EU-Standardvertragsklauseln: Datentransfer in Drittländer jetzt rechtssicher?
Die neuen Standardvertragsklauseln bieten europäischen Unternehmen mehr Rechtssicherheit und helfen, die Anforderungen an eine sichere Datenübermittlung zu erfüllen. Sie sollen außerdem sicherstellen, dass die Daten der Bürger geschützt sind. Bei der Umsetzung der Standardvertragsklauseln müssen Unternehmen einige Fristen beachten.
- Bis zum 27. Dezember 2022 sind alle bereits abgeschlossenen Standardvertragsklauseln zu aktualisieren.
- Bei allen neu geschlossenen Verträgen sind die Standardvertragsklauseln seit 29. September 2021 zu berücksichtigen.
In der Praxis stellen normalerweise Dienstleister die Standardvertragsklauseln zur Verfügung:
- Individueller Vertrag: Vor allem bei Vertragsabschlüssen mit Unternehmen, die in geringem Umfang für EU-Kunden tätig sind, werden die Standardvertragsklauseln in einem Vertrag vorgelegt, der individuell zu unterschreiben oder zu signieren ist.
- Bestandteil von Allgemeinen Geschäftsbedingungen (AGB): Große US-Anbieter integrieren die Standardvertragsklauseln meist als Teile oder Anhänge in ihre AGB. Mit dem Vertragsschluss werden dann zugleich die Standardvertragsklauseln abgeschlossen.
Welche Maßnahmen wichtig sind
Der Abschluss der Standardvertragsklauseln allein ist noch nicht ausreichend. Das Datenschutzniveau ist im Einzelfall zu prüfen. Der Europäische Gerichtshof (EuGH) und die Datenschutzaufsichtsbehörden lehnen den Datentransfer in Drittländer, etwa in die USA, nicht ab. „Sie wollen aber wissen, ob die Sicherheit der Daten geprüft wurde“, erklärt Thomas Kastner, Geschäftsführer der iAP Independent Consulting + Audit Professionals GmbH in Berlin. Zu prüfen ist:
- Der Vertragstext: Sind die für die jeweilige Vertragskonstellation richtigen Standardvertragsklauseln gewählt, sind sie inhaltlich unverändert und sind die Anhänge ordnungsgemäß ausgefüllt?
- Das Datenschutzniveau: Werden die Zusagen für das adäquate Datenschutzniveau tatsächlich eingehalten und das vom EuGH beschriebene Risiko des Zugriffes auf die Daten durch US-Behörden verhindert?
Noch gibt es Interpretationsmissverständnisse in den Erwägungsgründen, wann und für welche Fälle der Datenverarbeitung Standardvertragsklauseln zu vereinbaren sind. „Wir hoffen, dass die EU-Kommission bald eine Interpretationshilfe für ihre Vorgaben veröffentlicht“, sagt Kastner. „Wir empfehlen daher, schon jetzt Maßnahmen zur Datensicherheit zu ergreifen.“
Was Unternehmer aktiv tun sollten
„Unternehmer sollten schon jetzt einige Maßnahmen ergreifen, um den neuen Standardvertragsklauseln gerecht zu werden“, rät Kastner.
- Bestandsaufnahme im Unternehmen: Zu prüfen ist, ob Daten von Kunden, Nutzern oder Mitgliedern in Drittländern – insbesondere den USA – oder von Unternehmen, die in Drittländern ansässig sind, verarbeitet werden.
- Bestandsaufnahme bei Subunternehmern: Zu prüfen ist, ob Subunternehmer und Dienstleister, etwa der Webhoster oder Buchhaltungsdienst, Anbieter aus Drittländern einsetzen und beispielsweise Server von Amazon Webservices mieten.
- Anfrage nach neuen Standardvertragsklauseln: Anbieter aus Drittländern müssen die neuen Standardvertragsklauseln vorlegen. Anzufragen ist auch bei Subunternehmen, ob sie entsprechende Standardvertragsklauseln mit ihren Subunternehmen in Drittländern geschlossen haben.
- Anfrage nach Sicherheitsmaßnahmen: Anbieter aus Drittländern müssen die Sicherheitsmaßnahmen nennen, wie sie Risiken des Drittlandtransfers auffangen, etwa durch Verschlüsselung oder Pseudonymisierung. Das gilt auch für Subunternehmer und deren weitere Subunternehmer aus Drittländern.
- Prüfung der Standardvertragsklauseln: Zu prüfen ist, ob die Module der Standardvertragsklauseln richtig ausgewählt sind, deren Text nicht modifiziert wurde und die Anhänge ordnungsgemäß ausgefüllt sind.
- Prüfung des Datenschutzniveaus: Anhand der mitgeteilten Sicherheitsmaßnahmen ist zu checken, ob bei der jeweiligen Verarbeitung der Daten durch Dienstleister und Subunternehmer ein hinreichendes Datenschutzniveau gesichert ist.
- Protokollierung: Aus Nachweisgründen sind die Prüfverfahren umfassend zu dokumentieren.
Auch wenn Ende 2022 noch weit weg ist, sollten Unternehmer ihre Vertragspartner darauf hinweisen, dass die Standardvertragsklauseln zeitnah auszutauschen sind. „Es ist davon auszugehen, dass die Aufsichtsbehörden den Einsatz von US-Anbietern auf Grundlage alter Standardvertragsklauseln sehr bald für unzulässig erklären“, sagt Kastner.
Neue EU-Standardvertragsklauseln: Bedeutung für Ihre AGB
Neben individuellen vertraglichen Regelungen werden die Standardvertragsklauseln auch als Allgemeine Geschäftsbedingungen (AGB) Teil der Vereinbarung mit dem Vertragspartner. Werden Standardvertragsklauseln in AGB verwendet, sind diese seit 29. September 2021 für neu geschlossene Verträge zu verwenden oder bei alten Verträgen bis 27. Dezember 2022 anzupassen. Bei dieser Gelegenheit sollten Unternehmen die AGB einer generellen Überprüfung unterziehen. „Denn die Unternehmen, die Gesetzgebung oder Rechtsprechung entwickeln sich weiter. Was vielleicht vor fünf Jahren zu Ihrem Unternehmen gepasst hat, kann heute nicht mehr passend sein“, erklärt Thomas Schinhärl, Rechtsanwalt bei Ecovis in Regensburg. Sind die AGB überarbeitet und angepasst, ist darauf zu achten, dass diese in ein künftiges Vertragsverhältnis zu Kunden einbezogen werden. Auch die AGB zu Dienstleistern und Lieferanten sind im Hinblick auf Standardvertragsklauseln zu überprüfen.
Thomas Kastner, Geschäftsführer der iAP Independent Consulting + Audit Professionals GmbH in Berlin
ECOVIS AG Steuerberatungsgesellschaft
Ernst-Reuter-Platz 10
10587 Berlin
Telefon: +49 89 5898-266
Telefax: +49 (30) 310008556
http://www.ecovis.com
IT-Auditor in Berlin
Telefon: +49 (30) 4397-16880
Unternehmenskommunikation
Telefon: +49 (89) 5898-2672
E-Mail: michaela.diesendorf@ecovis.com