorzunehmen:
- Kategorien betroffener Personen z.B. Endkunden, Mitarbeiter, Lieferanten, Interessenten etc.
- Kategorien übermittelter personenbezogener Daten z.B. Name, E-Mail-Adresse, IP-Adresse, etc.
- Übermittlung sensibler Daten (falls zutreffend) z.B. Lohn- und Gehaltsdaten, Gesundheitsdaten etc. und angewandte Beschränkungen und Garantien, z.B. strenge Zweckbindung, Zugangsbeschränkung, Aufzeichnung über den Zugang etc.
- Häufigkeit der Übermittlung z.B. kontinuierlich
- Art der Verarbeitung z.B. Speichern, Aufzeichnung, Veröffentlichung, Sortierung etc.
- Zweck der Verarbeitung z.B. Lohn- und Gehaltsabrechnung, Kundenbetreuung, IT-Support
- Speicherdauer oder die Kriterien für die Festlegung der Speicherdauer, z.B. 10 Jahre zur Erfüllung der gesetzlichen Aufbewahrungsfrist
- Angabe von Gegenstand, Art und Dauer an (Unter-) Auftragsverarbeiter
Anhang II – TOMs
Die TOMs sind konkret (nicht allgemein) seitens des Datenimporteurs zu beschreiben. Dieser Punkt hat sich im Vergleich zu den bisherigen Anforderungen kaum geändert. Folgende Beispiele für die TOMs können als Hilfestellung herangezogen werden:
- Verschlüsselung / Pseudonymisierung
- Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme
- Maßnahmen zur Identifizierung und Autorisierung der Nutzer
- Maßnahmen zum Schutz der Daten während der Übermittlung
- ….
In unserem Blogbeitrag zu den TOMs finden Sie Tipps und Hilfestellung zur Erfassung und Dokumentation.
Anhang III – Liste der Unterauftragsverarbeiter
Die Liste der Unterauftragnehmer ist für das Modul 2 und Modul 3 zu bearbeiten. Folgende Angaben zu den Unterauftragsverarbeitern sind erforderlich:
- Name,
- Anschrift
- Name, Funktion und Kontaktdaten der Kontaktperson
- Beschreibung der Verarbeitung
- sowie aus Anhang I B: Gegenstand, Art und Dauer der Verarbeitung
Module und Anhänge gewählt – fertig mit den SCC?
Super, dann unterschreibe ich die Standardvertragsklauseln und dann passt es, oder?
Leider nicht! Es wäre schön, wenn es ein Muster für alle Eventualitäten geben würde. Das wird jedoch leider nie der Fall sein. Das BayLDA nimmt zu den neuen Standardvertragsklauseln im 10. Tätigkeitsbericht Stellung:
Die neuen Standarddatenschutzklauseln vermitteln im Übrigen – anders als mitunter erwartet – keine „einfache Lösung“ für die vom Europäischen Gerichtshof im Rahmen der Schrems-II-Entscheidung (Rechtssache C-311/18, Urteil vom 16.07.2020) aufgezeigte Problematik möglicher Datenzugriffe von Behörden des Drittlands. Denn naturgemäß sind Behörden eines Drittlands nicht an die vertraglichen Vereinbarungen zwischen Datenexporteur und Datenimporteur gebunden. Auch bei Einsatz der neuen Standarddatenschutzklauseln bleibt der Datenexporteur daher verpflichtet, immer zu prüfen, ob Behörden des Drittlandes möglicherweise Zugriff auf die Daten in einem Umfang nehmen könnten, der über das nach EU-Recht akzeptable Maß hinausgeht und gegebenenfalls zusätzliche Garantiemaßnahmen zu ergreifen. Diese Prüfpflicht ist in den neuen Standarddatenschutzklauseln auch explizit so festgehalten.
10. Tätigkeitsbericht des Bayerischen Landesamts für Datenschutzaufsicht für das Jahr 2020, Seite 46
Die im Zitat genannte Prüfung nennt man auch die Daten-Transfer-Folgenabschätzung.
Daten-Transfer-Folgenabschätzung (TIA – Transfer Impact Assessment)
Wie gerade beschrieben, ist es nicht ausreichend, wenn die neuen Standardvertragsklauseln für den Drittlandtransfer „einfach so“ unterschrieben oder bestätigt werden. Vielmehr hat der Verantwortliche sicherzustellen, dass der Datenimporteur sich an die neuen Standardvertragsklauseln hält, ohne dass nationale Gesetze ihn daran hindern (z.B. Cloud-Act) oder dass Behörden aus Drittländern Zugriff auf die Daten haben.
