Standardvertragsklauseln

Datenschutz im Fokus: Wie Standardvertragsklauseln die Datenübertragung sicher gestalten

Fachlich geprüft von: Rechtsanwalt Sören Siebert Rechtsanwalt Sören Siebert
(18 Bewertungen, 4.39 von 5)

Das Wichtigste in Kürze

  • Agenturen, Webdesigner und Online-Shops, die mit Freelancern und Partnern außerhalb der EU zusammenarbeiten, müssen sich mit dem Thema Standardvertragsklauseln beschäftigen.
  • Neben dem Abschluss der Standardvertragsklauseln müssen Sie eine eigene Bewertung des Schutzniveaus für die Datenübermittlung vornehmen-diese Risikoabschätzung wird Transfer Impact Assessment genannt.
  • Nutzen Sie keine oder veraltete Standardvertragsklauseln, drohen empfindliche Bußgelder.

Worum geht's?

Wenn Sie personenbezogene Daten in die USA oder andere Drittländer übermitteln, müssen Sie für einen angemessenen Schutz der Daten sorgen. Aber wann ist die Datenübertragung sicher und was ist, wenn Daten ausschließlich innerhalb der EU übertragen werden? Sie haben von Standardvertragsklauseln zwar schon gehört, wissen aber nicht, wann Sie diese abschließen müssen und wo Sie diese finden? Wir klären diese und weitere Fragen in unserem Artikel.

 

1. Was sind EU-Standardvertragsklauseln?

Ob Mailchimp, Microsoft, Zoom oder Google Analytics: Es gibt zahlreiche Tools, auf die Sie als Unternehmer womöglich nicht verzichten möchten. Sobald Sie jedoch personenbezogene Daten in Staaten außerhalb der EU übermitteln, wird es datenschutzrechtlich komplizierter. Denn Sie müssen dafür sorgen, dass die Daten so geschützt werden, wie es innerhalb der EU verlangt wird. Was viele nicht wissen: Das gilt auch dann, wenn Sie selbst eine Dienstleistung innerhalb der EU erbringen, aber dabei Ihrerseits Freelancer außerhalb der EU als Subunternehmer beauftragen.

Zurück zur eigentlichen Frage, kann Kurz und knapp gesagt werden: Standardvertragsklauseln sind Vertragsmuster der EU-Kommission, die beide Vertragsparteien verpflichten ein Datenschutzniveau einzuhalten, das mit dem der EU vergleichbar ist.

Die EU-Kommission stellt diese Musterverträge auf der offiziellen Website der Europäischen Union als Vertragstexte zur Verfügung. Im Juni 2021 wurden neue Standardvertragsklauseln erlassen, die nun auch den Vorgaben der DS GVO entsprechen. Die „alten" Standardvertragsklauseln dürfen daher auch in Altverträgen nicht mehr verwendet werden und diese sollten daher bis zum 27.12.2022 umgestellt worden sein.

Nutzen Sie alte Standardvertragsklauseln, kann es für Sie teuer werden, da empfindliche Bußgelder drohen. Aber auch andere Schwachstellen auf Ihrer Website können abgemahnt werden.

Mit unserem Website Scanner können Sie Ihre Website schnell und kostenfrei auf rechtliche Schwachstellen überprüfen.

Zum Tool

eRecht24 Free Website Scanner

  • Überprüfung auf rechtliche Schwachstellen
  • Detailliertes Ergebnis übersichtlich aufbereitet
  • Kostenfrei in nur wenigen Schritten erstellt
Zum Tool

2. Warum brauche ich Standardvertragsklauseln beim Datentransfer?

Für die Übermittlung von personenbezogenen Daten an nicht-europäische Drittländer, müssen Sie zum einen eine geeignete Rechtsgrundlage nach der DSGVO für den Datentransfer haben. Doch damit ist es nicht getan. Der Empfänger personenbezogener Daten muss auch ein angemessenes Schutzniveau haben.

Bei Unternehmen, die ihren Sitz im Europäischen Wirtschaftsraum(EWR)-zu dem die 27 EU-Mitgliedsstaaten, Norwegen, Island und Liechtenstein zählen-haben, ist die Situation einfach:

Es werden keine Daten in ein datenschutzrechtlich unsicheres Drittland übermittelt. Die Datenübertragung innerhalb des EWR ist rechtlich ohne zusätzliche Maßnahmen möglich, da das Schutzniveau für die Datenübermittlung in diesen Ländern einheitlich geregelt ist.

