Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Fit für die DSGVO finden Sie jetzt hier
Analyse
21. Juni 2021

Die neuen EU-Standardvertragsklauseln – das müssen Sie wissen

DP+
Die EU-Kommission hat völlig neu gestaltete Standardvertragsklauseln veröffentlicht
Bild: iStock.com / agrobacter
4,20 (5)
Zwei Musterformulare vom 4. Juni 2021
Für die Übermittlung personenbezogener Daten in Drittländer außerhalb der EU hat die Europäische Kommission völlig neu gestaltete Standardvertragsklauseln vorgelegt. Erstmals stehen darüber hinaus auch offizielle Standardvertragsklauseln für die Auftragsverarbeitung zur Verfügung.

Die neuen Standardvertragsklauseln ersetzen die bisherigen Standardvertragsklauseln, die noch aus der Zeit vor der Datenschutz-Grundverordnung (DSGVO) stammen.

Welche Standardvertragsklauseln stehen künftig zur Verfügung?

Zunächst sind das die neuen „Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer“. Es heißt im Original tatsächlich „an“ und nicht „in“ Drittländer, obwohl „in“ gemeint ist. Diese Klauseln bilden den Anhang zum Durchführungsbeschluss (EU) 2021/914 der Europäischen Kommission vom 4. Juni 2021. Er ist abrufbar unter https://ogy.de/EU-Standardvertragsklauseln.

Sie ersetzen die „alten“ Standardvertragsklauseln, die bisher für diese Konstellation zur Verfügung standen. Die zulässigen Varianten der „alten“ Standardvertragsklauseln waren in der Entscheidung 2001/497/EG und im Beschluss 2010/87/EU enthalten. Der Durchführungsbeschluss (EU) 2021/914 hebt diese beiden Rechtsquellen auf, weil sie jetzt überholt sind (siehe Art. 4 Abs. 2 und 3 des Durchführungsbeschlusses).

Gesondert gibt es noch die völlig neuen „Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern“. Sie bilden den Anhang zum Durchführungsbeschluss (EU) 2021/915 der europäischen Kommission vom 4. Juni 2021. Er ist abrufbar unter https://ogy.de/Standardvertragsklauseln-Auftragsverarbeitung.

Für sie gibt es kein Vorbild. Der Durchführungsbeschluss, der sie einführt, muss deshalb auch keine früheren Fassungen derartiger Klauseln aufheben.

Warum waren neue Klauseln für die Übermittlung in Drittländer notwendig?

Die bisherigen Standardvertragsklauseln für die Übermittlung in Drittländer stammten noch aus der Zeit vor dem Inkrafttreten der DSGVO am 25. Mai 2016. Formal waren sie trotzdem weiterhin anwendbar, weil die auf sie bezogenen „Feststellungen“ der Europäischen Kommission über Standardvertragsklauseln weiterhin in Kraft blieben (Art. 46 Abs. 5 Satz 2 DSGVO). Das änderte aber nichts daran, dass ihr Inhalt nicht mehr zur DSGVO passte.

Hinzu kam, dass der Europäische Gerichtshof in der Entscheidung „Schrems II“ vom 16. Juli 2020 eine ganze Reihe von Anforderungen an Datenübermittlungen ins Ausland aufstellte, die die vorhandenen Standardvertragsklauseln naturgemäß nicht berücksichtigten. Siehe dazu ausführlich Ehmann, Datenschutz PRAXIS Heft 9/2020, Seite 1. Auf diese Entscheidung nehmen die Erwägungsgründe des Durchführungsbeschlusses 2021/914 mehrfach Bezug (siehe etwa die Fußnoten 3, 10 und 11).

Wichtig
Wie ist das Verhältnis zwischen den beiden Arten von Standardvertragsklauseln?

Es gelten folgende Faustregeln:

  • Die Standardvertragsklauseln für die Übermittlung in Drittländer sind definitionsgemäß immer dann relevant, wenn an einer Übermittlung eine Stelle in einem Drittland beteiligt ist. Das gilt auch dann, wenn diese Stelle die Rolle eines Auftragnehmers hat. Dazu, was genau ein „Drittland“ ist, siehe Ehmann, Datenschutz PRAXIS Heft 1/2021, Seite 4.
  • Die Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern sind dagegen für die Verwendung innerhalb der EU gedacht. Für Auftragsverhältnisse, bei denen Stellen in Drittländern beteiligt sind, sind sie nicht geeignet.

Diese Faustregeln beruhen auf dem unterschiedlichen Zweck der beiden Arten von Standardvertragsklauseln.

Standardvertragsklauseln für die Übermittlung in Drittländer

Standardvertragsklauseln für die Übermittlung in Drittländer kommen zum Einsatz, um ein – gemessen an den Vorgaben der DSGVO – unzureichendes Datenschutzniveau im jeweiligen Drittland auszugleichen. Sie stellen „geeignete Garantien“ dar, die eine Übermittlung in das Drittland dennoch rechtlich möglich machen.

Art. 46 Abs. 1 DSGVO fordert solche geeigneten Garantien, wenn das Datenschutzniveau in einem Drittland unzureichend ist. Art. 46 Abs. 2 Buchst. c DSGVO hält fest, dass Standarddatenschutzklauseln der Europäischen Kommission als eine solche geeignete Garantie anzusehen sind. Sie sorgen für „die Gewährleistung angemessener Datenschutzgarantien für internationale Datenübermittlungen.“ (so Erwägungsgrund 3 Satz 1 des Durchführungsbeschlusses 2021/914).

