{"id":1794,"date":"2021-06-04T10:59:04","date_gmt":"2021-06-04T10:59:04","guid":{"rendered":"https:\/\/libralex.concisedigital.uk\/?p=1794"},"modified":"2022-02-24T12:02:22","modified_gmt":"2022-02-24T12:02:22","slug":"internationale-datentransfers-eu-kommission-veroffentlicht-neue-standardvertragsklauseln","status":"publish","type":"post","link":"https:\/\/libralex.com\/de\/internationale-datentransfers-eu-kommission-veroffentlicht-neue-standardvertragsklauseln\/","title":{"rendered":"Internationale Datentransfers: EU-Kommission ver\u00f6ffentlicht neue Standardvertragsklauseln"},"content":{"rendered":"<div id=\"block--system--main\" class=\"contextual-links-region\">\n<p>Die EU-Kommission hat heute die lang ersehnte neue Version der Standardvertragsklauseln (Standard Contractual Clauses, SCC) ver\u00f6ffentlicht: <a href=\"https:\/\/ec.europa.eu\/commission\/presscorner\/detail\/en\/ip_21_2847\" target=\"_blank\" rel=\"noopener noreferrer\">European Commission adopts new tools for safe exchanges of personal data<\/a>. (\u00dcber den bereits am 13.11.2020 ver\u00f6ffentlichen Entwurf der neuen SCC haben wir <a href=\"https:\/\/www.bmt.eu\/de\/newsticker\/detail\/endlich-ein-lichtblick-am-horizont-des-internationalen-datentransfers\" target=\"_blank\" rel=\"noopener noreferrer\">hier<\/a> berichtet.) Wer sich davon endlich Rechtssicherheit f\u00fcr Daten\u00fcbermittlungen in die USA und andere Drittstaaten erhofft hat, wird jedoch entt\u00e4uscht. Im Einzelnen:<\/p>\n<h3>Worum geht\u2018s?<\/h3>\n<p>Die SCC sind ein von der EU-Kommission vorformuliertes Vertragswerk f\u00fcr die Gew\u00e4hrleistung hinreichender Garantien bei internationalen Datentransfers. \u00dcbermittlungen von personenbezogenen Daten in Nicht-EU-Drittl\u00e4nder sind nur nach den in Art. 44 ff. DSGVO festgelegten Mechanismen m\u00f6glich. Seit der EuGH in seiner Schrems-II-Entscheidung (wir berichteten hier: <a href=\"https:\/\/www.bmt.eu\/de\/newsticker\/detail\/eugh-erklaert-privacy-shield-fuer-unwirksam-vielen-datenuebermittlungen-die-usa\" target=\"_blank\" rel=\"noopener noreferrer\">EuGH erkl\u00e4rt ,,Privacy-Shield\u201c f\u00fcr unwirksam &#8211; vielen Daten\u00fcbermittlungen in die USA fehlt nun die rechtliche Grundlage<\/a>) das sog. \u201ePrivacy Shield\u201c f\u00fcr unwirksam erkl\u00e4rt hatte, waren die SCC &#8211; trotz der Rechtsunsicherheiten &#8211; einer der wenigen verbliebenen (praktikablen) Mechanismen f\u00fcr Drittstaatentransfers.<\/p>\n<p>Die SCC stammten allerdings noch aus einer Zeit vor der DSGVO und waren daher stark \u00fcberarbeitungsbed\u00fcrftig. Ein wesentliches Defizit der SCC war die fehlende Ber\u00fccksichtigung bestimmter Konstellationen der Unterauftragsverarbeitung, deren Anwendungsbereich durch die Konzentration der weltweiten Cloud-Infrastruktur auf wenige US-Anbieter immer weiter gestiegen ist. Mit den nunmehr \u00fcberarbeiteten SCC lassen sich diese Konstellationen besser vertraglich regeln.<\/p>\n<h3>Was ist neu?