Die Standardvertragsklauseln 2021

Bereits am 13.11.2020 hatte die EU-Kommission neue Standardvertragsklauseln (SVKs) für die datenschutzkonforme Datenübermittlung in Drittländer vorgelegt. Diesen Monat wurden Sie (endlich) freigegeben!


Warum sind neue SVKs notwendig?

Dies wurde vor allem deshalb notwendig, weil die bisher gültigen SVKs aus 2010 stammen und im Rahmen der DSGVO nicht angepasst worden sind. Durch diese fehlende Anpassung an die DSGVO war es bisher notwendig neben den SVKs weitere Regelungen auf Basis von Art. 28 DSGVO mit dem Dienstleister zu vereinbaren.

Zusätzlich wurde die Notwendigkeit neuer SVKs durch das EuGH-Urteil „Schrems II“ befeuert. In der Diskussion waren seitens der Aufsichtsbehörden weitere zu vereinbarende Klauseln oder Anpassung der SVKs. Letzteres dürfte ohnehin nicht zulässig gewesen sein, da die alten und neuen SVKs nur ohne Änderung übernommen werden dürfen.

Eine Überarbeitung der SVKs war daher – allein schon wegen der mittlerweile 3 Jahre anzuwendenden DSGVO – dringend notwendig.


Was hat sich geändert?

Die alten SVKs bestanden aus 3 unterschiedlichen Vorlagen, die zum Einsatz kamen, je nachdem ob der Datenimporteur im Drittland als Verantwortlicher oder als Auftragsverarbeiter agierte. Alle hatten gemeinsam, dass die SVKs nur direkt zwischen dem Datenexporteur (Verantwortlicher in der EU) und dem Datenimporteur (Empfänger im Drittland) vereinbart werden konnte. Die Vereinbarung der SVKs als Auftragsverarbeiter innerhalb der EU war vom Wortlaut der SVKs nicht abgedeckt und entsprechende Regelungen zum Abschluss der SVKs „im Auftrag des“ Verantwortlichen waren bestenfalls eine weitgehend tolerierte Grauzone, damit die SVKs auch in aktuellen Zeiten einigermaßen handhabbar blieben.

Dies ändert sich mit den neuen SVKs. Anstelle von 3 verschiedenen Versionen gibt es nur noch einen Satz an Standardvertragsklausen, die modular aufgebaut sind. Dabei bestehen die SVKs aus insgesamt 4 Abschnitten und 4 Modulen.

Die Module 1 und 2 decken damit den bisherigen Möglichkeiten der alten SVKs. Es geht um die Datenübermittlung von personenbezogenen Daten eines EU-Verantwortlichen an einen anderen Verantwortlichen (1) oder Auftragsverarbeiter (2) im Drittland.

Neu dagegen sind die Module 3 und 4. In beiden Fällen wird davon ausgegangen, dass der Datenexport durch einen in der EU ansässigen Auftragsverarbeiter erfolgt. Gerade im Bereich der EDV-Dienstleister und Rechenzentrumsanbieter in der EU werden diese beiden neuen Anwendungsfälle wahrscheinlich zukünftig eine größere Rolle spielen.

Zudem verweisen die neune SVKs auf „Anhänge“. Dabei geht es einerseits um die Liste der Parteien, die Beschreibung der Übermittlung und den zuständigen Aufsichtsbehörden – im Grunde ist dieser Anhang mit der Anlage zur Konkretisierung unserer aktuellen Vorlage für Vereinbarungen zur Auftragsverarbeitung vergleichbar. Dies gilt auch für die Anhänge 2 und 3 die von den SVKs gefordert werden. Dabei handelt es sich um die Anlagen zu den technischen und organisatorischen Maßnahmen und den Unterauftragnehmern.

Wer sich die neuen SVKs ansieht stellt schnell fest, dass auch der Umfang zugelegt hat. Dies war aber auch zu erwarten, denn wie eingangs erwähnt fehlte den SVKs bisher noch die Anpassung an die DSGVO. Durch die fehlende Anpassung bestand bisher der Bedarf neben den SVKs auch weitere Vereinbarungen mit den Datenimporteuren zu treffen, damit allen Anforderungen aus Art. 28 Abs. 3 DSGVO erfüllt werden konnten. Dies hat sich nun geändert: Die neuen SVKs decken alle Regelungsanforderungen des Art. 28 Abs. 3 DSGVO ab, wodurch zusätzliche Vereinbarungen nicht mehr notwendig erscheinen.