Klausel 14 der neuen Standardvertragsklauseln verpflichtet den Verantwortlichen zur Durchführung einer sogenannten Daten-Transfer-Folgenabschätzung, kurz TIA.
Wie sieht eine Daten-Transfer-Folgenabschätzung aus? Was muss eine TIA beinhalten?
Muster TIA zum Download (Excel)
Wie in vielen Rechtsbereichen gibt es auch hier (noch) kein Muster oder keine Anleitung, wie diese Daten-Transfer-Folgenabschätzung auszusehen hat. Um Ihnen die Arbeit zu erleichtern, stellen wir Ihnen für die TIA unser Muster zur Verfügung. Dieses können Sie nachstehend downloaden.
Bitte beachten Sie, dass wir keine Gewähr auf Vollständigkeit geben können und auch keinen Änderungsdienst gewährleisten. Die Vorlage ist ausschließlich für den internen Gebrauch zu verwenden und nicht für den Weiterverkauf!
Nach Klausel 14 lit. b SCC sind folgende Punkte seitens des Datenexporteurs zu prüfen und zu dokumentieren:
- die besonderen Umstände der Übermittlung,
- einschließlich der Länge der Verarbeitungskette,
- der Anzahl der beteiligten Akteure und
- der verwendeten Übertragungskanäle,
- beabsichtigte Datenweiterleitungen,
- die Art des Empfängers,
- der Zweck der Verarbeitung,
- die Kategorien und
- das Format der übermittelten personenbezogenen Daten,
- der Wirtschaftszweig, in dem die Übertragung erfolgt,
- der Speicherort der übermittelten Daten,
- die angesichts der besonderen Umstände der Übermittlung relevanten Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes (einschließlich solcher, die die Offenlegung von Daten gegenüber Behörden vorschreiben oder den Zugang von Behörden zu diesen Daten gestatten) sowie die geltenden Beschränkungen und Garantien.
- alle relevanten vertraglichen, technischen oder organisatorischen Garantien, die zur Ergänzung der Garantien gemäß diesen Klauseln eingerichtet wurden, einschließlich Maßnahmen, die während der Übermittlung und bei der Verarbeitung personenbezogener Daten im Bestimmungsland angewandt werden.
Im besten Fall sind die meisten Punkte schon im Verfahrensverzeichnis beschrieben und dokumentiert. Sie können diese so für die TIA heranziehen.
Unsere Vorlage der TIA beinhaltet etwas mehr Inhalt als in den SCC verlangt. Sie wissen bestimmt, dass wir ein großer Freund von Risikoanalysen sind und auch das Datenschutzmanagement auf dem risikobasierten Ansatz aufbaut (soweit möglich). Dementsprechend ist es aus unserer Sicht auch sinnvoll, wenn am Schluss der TIA ebenfalls nochmals eine kurze Risikoanalyse zum Risiko der Betroffenen vorgenommen wird.
Anbieter, die eine TIA als Vorlage zur Verfügung stellen
Nachstehend finden Sie eine Übersichtsliste der Anbieter, die Ihren Kunden / Anwendern bereits eine TIA-Vorlage anbieten:
Anbieter / Dienst | Link zur TIA |
Atlassian | Data Transfer Impact Assessment | Atlassian |
Adobe | Adobe Transfer Impact Assessment |
Zoom | Zoom Data Transfer Impact Assessment (DTIA)_May 2022-2.xlsx – Google Tabellen (wird über Google Docs zur Verfügung gestellt) |
Kennen Sie noch weitere Anbieter, die eine TIA zur Verfügung stellen? Dann schreiben Sie es uns gerne in die Kommentare.
Was muss ich jetzt tun, um die richtigen Verträge für den Drittlandstransfer abzuschließen?
Idealerweise haben Sie sich schon mit den neuen Standardvertragsklauseln auseinandergesetzt. (Wir wollen doch eine Torschlusspanik wie bei der DSGVO vermeiden, oder :)). Nachfolgend ein Überblick, welche Schritte nötig sind, um die neuen Standardvertragsklauseln umzusetzen:
- Führen Sie eine Bestandsaufnahme Ihrer Dienstleister durch, die personenbezogene Daten für Sie verarbeiten und die den Hauptsitz in einem Drittland haben. Wenn Ihr Verarbeitungsverzeichnis aktuell ist, sollten Dienstleister und Drittlandtransfers bereits daraus zu entnehmen sein.
- Fragen Sie beim Dienstleister nach den neuen Standardvertragsklauseln. Eventuell sind diese ohnehin schon online. Prüfen Sie zunächst, ob Sie bereits eine Mitteilung von Ihrem Dienstleister erhalten haben. Wenn nicht, fragen Sie z.B. per Mail nach.