<\/h3>\n<p>Die ver\u00f6ffentlichten SCC sehen insbesondere folgende Neuerungen vor:<\/p>\n<ul>\n<li>Neue Konstellationen: Die neuen SCC lassen sich f\u00fcr Daten\u00fcbermittlungen von Auftragsverarbeitern in der EU zu Auftragsverarbeitern in Drittl\u00e4ndern (Processor to Processor) sowie von Auftragsverarbeitern in der EU zu Verantwortlichen in Drittl\u00e4ndern (Processor to Controller) verwenden.<\/li>\n<li>Modularer Aufbau: Die SCC sind modular aufgebaut und k\u00f6nnen daher f\u00fcr s\u00e4mtliche Konstellationen verwendet werden.<br \/>\nModul 1: Controller to Controller<br \/>\nModul 2: Controller to Processor<br \/>\nModul 3: Processor to Processor<br \/>\nModul 4: Processor to Controller<\/li>\n<li>Beitrittsm\u00f6glichkeit: Die SCC beinhalten eine \u201eDocking Clause\u201c, nach der ein Betritt durch weitere Unternehmen zu bereits abgeschlossenen SCC m\u00f6glich ist. Dies d\u00fcrfte beispielsweise im Konzernumfeld praktische Bedeutung haben, wenn Tochtergesellschaften den durch die Muttergesellschaft abgeschlossenen SCC beitreten sollen.<\/li>\n<li>Schrems-II-Regelungen: Die SCC sehen besondere Verpflichtungen f\u00fcr Datenimporteure vor, f\u00fcr den Fall, dass im Empf\u00e4ngerland kein hinreichendes Datenschutzniveau gew\u00e4hrleistet werden kann (z. B. USA) und beispielsweise ausl\u00e4ndischen Beh\u00f6rden Zugriffsrechte auf die verarbeiteten Daten zustehen. Mit diesen Regelungen werden die nach der Schrems-II-Entscheidung des EuGH notwendigen vertraglichen Zusatzma\u00dfnahmen implementiert (wir berichteten zu den sog. Supplementary Measures hier:\u00a0<a href=\"https:\/\/www.bmt.eu\/de\/newsticker\/detail\/dunkle-wolken-auch-nach-den-empfehlungen-des-europaeischen-datenschutzausschusses\" target=\"_blank\" rel=\"noopener noreferrer\">Dunkle Wolken: Auch nach den Empfehlungen des Europ\u00e4ischen Datenschutzausschusses (EDPB) weiterhin erhebliche Rechtsunsicherheit bei der Nutzung von US-Cloud-Diensten<\/a>)<\/li>\n<\/ul>\n<h3>SCC f\u00fcr EU-Auftragsverarbeitungen (AVV)<\/h3>\n<p>Au\u00dferdem gibt es erstmals ein Set von SCC f\u00fcr die rein innereurop\u00e4ische Auftragsverarbeitung. Es handelt sich hierbei um ein europ\u00e4isches Vertragsmuster f\u00fcr Auftragsverarbeitungsvertr\u00e4ge (AVV) nach Art. 28 Abs. 7 DSGVO.<\/p>\n<h3>Handlungsbedarf: Umstellung von alten SCC auf die neuen SCC<\/h3>\n<p>Die Kommissionsentscheidung sieht eine \u00dcbergangsfrist von 18 Monaten vor. Innerhalb dieser Zeit m\u00fcssen Daten\u00fcbermittlungen, die bisher auf der Basis der \u201ealten\u201c SCC erfolgen, auf die \u201eneuen\u201c SCC oder einen anderen Mechanismus nach Art. 44 ff. DSGVO umgestellt werden.<\/p>\n<h3>Achtung: Weiterhin Rechtsunsicherheit bei Cloud Services und Daten\u00fcbermittlungen in die USA<\/h3>\n<p>Nach der Schrems-II-Entscheidung des EuGH k\u00f6nnen hinreichende Garantien f\u00fcr Daten\u00fcbermittlungen in unsichere Drittl\u00e4nder (z. B. USA) nur dann gew\u00e4hrleistet werden, wenn entsprechende technische, organisatorische und vertragliche Ma\u00dfnahmen getroffen werden. Die neuen SCC decken insoweit nur die vertragliche Seite ab. Daneben sind weiterhin effektive technische Ma\u00dfnahmen zum Schutz vor Datenzugriffen im Drittland erforderlich. Gerade bei SaaS-Anwendungen US-amerikanischer