Aber wie ist die Situation, wenn Daten in Drittländer übermittelt werden? Die EU-Kommission prüft das Bestehen eines angemessenen Schutzniveaus. Werden die Daten ausreichend geschützt, erlässt die Kommission einen Angemessenheitsbeschluss.

Nutzen Sie Tools, deren Anbieter ihren Sitz in den USA haben, ist die Situation nochmal anders. Denn die Kommission hat kein generelles angemessenes Datenschutzniveau festgestellt und nur an solche Unternehmen, die unter dem EU-US DPF zertifiziert sind, können ohne weitere zusätzliche Maßnahmen Daten übermittelt werden. Liegt keine Zertifizierung vor, gelten dieselben Regeln wie für Drittländer ohne Angemessenheitsbeschluss: Der Abschluss von Standardvertragsklauseln und die Vornahme einer Datentransfer-Folgenabschätzung sind notwendig.

3. Was unterscheidet die aktuellen Standardvertragsklauseln von den alten Klauseln?

Wenn Sie als Unternehmer die aktuellen Standardvertragsklauseln verwenden, ergeben sich folgende Änderungen gegenüber der alten Version:

  • Die Klauseln sind modular aufgebaut – sie enthalten Bausteine für die vier denkbaren Fälle, vgl. unten)
  • Sie beinhalten umfassende Haftungsregeln
  • Sie können den Gerichtsstand und das anwendbare Recht festlegen
  • Sie haben umfassende Dokumentationspflichten

Zudem sind auch die Anforderungen aus dem EuGH-Urteil zum Privacy Shield an die dokumentierte Risikoeinschätzung („Transfer Impact Assessment“) in die aktuellen Klauseln aufgenommen: Die Parteien müssen sinngemäß versichern,

  • dass sie nicht glauben,
  • dass sie mit Blick auf die Rechtsvorschriften und Gepflogenheiten des Drittstaates
  • die Pflichten aus den Standardvertragsklauseln nicht einhalten können.

SCHON GEWUSST?

Der EuGH hatte in seinem Urteil zum Privacy Shield in der Rechtssache C 311/18 erklärt, dass die bisherigen EU Standardvertragsklauseln zwar gültig seien, der Unternehmer aber zusätzlich im Einzelfall prüfen müsse, ob das Drittland tatsächlich ein angemessenes Schutzniveau für den Datentransfer sicherstelle.

Im Ergebnis haben Sie folgende Vor- und Nachteile:

  • Vorteil: Mit den aktuellen Standardvertragsklauseln sind Sie flexibler.
  • Nachteil: Der Abschluss der Standardvertragsklauseln wird für Sie komplizierter.

4. Wann brauche ich keine EU Standardvertragsklauseln?

Bei Datenübermittlungen nur in die EU brauchen Sie keine Standardvertragsklauseln. Sobald Sie die Daten aber an Anbieter übermitteln, die in einem Drittland sitzen, für das kein Angemessenheitsbeschluss vorliegt oder bei US-amerikanischen Tool-Anbietern keine Zertifizierung vorgenommen wurde, sollten Sie als Grundlage Standardvertragsklauseln abschließen.

Da Datenschützer bereits gegen das Data Privacy Framework vorgehen, müssen die aktuellen Entwicklungen im Blick behalten werden. Wir empfehlen daher nach Möglichkeit auch bei Vorliegen einer Zertifizierung den Abschluss von Standardvertragsklauseln sowie die Vornahme eines Transfer Impact Assessments.

Weitere Informationen zum EU-US Datenschutzrahmen und aktuelle Entwicklungen finden Sie in unserem Artikel "Privacy Shield 2.0: Datentransfer in die USA".

Bleiben Sie stets rundum informiert mit Live-Webinaren, eBooks und Checklisten zum Thema EU-US Datenschutzrahmen und vielen weiteren IT-Rechtsthemen. Sichern Sie sich und Ihr Business mit den eRecht24 Premium Tools ab.