USA: Was passiert nun mit CloudAct und FISA 702?

Die neuen SVKs berücksichtigen auch die Forderungen aus dem EuGH-Urteil aus 2020. Klausel 14 beschäftigt sich mit den lokalen Rechtsvorschriften des im Drittland ansässigen Partners der Vereinbarung. Dabei sichern die Vertragsparteien zu, dass kein Grund zur Annahme besteht, dass die lokalen Gepflogenheiten, inklusive der rechtlichen Verpflichtung zur Offenlegung der Daten gegenüber den Behörden, im Wesensgehalt die Grundrechte und Grundfreiheiten der Betroffenen achten und verhältnismäßig sind.

Gemäß Fußnote 20 zu den neuen SVKs geht es nicht nur um erwartete Zugriffe, sondern auch um einschlägige und dokumentierte praktische Erfahrungen zum Datenzugriff. Damit kann ein Datentransfer trotz bestehende Zugriffsbefugnisse der Behörden gerechtfertigt werden, wenn aus den Erfahrungen heraus ein Zugriff trotzdem nur sehr unwahrscheinlich ist. Damit können die von den großen Cloudprovidern bereitgestellten Transparenzberichte (so genannte „transparency-reports“) möglicherweise positiv in die ohnehin zukünftig notwendige Risikobetrachtung einbezogen werden.


Der Vorteil ist gleichzeitig auch ein Nachteil!

Auch wenn die Einbeziehung einschlägiger und dokumentierter praktischer Erfahrungen im Zusammenhang mit möglichen Datenzugriffen im Drittland erst einmal positiv klingt; eine Risikoanalyse bedeutet auch immer ein Restrisiko und eine Bewertung des Restrisikos. Insgesamt ist es mit Sicherheit nicht übertrieben, wenn man davon ausgehen kann, dass die bisher eher objektive Betrachtung von Datenverarbeitungen im Rahmen der Anwendung der DSGVO nun einen subjektiven Charakter bekommt. Subjektive Betrachtungen sind aber nicht schwarz oder weiß, sondern immer grau. Damit sollte die Risikobetrachtung sorgsam dokumentiert werden, damit im Bedarfsfall eine ausreichende Bewertung der Risiken nachgewiesen werden kann.


Ab wann gelten die neuen SVKs?

Gültig sind die neuen SVKs ab dem 27.06.2021. Jedoch besteht eine Übergangsfrist von 3 Monaten, bis die neuen SVKs zwingend bei Neuverträgen Anwendung finden müssen, also erst ab dem 27.09.2021. Alle Verträge, die auf den alten SVKs beruhen, müssen bis zum 27.12.2022 auf die neuen Regeln umgestellt werden, spätestens zu diesem Zeitpunkt haben die mittlerweile über 10 Jahre alten SVKs der alten Generation ausgedient.


Unser Fazit

Wie begrüßen die Bereitstellung der neuen SVKs. Natürlich stellen die neuen SVKs eine neue Herausforderung an alle Unternehmen, die mit Drittländern zusammenarbeiten, trotzdem sehen wir in den neuen Klauseln eine gute Chance die durch das „Schrems II“-Urteil des EuGH gerissene Lücke angemessen zu schließen. Zudem erleichtern die Module 3 und 4 die rechtliche Ausgestaltung der eingesetzten Cloudservices bei IT-Dienstleistern und IT-Systemhäusern. Es bleibt zu hoffen, dass die großen Cloudanbieter die neuen Regelungen angemessen schnell adaptieren, damit der Datentransfer wieder auf ausreichend sichere Beine gestellt werden kann.

Wir werden uns in den nächsten Tagen umfangreich mit den neuen SVKs beschäftigen und werden unseren Mandanten neue Erkenntnisse natürlich umgehend mitteilen.

Beste Grüße
Ihre Datenschutzbeauftragten der CompliPro GmbH

Jetzt Kontakt aufnehmen!

Bei Fragen und Anmerkungen stehen wir Ihnen gerne zur Verfügung.

Not readable? Change text. captcha txt

Start typing and press Enter to search

Cookies... Krümel...