11. November 2022

Schritt für Schritt: So updaten Sie Standardvertragsklauseln

Ende des Jahres müssen Unternehmen auf die aktuellen Standardvertragsklauseln umgestiegen sein. Eine Anleitung für Nicht-Juristen.

Standardvertragsklauseln (SVK) stellen den rechtskonformen Umgang mit personenbezogenen Daten in Drittländern sicher, deren Datenschutzniveau die EU-Kommission noch nicht als angemessen beurteilt.

Worum es sich bei SVK genau handelt, haben wir hier bereits genau beschrieben: Link: Standardvertragsklauseln für Anfänger: Alles, was Sie wissen müssen

Standardvertragsklauseln gibt es schon lange vor der DSGVO. Allerdings haben DSGVO und das Schrems-II-Urteil dazu geführt, dass die EU-Kommission diese aktualisieren musste, um weiterhin Rechtssicherheit zu gewährleisten. 

Diese neuen Standardvertragsklauseln gibt es seit Juni 2021. Seitdem müssen alle neu abgeschlossenen Verträge diese neuen Klauseln enthalten. Für bereits bestehende Vertragsbeziehungen wurde eine Frist für die Umstellung gesetzt: 27. Dezember 2022. Bis dahin müssen alte Verträge mit den neuen Klauseln aktualisiert sein, ansonsten drohen Strafen der Datenschutzbehörden. 

So updaten Sie Ihre Standardvertragsklauseln:

 

 

  • Zunächst identifizieren Sie Ihre Vertragsbeziehungen mit Partnern in Drittländern, die mit personenbezogenen Daten Ihrer User arbeiten. Drittländer sind Länder außerhalb des Europäischen Wirtschaftsraums (EWR). Eine Liste der EWR-Länder finden Sie hier.

 

 

  • Als nächstes sollten Sie überprüfen, ob für das jeweilige Drittland eine Angemessenheitsentscheidung der EU-Kommission besteht. In diese Fall wäre der Datenschutz gewährleistet und keine Standardvertragsklauseln notwendig.

 

 

  • Besteht keine Angemessenheitsentscheidung, müssen Sie die Verträge durchsehen und überprüfen, ob die neuen Standardvertragsklauseln (SVK 2021) enthalten sind.Größere Service- und Software-Anbieter wie zum Beispiel Google oder Microsoft machen es ihnen einfach: Diese haben die neuen Standardvertragsklauseln mit großer Wahrscheinlichkeit bereits in ihre Allgemeinen Geschäftsbedingungen (AGB) integriert. Eine Überprüfung kann jedoch nie schaden.Bei kleineren Anbietern in Drittländern sollten Sie die jeweiligen Verträge, meist die AGB, allerdings genau überprüfen.
    Achtung: Nur, weil ein Anbieter die neuen SVK bereits in die AGB integriert hat, heißt es noch nicht, dass die Transfers auch rechtskonform im Sinne der DSGVO sind. Dazu bedarf es eine weitere Überprüfung – ein sogenanntes Transfer Impact Assessment (mehr dazu gleich) – die aufgrund des Schrems-II-Urteils für Anbieter aus den USA wohl negativ ausfallen dürfte.

 

Exkurs: Woran erkennt man die neuen Standardvertragsklauseln?

Die neuen SVK bestehen aus vier Modulen für verschiedene Szenarios der Beziehung zwischen Datenverantwortlichen und Auftragsverarbeitern im Sinne der DSGVO. 

Außerdem erkennen Sie die neuen SVK leicht an der Verpflichtung für beide Parteien, ein Transfer Impact Assessment (TIA) durchzuführen – es handelt sich dabei um eine gründliche Analyse des geltenden Rechts des Drittlandes, um alle realen oder hypothetischen Risiken zu kennen, die die Sicherheit der Daten gefährden könnten. 

Wird ein Risiko festgestellt, müssen die Parteien zusätzliche Maßnahmen vereinbaren, die die Sicherheit gewährleisten sollen. Auch das gab es in den alten Klauseln nicht. 

Mehr Details finden Sie hier auf den Seiten der EU-Kommission.

  • Sollten die SVK nicht aktualisiert sein, sollten Sie bei ihrem Vertragspartner die Integration der neuen SVK (auf die richtigen Module achten!) in seine AGB veranlassen und diese nochmals unterzeichnen.Wichtig: Standardvertragsklauseln dürfen nicht abgeändert werden, sondern nur durch weitere Klauseln ergänzt werden, soweit sie dem Wortlaut der SVK nicht widersprechen.

Die Standardvertragsklauseln sollten damit aktualisiert sein. Nun entsteht für beide Vertragspartner übrigens die Verpflichtung, das bereits erwähnte Transfer Impact Assessment durchzuführen. Wie das funktioniert, erfahren Sie ebenfalls bald in unserem Blog. 

Bitte beachten Sie, dass dies nur der Information dient und keine Rechtsberatung darstellt. 

 

Weitere Beiträge

Blog

Standardvertragsklauseln für Anfänger: Alles, was Sie wissen müssen

Im Dschungel des Datenschutzrechts spielen Standardvertragsklauseln eine besondere Rolle. Jeder braucht sie, jeder verwendet sie. Aber worum handelt es sich dabei eigentlich?

Events Review
06
Okt

Dänemark erklärt Google Analytics für rechtswidrig – Was nun?

Was die aufsehenerregende Entscheidung der dänischen Datenschutzbehörde zu Google Analytics bedeutet, erfahren Sie in unserem Express-Webinar.

Blog

Internationaler Datentransfer

Was Sie über den internationalen Datentransfer im Rahmen der DSGVO wissen müssen