- Prüfen Sie die Standardvertragsklauseln inkl. Sicherheitsmaßnahmen. Beziehen Sie sich bei der Prüfung (oder Ihr Datenschutzbeauftragter) der Standardvertragsklauseln auf die Vorgaben der EU-Kommission. Wie bereits erwähnt, dürfen die Standardvertragsklauseln an sich nicht geändert werden; nur mit Zustimmung der Aufsichtsbehörde ist dies möglich.
- Führen Sie eine Daten-Transfer-Folgenabschätzung durch. Prüfen Sie mittels der Daten-Transfer-Folgenabschätzung, ob die Sicherheitsmaßnahmen ausreichend sind, damit der Dienstleister die Standardvertragsklauseln einhalten kann.
- Begründen Sie den Einsatz von Nicht-EU-Anbietern. Prüfen und begründen Sie, weshalb für Sie der Einsatz eines Drittlandanbieters eher in Frage kommt als der eines europäischen Anbieters.
- Dokumentieren Sie die Prüfung. Dokumentieren Sie die oben genannten Schritte z.B. in einer Excel-Tabelle.
- Passen Sie die Informationspflichten und Datenschutzhinweise an. Zum Schluss ist es wichtig, dass Sie Ihre Datenschutzhinweise und -informationen noch entsprechend anpassen und ggf. ergänzen. Weisen Sie die Betroffenen auf die neuen Standardvertragsklauseln hin. Dies tun Sie am besten mit Link, wenn möglich.
Die Vorgehensweise klingt doch sehr überschaubar 🙂 – oder nicht?
Ich bin mir unsicher, ob die Standardvertragsklauseln richtig sind bzw. ob diese nicht verändert wurden.
Klären Sie zunächst die Frage mit Ihrem Datenschutzbeauftragten. Wenn Sie keinen Datenschutzbeauftragten haben, können Sie auch gerne Ihre zuständige Aufsichtsbehörde um Rat fragen.
Die Auswirkungen und die Änderungen der Standardvertragsklauseln werden sich erst im Laufe der Zeit zeigen. Wir hoffen, dass sich die Aufsichtsbehörden zumindest zu den größten Anbietern wie Google, Facebook oder Microsoft äußern werden und eine wegweisende Empfehlung an die Hand geben können.
Ist der Einsatz von US-Anbietern oder Drittlandsanbietern dann endlich zulässig und in Ordnung?
Ich wünschte, ich könnte hier einfach „Ja“ sagen. Nur leider kann und darf ich das nicht. Es bleibt abzuwarten, wie sich die Aufsichtsbehörden äußern und welche Handlungsempfehlungen daraus resultieren.
Die Standardvertragsklauseln (SCC) für den EWR nach Art. 28 DSGVO
Die EU-Kommission hat im Zuge der Neugestaltung der SCC für den Drittlandstransfer auch Standardvertragsklauseln für den EWR gem. Art. 28 DSGVO erlassen. Die EU-Kommission teilt dazu folgendes in ihrem Beschluss mit:
Die im Anhang aufgeführten Standardvertragsklauseln erfüllen die Anforderungen an Verträge zwischen Verantwortlichen und Auftragsverarbeitern gemäß Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 und Artikel 29 Absätze 3 und 4 der Verordnung (EU) 2018/1725. […] Die im Anhang aufgeführten Standardvertragsklauseln können in Verträgen zwischen einem Verantwortlichen und einem
Durchführungsbeschluss EU-Kommission vom 04. Juni 2021: Publications Office (europa.eu)
Auftragsverarbeiter, der personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet, verwendet werden.
Warum heißen die Standardvertragsklauseln für den EWR genauso wie die Standardvertragsklauseln für den internationalen Datentransfer?
Diese Frage habe ich mir auch gestellt und kann sie leider nicht beantworten. In der Praxis kommt es häufig zu Missverständnissen, wenn man von Standardvertragsklauseln und Standardvertragsklauseln spricht.
Die meisten gehen dann (berechtigterweise) von der SCC für den internationalen Datentransfer aus und lehnen erst einmal die SCC für den EWR ab. Daher ist es eigentlich unerlässlich, immer zu erwähnen, wann es sich um die SCC für den internationalen Datentransfer und die SCC gem. Art. 28 DSGVO handelt.
Ein weiteres Indiz für die SCC nach Art. 28 DSGVO ist die Bezeichnung der Parteien. Diese werden hier nach wie vor „Verantwortlicher“ und „Auftragsverarbeiter“ genannt.
Muss man die SCC gem. Art. 28 DSGVO nun anwenden – und für wen gelten sie?
Die SCC gem. Art. 28 DSGVO können zwischen Verantwortlichen und Auftragsverarbeitern, die ihren Sitz im EWR haben, angewandt werden. Es besteht jedoch keine Pflicht dafür.
