Standardvertragsklauseln
Standardvertragsklauseln (Standard Contractual Clauses, SCC) sind von der EU-Kommission vorgegebene Vertragsmuster, die es Unternehmen ermöglichen, personenbezogene Daten rechtmäßig in Drittländer außerhalb der EU bzw. des EWR zu übermitteln, wenn dort kein angemessenes Datenschutzniveau besteht.
Ausführliche Erklärung
Standardvertragsklauseln dienen als zentrale rechtliche Grundlage für den Datentransfer in Länder außerhalb der EU und des Europäischen Wirtschaftsraums, sofern für diese kein Angemessenheitsbeschluss der EU-Kommission vorliegt. Die EU-Kommission hat im Juni 2021 mit dem Durchführungsbeschluss 2021/914 die aktuell gültigen Standardvertragsklauseln erlassen, die einen modularen Aufbau aufweisen. Dieser modulare Ansatz ermöglicht die Abdeckung unterschiedlicher Übermittlungskonstellationen: Modul 1 für die Übermittlung von Verantwortlichem zu Verantwortlichem, Modul 2 für Verantwortlicher zu Auftragsverarbeiter, Modul 3 für Auftragsverarbeiter zu Unterauftragsverarbeiter und Modul 4 für Auftragsverarbeiter zu Verantwortlichem. Die neuen Klauseln berücksichtigen die Anforderungen aus dem Schrems-II-Urteil des Europäischen Gerichtshofs vom Juli 2020.
Für Unternehmen, die personenbezogene Daten in Drittländer übermitteln, bieten Standardvertragsklauseln zwar eine praktikable Lösung, binden aber zugleich beide Vertragsparteien an europäische Datenschutzstandards. Die Verwendung der unveränderten Musterverträge ist genehmigungsfrei, jedoch müssen Datenexporteure zusätzlich prüfen, ob im Zielland ein dem europäischen Standard gleichwertiges Schutzniveau gewährleistet werden kann. Diese Prüfung wird als Transfer Impact Assessment bezeichnet und ist in Klausel 14 der Standardvertragsklauseln ausdrücklich geregelt. Die Bewertung muss dokumentiert werden und den Aufsichtsbehörden auf Anfrage zur Verfügung gestellt werden können.
Seit dem 27. Dezember 2022 müssen alle Verträge, die den Datentransfer in Drittländer regeln, die neuen Standardvertragsklauseln verwenden. Ältere Fassungen aus den Jahren 2001 und 2010 sind nicht mehr gültig. Die Klauseln dürfen nicht individuell verändert werden, ansonsten entsteht ein Individualvertrag, der einer Genehmigung durch die Datenschutzaufsichtsbehörden im Kohärenzverfahren bedarf. Unternehmen können die Standardvertragsklauseln jedoch in umfangreichere Verträge einbetten, solange die zusätzlichen Regelungen nicht im Widerspruch zu den Standardklauseln stehen oder die Rechte der betroffenen Personen beschneiden.
Praxisbeispiel
Eine österreichische Steuerberatungskanzlei mit 12 Mitarbeitenden nutzt eine cloudbasierte Buchhaltungssoftware eines US-amerikanischen Anbieters, der nicht unter dem EU-US Data Privacy Framework zertifiziert ist. Um die Übermittlung von Mandantendaten in die USA rechtlich abzusichern, schließt die Kanzlei mit dem Anbieter Standardvertragsklauseln nach Modul 2 (Verantwortlicher zu Auftragsverarbeiter) ab. Zusätzlich führt sie eine dokumentierte Transfer-Folgenabschätzung durch und prüft, ob zusätzliche technische Schutzmaßnahmen wie eine Ende-zu-Ende-Verschlüsselung erforderlich sind.