Standardvertragsklauseln

Vertragstexte die das Datenschutzniveau für Datenübermittlungen in Länder außerhalb des Europäischen Wirtschaftsraums absichern
(Weitergeleitet von Entscheidung 2004/915/EG)

Die Europäische Kommission beschloss zur Durchführung der Datenschutz-Grundverordnung zwei Sätze von Standardvertragsklauseln:

  1. Die häufig verwendeten Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer sollen die Datenverarbeitung in einem Land außerhalb des Europäischen Wirtschaftsraums absichern und auf ein Schutzniveau heben, das dem in der EU garantierten Schutzniveau der Sache nach gleichwertig ist.[1]
  2. Die seltener genutzten Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679 und Artikel 29 Absatz 7 der Verordnung (EU) 2018/1725 erfüllen alle Anforderungen eines Auftragsverarbeitungsvertrags.[2]
Flagge der Europäischen Union

Durchführungsbeschluss (EU) 2021/914

Titel: Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates
Rechtsmaterie: Datenschutzrecht
Inkrafttreten: 4. Juni 2021
Anzuwenden ab: 27. Juni 2021
Fundstelle: ABl. L 199, 7. Juni 2021, S. 31
Volltext Konsolidierte Fassung (nicht amtlich)
Grundfassung
Regelung ist in Kraft getreten und anwendbar.
Hinweis zur geltenden Fassung von Rechtsakten der Europäischen Union
Flagge der Europäischen Union

Durchführungsbeschluss (EU) 2021/915

Titel: Durchführungsbeschluss (EU) 2021/915 der Kommission vom 4. Juni 2021 über Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates und Artikel 29 Absatz 7 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates
Rechtsmaterie: Datenschutzrecht
Inkrafttreten: 4. Juni 2021
Anzuwenden ab: 27. Juni 2021
Fundstelle: ABl. L 199 vom 7.6.2021, S. 18
Volltext Konsolidierte Fassung (nicht amtlich)
Grundfassung
Regelung ist in Kraft getreten und anwendbar.
Hinweis zur geltenden Fassung von Rechtsakten der Europäischen Union
Flagge der Europäischen Union

Beschluss 2010/87/EU

Titel: Beschluss der Kommission vom 5. Februar 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates
Rechtsmaterie: Datenschutzrecht
Inkrafttreten: 12. Februar 2010
Anzuwenden ab: 15. Mai 2010
Außerkrafttreten: 27. September 2021
Fundstelle: ABl. L 39, 12. Februar 2010, S. 5
Volltext Konsolidierte Fassung (nicht amtlich)
Grundfassung
Regelung ist außer Kraft getreten.
Hinweis zur geltenden Fassung von Rechtsakten der Europäischen Union
Flagge der Europäischen Union

Entscheidung 2004/915/EG

Titel: Entscheidung der Kommission vom 15. Juni 2001 hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer nach der Richtlinie 95/46/EG
Rechtsmaterie: Datenschutzrecht
Inkrafttreten: 27. Dezember 2004
Anzuwenden ab: 1. April 2005
Außerkrafttreten: 27. September 2021
Fundstelle: ABl. L 385, 29. Dezember 2004, S. 74
Volltext Konsolidierte Fassung (nicht amtlich)
Grundfassung
Regelung ist außer Kraft getreten.
Hinweis zur geltenden Fassung von Rechtsakten der Europäischen Union

Standardvertragsklauseln für Drittländer

Bearbeiten

Funktionsweise

Bearbeiten

Standarddatenschutzklauseln werden zwischen zwei, oder seit 2021 auch zwischen mehreren Vertragspartnern geschlossen. Dabei befindet sich eine Seite im räumlichen Anwendungsbereich des europäischen Datenschutzrechts („Datenexporteur“). Die andere Seite außerhalb des räumlichen Anwendungsbereichs („Datenimporteur“).[3] Beide Parteien vereinbaren jedoch im Rahmen der Vertragsfreiheit die weitgehende Anwendung Europäischen Datenschutzrechts. Die Inhaltsfreiheit ist insofern eingeschränkt, als dass nur eine weitere Verbesserung des Datenschutzniveaus für die betroffene Person zulässig ist.[4]

Die Verwendung von Standardvertragsklauseln ist nach der Meinung von Datenschutz-Aktivisten mit der Produktion von Bio-Lebensmitteln im außereuropäischen Ausland vergleichbar.[5] Hierbei unterwirft sich ein Herstellerunternehmen im Ausland vollständig den Regelungen der Öko-Verordnung, um ein Bio-Siegel auf seinen Produkten anbringen zu können.

Drittbegünstigung betroffener Personen

Bearbeiten

Die von der Datenverarbeitung betroffenen Personen sind stets Drittbegünstigte der Standardvertragsklauseln. Ihnen steht so beispielsweise das Recht zu, die unterschriebene Version der Standardvertragsklauseln zu erhalten und eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen, welche zur Absicherung der ihn betreffenden personenbezogenen Daten unternommen werden, zu erhalten.

