Standardvertragsklauseln (SCC) – Module
Anfang Juni 2021 veröffentlichte die Europäische Kommission eine neue Version der sogenannten Standardvertragsklauseln (auch SCC genannt, Abkürzung für „Standard Contractual Clauses“), welche an die DSGVO angepasst wurden und die EuGH-Rechtsprechung zum Privacy Shield berücksichtigen.
Ab dem 27.12.2022 müssen alle bestehenden Verträge auf die neuen Standardvertragsklauseln umgestellt sein. Handeln Sie jetzt!
Diese Übergangsfrist gilt auch für alle Unternehmen, die bereits einen Auftragsverarbeiter mit Sitz außerhalb des EWR oder einem Drittland und mit diesem alten EU-Standardvertragsklauseln, geschlossen hatten. Bis Ende 2022, auf die neuen Standardvertragsklauseln (SCC) umgestellt haben.
Wir erklären in diesem Beitrag nochmals kurz die einzelnen Module der Standardvertragsklausen (SCC) und stellen Ihnen diese als Download direkt zur Verfügung. Denn auch mehr als ein Jahr nach Veröffentlichung der neuen Standardvertragsklauseln (SCC) fällt es vielen Unternehmen schwer diese Musterverträge mit Ihren Vertragspartnern abzuschließen. Das liegt u. a. daran, dass die verschiedenen Module in einem Vertrag zusammengefasst und somit als sehr unübersichtlich wahrgenommen werden. Wir stellen Ihnen mit unseren Entwürfen, für unterschiedliche Vertragskonstellationen mit Geschäftspartnern, genau die zur Verfügung, die Sie benötigen.
Welche Module gibt es?
Neu an den Standardvertragsklauseln (SCC) ist vor allem der Aufbau. So sind die verschiedenen Varianten der Datentransfers nicht länger auf zwei, sondern auf vier Module verteilt, um eine möglichst flexible Vertragsgestaltung zu ermöglichen. Folgende Module sind in den neuen Standardvertragsklauseln (SCC) enthalten und können gemäß des Vertragsverhältnisses der Parteien ausgewählt werden:
Modul 1: Übermittlung von personenbezogenen Daten zwischen zwei Verantwortlichen
Dieses Modul kann ausgewählt werden, wenn es sich bei der Datenverarbeitung um eine gemeinsame Verantwortung im Sinne der DSGVO handelt und einer der Parteien im Drittland sitzt.
Modul 2: Übermittlung von personenbezogenen Daten vom Verantwortlichen an den Auftragsverarbeiter
Dieses Modul kann ausgewählt werden, wenn die Verantwortliche Stelle in der EU ansässig ist und der Auftragsverarbeiter im Drittland sitzt.
Modul 3: Übermittlung von personenbezogenen Daten zwischen zwei Auftragsverarbeitern
Dieses Modul kann ausgewählt werden, wenn es sich bei der Datenverarbeitung um ein Vertragsverhältnis zwischen Auftragsverarbeiter und Subunternehmen handelt.
Modul 4: Übermittlung von personenbezogenen Daten vom Auftragsverarbeiter an den Verantwortlichen
Dieses Modul kann ausgewählt werden, wenn Ihr Unternehmen als Auftragsverarbeiter in der EU ansässig ist und Ihr Auftraggeber in einem Drittland sitzt.
Wir stellen die unterschiedlichen Module für die beschriebenen Konstellationen direkt zur Verfügung.
Anforderung Beispiel-Entwürfe für unterschiedliche Vertragskonstellationen mit Geschäftspartnern
Für wen gelten diese Neuerungen?
Standardvertragsklauseln (SCC) regeln den Transfer von personenbezogenen Daten in Drittländer. Es handelt sich dabei um Musterverträge zur Einhaltung geeigneter Garantien gemäß Art. 46 DSGVO. Unternehmen, die mit Vertragspartnern außerhalb des EWR, also in eine sogenannten Drittstaat, arbeiten, müssen handeln. Als Drittstaat gelten solche, die sich außerhalb der EU/des europäischen Wirtschaftsraumes (EWR) befinden, z.B. die USA.
Nutzen Sie unsere Checkliste zur Abfrage der zulässigen Datenübermittlung in Drittländer, um herauszufinden, ob und wie sie von den Änderungen betroffen sind.
Was müssen Unternehmen jetzt bei Standardvertragsklauseln tun?
Wenn Sie mit einem neuen Auftragsverarbeiter, mit Sitz außerhalb des EWR oder in einem Drittland, zusammenarbeiten und dort personenbezogene Daten verarbeiten lassen, dann müssen Sie Standardvertragsklauseln (SCC) abschließen.
Einige große internationale Unternehmen, wie z. B. Google oder Microsoft bieten ihre Standardvertragsklauseln grundsätzlich bei Buchung einer Lizenz mit ab. Allerdings werden in diesen unterschiedliche Datenschutzmaßnahmen gestaffelt nach Lizenzen und Diensten formuliert. Auf Details kommt es also an, damit die Datenverarbeitung in Drittländern datenschutzkonform durchgeführt werden kann.
Für die die Verarbeitung von personenbezogenen Daten im Rahmen einer Auftragsverarbeitung oder Gemeinsamen Verantwortung innerhalb des EWR finden Sie weitere Informationen in unserem Beitrag Auftragsverarbeitung – Ohne Vertrag gehts nichts!
Bei Fragen nehmen Sie bitte uns Kontakt auf.