Premium Mitglied werden

eRecht24 Premium für Websitebetreiber, Agenturen & Online-Shops

  • Generatoren, AGB, Muster & Verträge
  • Cookie Consent Tool, Premium Scanner & Projekt Planer
  • Live-Webinaren und Know-How für rechtssicheres Business
Premium Mitglied werden

5. Wann finden Datenübertragungen statt und welche Unterschiede gibt es beim Datentransfer?

Sie fragen sich nun, wann es überhaupt zu Datenübertragungen kommen kann und wie Sie die Übermittlung personenbezogener Daten nachvollziehen können? Nachfolgend haben wir Ihnen Praxisfälle aufgelistet, bei denen Datenübertragungen stattfinden können.

1. Sie nutzen Tools eines Anbieters mit Sitz außerhalb der EU und übermitteln personenbezogenen Daten in dieses Land

Beispiele:

  • ActiveCampaign
  • Zoom
  • Mailchimp
  • Micorsoft Advertising

2. Sie bieten selbst ein Tool oder eine Dienstleistung an. Sie bedienen sich dafür (zum Teil) selbst weiterer Freelancer, die nicht in der EU sitzen

Beispiele:

  • Sie bieten eine App an. Ihr Kunde nutzt diese und übermittelt Ihnen personenbezogenen Daten seiner Kunden.
  • Die Programmierung einzelner Bestandteile übernimmt ein Freelancer mit Sitz in Indien, der die personenbezogene Daten verarbeitet.
  • Den telefonischen Kundenservice Ihres Unternehmens führt ein Callcenter durch, das in Pakistan sitzt.

In der nachfolgenden Checkliste haben wir Ihnen die vier denkbaren Fälle aus der Praxis aufgelistet und zeigen Ihnen das Verhältnis von Datenimporteuren, Datenexporteuren, Auftragsverarbeitern und Verantwortlichen auf.

Checkliste
Sie müssen Standardvertragsklauseln in folgenden denkbaren Konstellationen abschließen:
  • wenn Sie für die personenbezogenen Daten verantwortlich sind und Ihr Vertragspartner im nicht-europäischen Drittland ebenfalls Verantwortlicher ist (Standardvertragsklauseln Verantwortlicher – Verantwortlicher)
    Beispiel: Sie haben ein Unternehmen mit Kunden in den USA. Sie beauftragen ein Inkassounternehmen mit Sitz in den USA und übertragen diesem eine Forderung. Das Unternehmen ist nicht DPF-zertifiziert.
  • wenn Sie für die personenbezogenen Daten verantwortlich sind und Ihr Vertragspartner für Sie im Auftrag tätig ist, also in Ihrem Auftrag die Daten verarbeitet (Standardvertragsklauseln Verantwortlicher – Auftragsverarbeitung)
    Beispiel: Sie beauftragen einen chinesischen Newsletterdiensteanbieter mit dem Newsletterversand.
  • wenn sowohl ihr Vertragspartner als auch Sie als Auftragsverarbeiter handeln, also jemand anderes Verantwortlicher ist (Standardvertragsklauseln Auftragsverarbeitung – Auftragsverarbeitung);
    Beispiel: Sie haben ein Callcenter und führen für eine Firma Anrufe durch. Sie bedienen sich eines weiteren Callcenters außerhalb der EU, an das Sie die Anrufe teilweise auslagern.
  • wenn Sie selbst Auftragsverarbeiter sind und die Daten an den Verantwortlichen übermitteln, der in einem Drittstaat sitzt (Standardvertragsklauseln Auftragsverarbeitung – Verantwortlicher)
    Beispiel: Ein Unternehmen aus Asien beauftragt Sie mit der Betreuung seiner deutschen Kontaktanfragen.

6. Haben Anbieter wie Google, Microsoft und Zoom eigene Standardvertragsklauseln?

Da es sich bei den Standarddatenschutzklauseln der EU um Musterverträge handelt, können Anbieter Ihnen gegenüber auch eigene Klauseln vorlegen.

Im Folgenden sehen Sie, ob und wie die größten Anbieter die Standardvertragsklauseln umgesetzt haben, wie Sie diese abschließen und wo Sie die Bestimmungen finden.

Anbieter Wie umgesetzt? Wie abschließen?
Rocket Science Group LLC (Mailchimp) SCC sind im Nachtrag zur Datenverarbeitung eingebunden. Die neuen SCC gelten automatisch.
Microsoft Anbieter hat die neuen SCCs in Dokument "Microsoft Products and Services Data Protection Addendum“  eingebunden.

Die neuen SCC gelten automatisch.