Durchführungsbeschluss (EU) 2021/914

Bearbeiten

Der Durchführungsbeschluss (EU) 2021/914 stellt die aktuellste Fassung der von der Europäischen Kommission vorgeschriebenen Standardvertragsklauseln dar. Verträge, die die Vorgängerversionen der Standardvertragsklauseln als Grundlage haben sollen, konnten noch bis zum 27. September 2021 abgeschlossen werden.[6][7] Soll eine Datenübertragung über den 27. Dezember 2022 hinaus auf Grundlage von Standardvertragsklauseln stattfinden, müssen diese ab diesem Zeitpunkt nach der neuen Rechtsgrundlage stattfinden.[8]

Die im Durchführungsbeschluss definierten Standardvertragsklauseln bestehen aus einem allgemeinen Teil und Klauseln für vier unterschiedliche Vertragskonstellationen („Module“). Datenexporteure und -importeure, die die Standarddatenschutzklauseln dieses Kommissionsbeschlusses nutzen wollen, müssen das für ihre jeweilige Situation passende Modul auswählen und können die nicht einschlägigen Module streichen.[9]

Die folgenden vier Module sind vorgesehen[10]:

  • Modul 1: Übermittlung von Verantwortlichen an Verantwortliche
  • Modul 2: Übermittlung von Verantwortlichen an Auftragsverarbeiter
  • Modul 3: Übermittlung von Auftragsverarbeitern an (Unter-)Auftragsverarbeiter
  • Modul 4: Übermittlung von Auftragsverarbeitern an Verantwortliche

Den Vereinbarungen gemäß den vorbenannten Modulen können Dritte nachträglich als Datenexporteur oder Datenimporteur hinzutreten und den bestehenden Vertrag und die Klauseln nutzen. Dafür ist die Aufnahme der fakultativen Koppelungsklausel 7 SCC erforderlich. Der Beitretende muss den Anhang I.A. unterzeichnen.

Allgemeiner Teil

Bearbeiten

Im allgemeinen Teil bestimmen die Klauseln den Zweck und Anwendungsbereich (Klausel 1), die Wirkung und die Unabänderbarkeit der Klauseln (Klausel 2), die Drittbegünstigung der betroffenen Person (Klausel 3), die Auslegung (Klausel 4), den Vorrang der Klauseln vor allen weiteren vertraglichen Verpflichtungen (Klausel 5), die Beschreibung der Datenübermittlung (Klausel 6) und fakultativ den Beitritt weiterer Vertragsparteien (Klausel 7).

Darüber hinaus verpflichtet Klausel 8 jeden Datenexporteur, „sich im Rahmen des Zumutbaren davon überzeugt zu haben, […] dass der Datenimporteur — durch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen — in der Lage ist, seinen Pflichten […] nachzukommen.“

Modul eins – Übertragung von Verantwortlichen an andere Verantwortliche

Bearbeiten

Modul eins regelt die Übertragung zwischen zwei oder mehr Verantwortlichen.

Zweckbindung
Bearbeiten

Datenimportierende Verantwortliche verpflichten sich die im Rahmen der Übermittlung übertragenen personenbezogenen Daten nur zu den in einer Anlage zu den Standardvertragsklauseln bestimmten Zwecken zu verwenden.

Transparenz
Bearbeiten

Die betroffene Person muss über eine Datenübermittlung an den Verantwortlichen informiert werden. Dabei muss insbesondere der Verantwortliche und eine Kontaktmöglichkeit mitgeteilt werden. Außerdem muss der betroffenen Person mitgeteilt werden sofern der Datenimporteur weitere Datenübermittlungen durchführt. In diesem Fall sind der betroffenen Person auch die weiteren Empfänger in der Kette zu nennen.

Ferner ist jeder betroffenen Person auf Anfrage eine Kopie der unterschriebenen Version der Standardvertragsklauseln zur Verfügung zu stellen.

Richtigkeit, Datenminimierung und Speicherbegrenzung
Bearbeiten

Die Daten sind sachlich richtig und – sofern dies erforderlich – aktuell zu halten. Sofern Daten nicht benötigt werden, sind diese nicht zu erheben, falls sie nicht mehr benötigt werden, sind sie zu löschen.

Datenübertragung in Drittländer mit gegenläufigen Rechtsbestimmungen

Bearbeiten

Der Europäische Gerichtshof stellte in seinen Urteilen vom 6. Oktober 2015[11] und 16. Juli 2020[12] fest, dass die Rechtsordnung von Ländern der Verwendung von Standardvertragsklauseln widersprechen kann. Dies ist insbesondere der Fall, wenn Vertragspartner in diesen Ländern die Zusicherungen, die sie gegeben haben, nicht einhalten können. Ein Beispiel für diese Länder sind die Vereinigten Staaten.

