Datenschutzerklärung

Countdown läuft: Umsetzungsfrist der neuen Standarddatenschutzklauseln endet

Die EU-Kommission hatte die neuen Standarddatenschutzklauseln (SCC) bereits im Juni letzten Jahres veröffentlicht. Die darin festgesetzte Frist zur Umsetzung der SCC in Altverträgen endet in wenigen Tagen. Diese sollen das europäische Datenschutzniveau für die Übertragung personenbezogener Daten in Drittländer außerhalb der EU sicherstellen.

 

Wer muss die neuen SCC beachten?

Abgeschlossen werden die Standarddatenschutzklauseln zwischen einem Unternehmen und einem Drittanbieter im Nicht-EU-Ausland, an den die personenbezogenen Daten fließen. Dies sind insbesondere Hosting-Dienste (z.B. AWS), Cloud-Software (z.B. Salesforce), CDN-Anbieter (z.B. Cloudflare, Google Maps), Werbe-Netzwerke (z.B. Google Ads), Soziale Netzwerke (z.B. Facebook) oder Tracking-Dienste (z.B. Google Analytics).

Was ist neu an den SCC?

Der Aufbau nach Modulen soll eine flexiblere Anpassung an die gegebene Situation ermöglichen.  Insbesondere ist nun auch der Beitritt zu den Standardvertragsklauseln durch weitere Parteien möglich. Außerdem wurden in den neuen SCC, ausgehend vom Schrems-II-Urteil (ECLI:EU:C:2020:559), neue Pflichten festgelegt.

  • Modul 1: C2C (Verantwortlicher und Verantwortlicher)
  • Modul 2: C2P (Verantwortlicher und Auftragsverarbeiter)
  • Modul 3: P2P (Auftragsverarbeiter und (Unter-)Auftragsverarbeiter)
  • Modul 4: P2C (Auftragsverarbeiter und Verantwortlicher)

Was muss bei der Anpassung der SCC beachtet werden?

Seit dem Erlass müssen die neuen SCC im Rahmen des Abschlusses neuer Verträge ab dem 27.09.2021 miteinbezogen werden. Bereits bestehende Verträge müssen bis zum 27.12.2022 entsprechend angepasst werden. Danach verlieren die alten SCC ihre Wirksamkeit und darauf gestützte Drittlandübermittlungen werden rechtwidrig.

Wie sollte die Anpassung erfolgen?

  1. Unternehmen sollten überprüfen, ob sie Daten in Drittländer exportieren, für die kein Angemessenheitsbeschluss existiert.
  2. Sollten in den entsprechenden Verträgen mit Dienstleistern noch die alten Standardvertragsklauseln enthalten sein, sollten die Unternehmen umgehend Kontakt zu den Drittanbietern aufnehmen.
  3. Bei Umstellung der Altverträge muss darauf geachtet werden, dass sie in die Form der Neuverträge gegossen werden und die passenden Module jeweils abgeschlossen werden. Neue Auftragsverarbeitungsverträge (AVV) müssen in aller Regel nicht geschlossen werden, da die SCC von den Dienstleistern regelmäßig als Anlage zum AVV beigefügt werden. Hier muss dann lediglich den neuen SCC an irgendeiner Stelle zugestimmt werden. Manche Anbieter haben die SCC jedoch bereits eingebunden und stützen sich darauf, dass diesen durch die Nutzung des Dienstes „konkludent” (d.h. ohne aktive Handlung) zugestimmt wurde.
  4. Die neuen SCC können nun aber auch alleine stehen und in anderen Konstellationen als AVVs eingesetzt werden.

Problematisch bleiben weiterhin die Fälle in denen Vertragspartner des europäischen Kunden eine europäische Tochtergesellschaft des Online-Dienstes ist (z.B. Google Irland, Facebook Irland etc.). Nach Auffassung der Unternehmen findet der Drittlandtransfer dann nur im Verhältnis zwischen US-Mutter und EU-Tochter statt, sodass sich für das Vertragsverhältnis mit dem Kunden gar nichts ändert. Ob dieses Verständnis jedoch rechtlich haltbar ist, wurde bisher nicht gerichtlich geklärt.

Fazit:

Unternehmen sollten, falls nicht schon geschehen, umgehend eine Überprüfung und ggf. Anpassung ihrer Altverträge vornehmen.

In einer aktuellen Pressemittteilung mahnte die LfD Niedersachsen die entsprechenden Anpassungen bis zum Ende der Frist vorzunehmen. Es ist also mit einer möglichen Überprüfung nach Ablauf der Frist zu rechnen. Sollte die Aufsichtsbehörde bei einer Überprüfung einen rechtswidrigen Datentransfer feststellen, so kann sie eine Aussetzung der Übermittlung anordnen. Außerdem droht dem Unternehmen ein Bußgeld.

Zu beachten bleibt weiterhin, dass die Übermittlung personenbezogener Daten an Dienstleister in den USA momentan generell nicht ohne rechtliches Risiko möglich ist. Auch die Einbindung der neuen SCC kann dieses nicht ausschließen.

Hintergrund: http://old.fx-data.de/google-shopify-klaviyo-us-dienste-datenschutz-visier/

Im Übrigen muss die Datenschutzerklärung in aller Regel nicht angepasst werden, da dort regelmäßig nur eine Verweisung auf die SCC erfolgt.

Weitere Artikel zum Thema

Datenschutzkonformität von Pur-Abo-Modellen

Das Sprichwort “Geld regiert die Welt” ist heute nur noch bedingt zutreffend. Dieser Grundsatz sollte vielmehr auch auf Daten ausgeweitet werden, denn Daten sind inzwischen mindestens genauso wertvoll wie Geld. Sie werden in der Onlinewelt als Ressource genutzt, um die Nachfrage zu bestimmen. Daher versuchen Unternehmen, möglichst viele Daten mittels Nachverfolgung des Nutzerverhaltens (Tracking) zu sammeln. Für Verbraucher wird es somit zunehmend wichtiger, der ungewollten Verarbeitung ihrer Daten zu entgehen. Eine Möglichkeit dafür ist der Abschluss eines sogenannten Pur-Abos. Aber was ist eigentlich ein Pur-Abo? Und ist das aus datenschutzrechtlicher Sicht überhaupt zulässig?
Weiterlesen

LG Hamburg und LG Bonn: 500 Euro Streitwert für DSGVO-Auskunft

Die Rechtsprechung bezüglich des Streitwerts von DSGVO-Auskunftsansprüchen ist bislang weitgehend uneinheitlich. Die Gerichte setzen in der Regel – meist ohne nähere Begründung – Werte irgendwo zwischen EUR 500,00 und EUR 5.000,00 an. Nun haben die Landgerichte Hamburg und Bonn in relativ aktuellen Entscheidungen jeweils Streitwerte von EUR 500,00 für die Durchsetzung eines Auskunftsanspruchs gemäß Art. 15 DSGVO angenommen und diese vergleichsweise ausführlich begründet. Damit könnte ein erster Richtwert gesetzt sein. 
Weiterlesen

Jetzt beraten lassen

Kontaktieren Sie uns gerne für ein erstes unverbindliches Gespräch.

FX Data

Verhoevenstrasse 4
81739 München
Google Maps

E-Mail

info@fx-data.de

Telefon

+49 89 211 11 890