Zoom Anbieter hat die neuen SCC in die Verträge eingebunden. Die neuen SCC gelten automatisch.
AWS Anbieter hat die neuen SCCs in Dokument "AWS GDPR Data Processing Addendum“; eingebunden Die neuen SCC gelten automatisch.
YouTube siehe Google, Nutzung ist Auftragsverarbeitung  
Facebook Anbieter hat die neuen SCCs in Dokument „Facebook-Vertragszusatz für die Übermittlung europäischer Daten“; eingebunden, aktuell nur "Processor to Processor" (Modul 3) vefügbar Die neuen SCC gelten automatisch.
Instagram siehe Facebook  
Google Anbieter hat die neuen SCCs in Datenschutzbestimmungen eingebunden

Die neuen SCC gelten automatisch.

Google Analytics siehe Google, Nutzung ist Auftragsverarbeitung  
Atlassian Anbieter hat die neuen SCCs in Dokument "Data Processing Addendum“ eingebunden Sie müssen den Vertrag aktiv abschließen.
Laden Sie dazu die Verträge herunter, unterschreiben Sie sie und senden Sie sie per Mail ein.
Salesforce Anbieter hat die neuen SCCs in Dokument "Data Processing Addendum“ eingebunden Sie müssen den Vertrag aktiv abschließen. Schließen Sie dazu die Data Processing Addendum Änderungsvereibarung oder den SCC-Zusatz ab und senden das Dokument per Mail ein.

 

7. Checkliste: EU Standardvertragsklauseln abschließen- Wie gehe ich am besten vor?

Wenn Sie die Übermittlung personenbezogener Daten in Drittstaaten planen, gehen Sie am besten wie folgt vor:

  1. Prüfen, welche Anbieter betroffen sind

    Prüfen Sie, bei welchen Tools und Partnern bzw. deren Subunternehmern Sie personenbezogene Daten in Drittländer übermitteln. Handelt es sich um Drittländer, für die ein Angemessenheitsbeschluss existiert? Wenn es sich um US-amerikanische Anbieter handelt müssen Sie feststellen, ob eine Zertifizierung vorliegt. Haben Sie bereits Standardvertragsklauseln in Altverträgen abgeschlossen? Checken Sie auch, ob Sie selbst Subunternehmer in Drittländern beschäftigen, an die Sie personenbezogene Daten übermitteln.

  2. Mit dem Anbieter sprechen

    Sofern Sie keine oder veraltete Standardvertragsklauseln genutzt haben, bitten Sie den Anbieter und gegebenenfalls deren Subunternehmer, die neuen Muster (Juni 2021) zu verwenden. Sofern Sie neue Verträge mit Anbietern in Drittländern schließen, denken Sie an SCC und TIA.

  3. Prüfen der aktuellen Standardvertragsklauseln
    Legt Ihr Partner Ihnen Standardvertragsklauseln vor, sollten Sie prüfen, ob dieser
    • die richtigen Module ausgewählt hat,
    • den Text richtig angepasst hat und
    • die Anhänge richtig ausgefüllt hat.
  4. Risikoabschätzung machen

    Es reicht nicht aus die EU Standardvertragsklauseln (SCC) abzuschließen. Sie müssen zusätzlich eine Risikoabschätzung (TIA) vornehmen.

    Das heißt: Prüfen Sie genau, wie die Datenübertragung in das Drittland abläuft und welche technischen und organisatorischen Maßnahmen Ihr Vertragspartner zum Schutz der Daten vorgesehen hat. In diesem Zusammenhang ist wichtig:

    • Welche Art von Daten ist betroffen (z.B. besonders sensible Gesundheitsdaten)?
    • Welche Rechtsvorschriften und Gepflogenheiten gelten in dem Drittland? Werden in dem Land z.B. Behörden gegenüber die Daten offengelegt?
    • Können Sie – neben den vorgesehenen Maßnahmen - weitere technische Schutzmaßnahmen implementieren, z. B. eine SSL-Verschlüsselung?
    Tipp: Bei eRecht24 Premium erhalten Sie eine anwaltlich erstellte Prüfvorlage, mit der Sie das aktuelle datenschutzrechtliche Risiko deutlich reduzieren.
  5. Prüfverfahren protokollieren
    Halten Sie aus Nachweisgründen für jeden Anbieter fest:
    • Wann haben Sie den Anbieter nach aktuellen Standardvertragsklauseln gefragt?
    • Was hat die Prüfung ergeben?
    • Warum ist die Prüfung so ausgefallen?
  6. Kalender im Blick behalten