Standardvertragsklauseln für Auftragsverarbeitung

Bearbeiten

Artikel 28 Absatz 6 Datenschutz-Grundverordnung sieht vor, dass der Auftragsverarbeitungsvertrag teilweise oder vollständig auf Standardvertragsklauseln basieren können. Gemäß Artikel 28 Absatz 7 Datenschutz-Grundverordnung können solche Standardvertragsklauseln von der Europäischen Kommission im Einklang mit dem in Artikel 93 Absatz 2 Datenschutz-Grundverordnung geregelten Prüfverfahren festgelegt werden.

Standardvertragsklauseln können die Arbeitsabläufe bei der Auftragsverarbeitung optimieren und somit zu einem effektiveren Wirtschaften beitragen. Allerdings sind sie nicht für die Konkretisierung und Individualisierung von Verträgen geeignet, es sei denn, sie werden sehr stark für einen bestimmten Bereich definiert. Am besten eignen sich Standardvertragsklauseln als Vorlagen, die für einen bestimmten Sachbereich spezifisch angepasst werden können.[13]

Einzelnachweise

Bearbeiten
  1. Erwäggrund 11 des Durchführungsbeschlusses (EU) 2021/914.
  2. Erwäggrund 5 des Durchführungsbeschlusses (EU) 2021/915.
  3. Durchführungsbeschluss (EU) 2021/914. Erwäggrund 7, Satz 1 , abgerufen am 13. April 2022 „Unbeschadet der Auslegung des Begriffs der internationalen Datenübermittlung gemäß der Verordnung (EU) 2016/679 können die im Anhang dieses Beschlusses aufgeführten Standardvertragsklauseln von einem Verantwortlichen oder einem Auftragsverarbeiter verwendet werden, um geeignete Garantien im Sinne des Artikels 46 Absatz 1 der Verordnung (EU) 2016/679 für die Übermittlung personenbezogener Daten an einen in einem Drittland niedergelassenen Auftragsverarbeiter oder Verantwortlichen zu gewährleisten.“
  4. Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung). Erwäggrund 109, Satz 2, abgerufen am 13. April 2022 „Die Verantwortlichen und die Auftragsverarbeiter sollten ermutigt werden, mit vertraglichen Verpflichtungen, die die Standard-Schutzklauseln ergänzen, zusätzliche Garantien zu bieten.“
  5. Max Schrems: "Schrems II". Privacy Week 2020. In: media.ccc.de. Chaos Computer Club, 27. Oktober 2020, abgerufen am 24. Juni 2021.
  6. Durchführungsbeschluss (EU) 2021/914. Artikel 4 Absatz 2 , abgerufen am 13. April 2022 „Die Entscheidung 2001/497/EG wird mit Wirkung vom 27. September 2021 aufgehoben.“
  7. Durchführungsbeschluss (EU) 2021/914. Artikel 4 Absatz 3 , abgerufen am 13. April 2022„Der Beschluss 2010/87/EU wird mit Wirkung vom 27. September 2021 aufgehoben.“
  8. Durchführungsbeschluss (EU) 2021/914. Artikel 4 Absatz 4 , abgerufen am 13. April 2022 „In Bezug auf Verträge, die vor dem 27. September 2021 auf Grundlage der Entscheidung 2001/497/EG oder des Beschlusses 2010/87/EU geschlossen wurden, wird davon ausgegangen, dass sie geeignete Garantien im Sinne des Artikels 46 Absatz 1 der Verordnung (EU) 2016/679 bis zum 27. Dezember 2022 bieten, sofern die Verarbeitungsvorgänge, die Gegenstand des Vertrags sind, unverändert bleiben und die Anwendung dieser Klauseln gewährleistet, dass die Übermittlung personenbezogener Daten geeigneten Garantien unterliegt.“
  9. Lisa-Marie Lange, Alexander Filip: Art. 46 Datenübermittlung vorbehaltlich geeigneter Garantien. In: Stefan Brink, Heinrich Amadeus Wolff (Hrsg.): BeckOK Datenschutzrecht. 39. Auflage. Verlag C. H. Beck, München 1. Februar 2022, Rn. 36 (beck.de – Paywall).
  10. Ayçil Yıldırım: Neue Standardvertragsklauseln 2021: Das müssen Sie beachten. 28. Dezember 2022, abgerufen am 30. Dezember 2022 (deutsch).
  11. EuGH, Urteil vom 6. Oktober 2015, Maximillian Schrems gegen Data Protection Commissioner, C-362/14, EU:C:2015:650.
  12. EuGH, Urteil vom 16. Juli 2020, Data Protection Commissioner gegen Facebook Ireland Limited und Maximillian Schrems, C-311/18, EU:C:2020:559.
  13. Wolfgang Spoerr: IX. Standardvertragsklauseln, Art. 28 Abs. 6–8. In: Heinrich Amadeus Wolff, Stefan Brink (Hrsg.): BeckOK Datenschutzrecht. 42. Edition Auflage. 1. Mai 2022, Rn. 97 (beck.de [abgerufen am 14. Dezember 2022]).