Anbieter lassen sich solche technischen Ma\u00dfnahmen (z. B. Verschl\u00fcsselung mit Schl\u00fcsselhoheit des Kunden) h\u00e4ufig nicht praktikabel umsetzen. Es verbleibt in diesen F\u00e4llen also trotz der neuen SCC eine erhebliche Rechtsunsicherheit. In K\u00fcrze sollen zu den sog. Supplementary Measures neue Empfehlungen des European Data Protection Board (EDPB) ver\u00f6ffentlicht werden. Es darf aber bezweifelt werden, ob die Empfehlungen des EDPB die erhoffte Rechtssicherheit liefern.<\/p>\n<h3>Update (vom 07.06.2021):<\/h3>\n<p>Die Kommissionsbeschl\u00fcsse wurden heute im Amtsblatt ver\u00f6ffentlicht. Daraus ergeben sich folgende Umsetzungsfristen:<\/p>\n<ul>\n<li>Ab dem 27. September 2021 d\u00fcrfen die alten SCC nicht mehr f\u00fcr neue Vertr\u00e4ge verwendet werden.<\/li>\n<li>Bis zum 26. Dezember 2022 m\u00fcssen alle alten SCC (Altvertr\u00e4ge) durch die neuen SCC ersetzt werden.<\/li>\n<\/ul>\n<div class=\"links\">B\u00dcSING M\u00dcFFELMANN &amp; THEYE<br \/>\nRechtsanw\u00e4lte in Partnerschaft mbB und Notare<br \/>\n<a href=\"https:\/\/www.bmt.eu\" target=\"_blank\" rel=\"noopener noreferrer\">https:\/\/www.bmt.eu<\/a><\/div>\n<\/div>\n<div id=\"related-posts\" class=\"contextual-links-region clearfix block\">\n<div class=\"wrapper\">\n<h2 class=\"block-title\"><\/h2>\n<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Die EU-Kommission hat heute die lang ersehnte neue Version der Standardvertragsklauseln (Standard Contractual Clauses, SCC) ver\u00f6ffentlicht: European Commission adopts new tools for safe exchanges of personal data. (\u00dcber den bereits am 13.11.2020 ver\u00f6ffentlichen Entwurf der neuen SCC haben wir hier berichtet.) Wer sich davon endlich Rechtssicherheit f\u00fcr Daten\u00fcbermittlungen in die USA und andere Drittstaaten erhofft [&hellip;]<\/p>\n","protected":false},"author":19,"featured_media":1683,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[31],"tags":[],"class_list":["post-1794","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-news"],"_links":{"self":[{"href":"https:\/\/libralex.com\/de\/wp-json\/wp\/v2\/posts\/1794","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/libralex.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/libralex.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/libralex.com\/de\/wp-json\/wp\/v2\/users\/19"}],"replies":[{"embeddable":true,"href":"https:\/\/libralex.com\/de\/wp-json\/wp\/v2\/comments?post=1794"}],"version-history":[{"count":1,"href":"https:\/\/libralex.com\/de\/wp-json\/wp\/v2\/posts\/1794\/revisions"}],"predecessor-version":[{"id":1795,"href":"https:\/\/libralex.com\/de\/wp-json\/wp\/v2\/posts\/1794\/revisions\/1795"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/libralex.com\/de\/wp-json\/wp\/v2\/media\/1683"}],"wp:attachment":[{"href":"https:\/\/libralex.com\/de\/wp-json\/wp\/v2\/media?parent=1794"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/libralex.com\/de\/wp-json\/wp\/v2\/categories?post=1794"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/libralex.com\/de\/wp-json\/wp\/v2\/tags?post=1794"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}