    Schieben Sie das Thema Standardvertragsklauseln nicht auf die lange Bank. Nutzen Sie keine oder veraltete Standardvertragsklauseln, sollten Sie zeitnah tätig werden. Die Umsetzung wird Zeit in Anspruch nehmen. Insbesondere müssen Sie die Risikoabschätzung durchführen, mit Ihrem Vertragspartner die geeigneten technischen und organisatorischen Maßnahmen besprechen und zuletzt alles umfassend dokumentieren.

  7. Datenschutzerklärung aktualisieren

    Ihre Datenschutzerklärung muss aktuell gehalten werden. Das einmalige Erstellen ist nicht ausreichend, da sich rechtliche Vorgaben ändern können. Nutzen Sie amerikanische Tools auf Ihrer Website sollte eine Zertifizierung nach dem EU-US Datenschutzrahmen berücksichtigt werden.

Jetzt Datenschutzerklärung erstellen

Erstellen Sie jetzt eine rechtssichere Datenschutzerklärung mit dem eRecht24 Datenschutz Generator

  • Einfache Integration in Ihre Website
  • Anwaltlich geprüfter Generator
  • Für Sie kostenfrei in wenigen Schritten
Jetzt Datenschutzerklärung erstellen

8. Fazit

Übertragen Sie personenbezogene Daten in Drittländer außerhalb der EU, kann der Abschluss von Standardvertragsklauseln notwendig sein. Diese werden in der aktuellsten Fassung von der EU-Kommission zur Verfügung gestellt und sind an die Vorgaben der DSGVO angepasst. Nutzen Sie SCC die vor Juni 2021 erlassen wurden, sind diese veraltet und die Umsetzungsfrist ist am 27.12.2022 abgelaufen. Neben den Standardvertragsklauseln sollten Sie die Risikoabschätzung nicht vergessen.

In den Premium Paketen von eRecht24 für Unternehmen, Websitebetreiber und Agenturen sind anwaltliche Mustertexte mit DSGVO-konformen Standardvertragsklauseln enthalten.

Premium Mitglied werden

eRecht24 Premium für Websitebetreiber, Agenturen & Online-Shops

  • Generatoren, AGB, Muster & Verträge
  • Cookie Consent Tool, Premium Scanner & Projekt Planer
  • Live-Webinaren und Know-How für rechtssicheres Business
Premium Mitglied werden

 

Katharina Steinröder
Katharina Steinröder, Ass. jur.
Legal Writerin

Katharina Steinröder ist Volljuristin und seit 2023 als Legal Writerin Teil des Redaktionsteams von eRecht24. Während Ihres Studiums hat sie sich vertieft mit strafrechtlichen Themen auseinandergesetzt. Bei eRecht24 schreibt sie vor allem Inhalte mit Bezug zum Internet- und Datenschutzrecht. Zusätzlich zu Ihrer Tätigkeit als Legal Writerin arbeitet sie als nebenamtliche Dozentin im öffentlichen Recht.

Rechtsanwalt Sören Siebert
Sören Siebert
Rechtsanwalt und Gründer von eRecht24

Rechtsanwalt Sören Siebert ist Gründer von eRecht24 und Inhaber der Kanzlei Siebert Lexow. Mit 20 Jahren Erfahrung im Internetrecht, Datenschutz und ECommerce sowie mit mehr als 10.000 veröffentlichten Beiträgen und Artikeln weist Rechtsanwalt Sören Siebert nicht nur hervorragende Fach-Expertise vor, sondern hat auch das richtige Gespür für seine Leser, Mandanten, Kunden und Partner, wenn es um rechtssichere Lösungen im Online-Marketing und B2B / B2C Dienstleistungen sowie Online-Shops geht. Neben den zahlreichen Beiträgen auf eRecht24.de hat Sören Siebert u.a. auch diverse Ebooks und Ratgeber zum Thema Internetrecht publiziert und weiß ganz genau, worauf es Unternehmern, Agenturen und Webdesignern im täglichen Business mit Kunden ankommt: Komplexe rechtliche Vorgaben leicht verständlich und mit praktischer Handlungsanleitung für rechtssichere Webseiten umsetzen.

Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details