Gemäß der Datenschutz-Grundverordnung müssen Sie bei der Übermittlung personenbezogener Daten in Länder außerhalb der Europäischen Union sicherstellen, dass dort bestimmte Datenschutzstandards gelten. Wenn dies nicht der Fall ist, sind Übermittlungen nicht zulässig.
Um Übertragungen zu ermöglichen, gibt es jedoch mehrere Rechtsgrundlagen, auf die Sie sich stützen können. Eine davon sind die Standardvertragsklauseln (SCCs).
In diesem kurzen Leitfaden erklären wir Ihnen alles, was Sie über Standardvertragsklauseln wissen müssen, wann Sie sich auf SCCs verlassen müssen und was Sie tun sollten, um Daten in Länder außerhalb der EU zu übertragen.
Standardvertragsklauseln (SCC) sind standardisierte, von der Europäischen Kommission genehmigte Klauseln, die die Übermittlung von Daten außerhalb des Europäischen Wirtschaftsraums (EWR) ermöglichen.
Beide an der Übertragung beteiligten Parteien müssen eine Vereinbarung unterzeichnen, die die Standardvertragsklauseln enthält, ohne deren Text zu ändern. Wie die Europäische Kommission erklärt hat, können die SCC in jede “vertragliche Vereinbarung” zwischen den Parteien aufgenommen werden.
👉 Standardvertragsklauseln wurden erstmals in der Datenschutzrichtlinie von 1995. Nach dieser Richtlinie waren Datenübermittlungen in Länder außerhalb der EU nur dann zulässig, wenn bestimmte Datenschutzstandards eingehalten wurden oder wenn Standardvertragsklauseln vorhanden waren. Im Jahr 2018 wurde die Datenschutzrichtlinie durch die DSGVO ersetzt, wobei die Standardvertragsklauseln weiterhin erwähnt werden.
👉 Im Juli 2020 hat das Schrems-II-Urteil das Transferabkommen zwischen der EU und den USA, das Privacy Shield. SCCs sind für jede Art von Datenübermittlung zwischen diesen Ländern unerlässlich geworden. Sie sind jedoch nicht für die US-Regierung bindend, sondern nur für das Unternehmen, das die Vereinbarung unterzeichnet.
👉 Um den aktuellen Herausforderungen zu begegnen und die Datenübermittlung zwischen der EU und den USA zu erleichtern, hat die Europäische Kommission die Klauseln überarbeitet. Am 4. Juni 2021 nahm die Kommission zwei Sätze von Standardvertragsklauseln an:
SCCs sind nicht immer erforderlich.
Tatsächlich müssen Sie zunächst prüfen, ob es einen Angemessenheitsbeschluss gibt. Wenn das Datenschutzniveau dem der DSGVO entspricht, erlässt die Europäische Kommission in der Regel einen Angemessenheitsbeschluss. In diesem Fall sind keine Standardvertragsklauseln erforderlich.
💡 Bislang hat die Europäische Kommission nur für folgende Länder eine Angemessenheitsentscheidung getroffen: Andorra, Argentinien, Kanada (kommerzielle Organisationen), Färöer Inseln, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland, Republik Korea, Schweiz, the Vereinigtes Königreich und Uruguay.
Wenn Sie sich über diesen Aspekt im Klaren sind, müssen Sie auch sicherstellen, dass die SCC der für Ihre Tätigkeit geltende Mechanismus sind. Wenn ja, müssen Sie eine Vereinbarung mit Standardvertragsklauseln unterzeichnen.
Wenn Sie Daten in Länder außerhalb des EWR übermitteln, müssen Sie dies auch in Ihrer Datenschutzrichtlinie angeben. Mit iubenda ist das ganz einfach:
Wie wir bereits erwähnt haben, können Ihre Standardvertragsklauseln entweder zu jeder Vereinbarung hinzugefügt werden, die Sie mit der Partei, an die Sie Daten übermitteln, abgeschlossen haben, oder sie können ein eigenständiges Dokument sein.
Die Erstellung Ihrer SCCs ist einfacher als Sie denken, denn Sie müssen sich strikt an den von der Europäischen Kommission vorgeschlagenen Text halten.
Ja, Standardvertragsklauseln sind nicht die einzige Möglichkeit, Daten in Länder außerhalb des EWR zu übermitteln, es gibt noch andere Alternativen:
Wenn Sie Daten übermitteln, müssen Sie dies in Ihrer Datenschutzpolitik offenlegen! Wenn Sie das nicht tun, könnte Ihre Tätigkeit ungültig werden.
Attorney-level solutions to make your websites and apps compliant with the law across multiple countries and legislations.