Aus meiner Sicht profitiert man mit den SCC als Auftragsverarbeiter. In der Praxis kommt häufig der Fall vor, dass die erstellten Auftragsverarbeitungsverträge der Auftragsverarbeiter unvollständig sind und somit die Vorgaben des Art. 28 DSGVO nicht erfüllen. Mit den neuen SCC hat man ein einheitliches europäisches Vertragswerk. Die neuen SCC dürfen nämlich genauso wenig angepasst werden wie die SCC für den internationalen Datentransfer.
Welche Unterschiede gibt es zu den SCC für den internationalen Datentransfer?
Die neuen Standardvertragsklauseln gem. Art. 28 DSGVO sind im Vergleich zu den SCC für den internationalen Datentransfer kürzer und unterscheiden sich von den deutschen Vorlagen eines Auftragsverarbeitungsvertrags z.B. Bitkom, GDD nur wenig.
Des Weiteren gibt es statt drei Anhängen insgesamt vier Anhänge:
- Anhang I: Liste der Parteien
- Anhang II: Beschreibung der Verarbeitung
- Anhang III: TOMs
- Anhang IV: Liste der Unterauftragsverarbeiter
Die neuen Standardvertragsklauseln von Google
Google war einer der ersten Dienstleister, der die Änderung und Anpassung an die neuen Standardvertragsklauseln und des Auftragsverarbeitungsvertrags angekündigt hat.
Google hat zwei unterschiedliche Dokumente für seine Dienste bereitgestellt:
- Auftragsdatenverarbeitungsbedingungen für Google Werbeprodukte (Google Ads Data Processing Terms)
- Datenverarbeitungsbedingungen für Google Werbeprodukte (Google Ads Controller-Controller Data Protection Terms). In diesem Dokument wird aufgezeigt, für welche Produkte Google als alleiniger datenschutzrechtlicher Verantwortlicher agiert.
Nachstehend gehe ich insbesondere auf den Auftragsverarbeitungsvertrag und die zugehörigen Standardvertragsklauseln von Google ein.
Für welche Dienste gilt der Auftragsverarbeitungsvertrag?
Für folgende Google-Werbedienste ist der Auftragsverarbeitungsvertrag gültig:
- Ads Data Hub
- Audience Partner API (frühere Bezeichnung: DoubleClick Data Platform)
- Campaign Manager 360 (frühere Bezeichnung: Campaign Manager)
- Display & Video 360 (frühere Bezeichnung: DoubleClick Bid Manager)
- Erweiterte Conversions
- Google Ad Manager-Auftragsverarbeiterfunktionen
- Google Ad Manager 360-Auftragsverarbeiterfunktionen
- Google Ads Kundenabgleich
- Google Ads Ladenverkäufe (direkter Upload)
- Google Analytics
- Google Analytics 360
- Google Analytics für Firebase
- Google Data Studio
- Google Optimize
- Google Optimize 360
- Google Tag Manager
- Google Tag Manager 360
- Search Ads 360 (frühere Bezeichnung: DoubleClick Search)
Das bedeutet: Wenn Sie einen dieser Dienste nutzen, müssen Sie mit Google den Auftragsverarbeitungsvertrag abschließen.
Wie kann ich den Auftragsverarbeitungsvertrag und die Standardvertragsklauseln abschließen?
In Ihrem Google Analytics Account sollten Sie den neuen Verträgen zustimmen.
Müssen die Standardvertragsklauseln noch extra abgeschlossen werden?
Wenn Sie die Google Dienste im Rahmen der Auftragsverarbeitung nutzen und Google Ireland Ihr Vertragspartner ist, bedarf es aus meiner Sicht keinem weiterem Abschluss der Standardvertragsklauseln.
Ausblick und Fazit
Von den neuen SCC (unabhängig ob für den internationalen Datentransfer oder nach Art. 28 DSGVO) profitieren aus meiner Sicht beide Vertragsparteien – vor allem, wenn Anpassungen oder Änderungen an dem Vertragswerk vorgenommen werden. Das geht nicht mehr so einfach (zum Glück für den ein oder anderen :)).
Trotz der neuen Standardvertragsklauseln und der Durchführung der Daten-Transfer-Folgenabschätzung verbleibt immer noch ein gewisses Restrisiko beim Einsatz von Dienstleistern mit Sitz in einem Drittland. Wie hoch dieses Risiko ist, ist immer im Einzelfall zu bewerten.
Auf Wunsch unterstützten wir Sie gerne bei der Ermittlung des Risikos und der Durchführung der Datentransfer-Folgenabschätzung!