Standardvertragsklauseln für das Verhältnis zwischen Verantwortlichen und Auftragsverarbeitern

Standardvertragsklauseln für das Verhältnis zwischen Verantwortlichen und Auftragsverarbeitern sollen dagegen zum einen sicherstellen, dass die Beteiligten die Vorgaben der DSGVO für die Gestaltung des Rechtsverhältnisses zwischen Auftraggeber (Verantwortlicher) und Auftragsverarbeiter einhalten.

Diese Vorgaben ergeben sich aus Art. 28 Abs. 3 DSGVO. Falls weitere Auftragsverarbeiter als Unterauftragnehmer ins Spiel kommen, gewährleisten die Standardvertragsklauseln auch die Beachtung der hierfür geltenden Vorgaben. Sie ergeben sich aus Art. 28 Abs. 4 DSGVO. Dass die Standardvertragsklauseln beide Aspekte abdecken, hält Art. 1 des Durchführungsbeschlusses 2021/915 fest

Für Auftragsverhältnisse, bei denen Vertragspartner in einem Drittstaat beteiligt sind, gilt folgende Abgrenzung:

  • Wenn die Standardvertragsklauseln für die Übermittlung an Drittländer Verwendung finden, deckt ein solcher Vertrag „nebenbei“ auch die Anforderungen ab, die sich für Auftraggeber und Auftragnehmer aus Art. 28 Abs. 3 und 4 DSGVO ergeben. Dies hält Art. 1 Abs. 2 des Durchführungsbeschlusses 2021/914 ausdrücklich fest. Erwägungsgrund 9 zum Durchführungsbeschluss 2021/914 und Erwägungsgrund 10 Sätze 1 und 2 zum Durchführungsbeschluss 2021/915 unterstreichen es. Der Vertrag wird dann also ausschließlich auf der Basis dieser Standardvertragsklauseln abgeschlossen. Die Standardvertragsklauseln für die Auftragsverarbeitung spielen keine Rolle.
  • Umgekehrt gilt: Ein Vertrag lediglich auf der Basis der Standardvertragsklauseln für die Auftragsverarbeitung deckt nicht die Anforderungen ab, die sich für die Übermittlung in Drittländer aus Art. 46 Abs. 1 DSGVO ergeben (so ausdrücklich Erwägungsgrund 10 Satz 3 zum Durchführungsbeschluss 2021/915). Er kann also nicht einen Vertrag auf der Basis der Standardvertragsklauseln für die Übermittlung in Drittländer ersetzen.
Warum ist das Verhältnis zwischen den beiden Arten wichtig?

Dass die Unterscheidung zentral ist, zeigt sich deutlich bei folgender Konstellation: Zwischen zwei Unternehmen innerhalb der EU besteht ein Vertrag über Auftragsverarbeitung auf der Basis der Standardvertragsklauseln für Auftragsverarbeitung. In dieses Vertragsverhältnis soll als Unterauftragnehmer ein weiteres Unternehmen einbezogen werden. Dieses Unternehmen ist in einem Drittland ansässig, das kein angemessenes Datenschutzniveau aufweist.

Hier genügt es nicht, das Unternehmen im Drittland einfach zu einem weiteren Vertragspartner des vorhandenen Vertrags zu machen. Vielmehr müsste der Vertrag dann für alle drei Beteiligten auf die Standardvertragsklauseln für die Übermittlung an Drittländer umgestellt werden. Dieser Vertrag wiederum würde zugleich die Anforderungen für Verträge über eine Auftragsverarbeitung abdecken, die sich aus Art. 28 DSGVO ergeben – einschließlich der Anforderungen, die Art. 28 Abs. 4 DSGVO für den Einsatz von Unterauftragnehmern aufstellt.

Die geschilderte Konstellation behandelt Erwägungsgrund 15 zum Durchführungsbeschluss 2021/914 ausführlich. Beachten Sie ergänzend die Ausführungen den Erwägungsgründen 8 und 9. Das Beispiel zeigt, dass die Wahl der „richtigen“ Standardvertragsklauseln durchaus eine Herausforderung darstellen kann.

Alternative weitere Vertragsgestaltungen – etwa der Verzicht auf die Einbeziehung des Drittland-Unternehmens in den vorhandenen Vertrag und stattdessen der Abschluss eines geeigneten Vertrags zwischen dem Auftragnehmer in der EU und dem Drittland-Unternehmen – wären ebenfalls denkbar.

Was hat es mit dem „modularen Aufbau“ der Standardvertragsklauseln auf sich?

Bei den Standardvertragsklauseln für die Auftragsverarbeitung beschränkt sich der modulare Aufbau darauf, dass an einer Reihe von Stellen eine Auswahl zwischen jeweils zwei Optionen getroffen werden muss:

  • Meist betrifft dies nur die Frage, ob die jeweilige Klausel an Bestimmungen der DSGVO anknüpfen soll („Verordnung (EU) 2016/679“) oder an die „Verordnung (EU) 2018/1725“. In der Regel trifft es zu, die „Option 1“ zu wählen, also den Bezug auf die DSGVO. Etwas anderes gilt nur, wenn ein Unternehmen für Organe, Einrichtungen oder sonstige Stellen der EU tätig wird. Dann wäre „Option 2“ die richtige. Denn die Verordnung (EU) 2018/1725 regelt den Datenschutz, der dort zu beachten ist. Sie ist bei Bedarf abrufbar unter https://ogy.de/VO-2018-1725.
  • Lediglich an einer Stelle geht es bei der Wahl zwischen „Option 1“ und „Option 2“ um einen echten inhaltlichen Unterschied. Das betrifft die Frage, unter welchen Voraussetzungen der Auftragsverarbeiter Unterauftragnehmer einsetzen darf (Klausel 7.7). Bei „Option 1“ braucht der Auftragsverarbeiter dazu in jedem Einzelfall eine vorherige gesonderte Genehmigung. „Option 2“ sieht eine allgemeine schriftliche Genehmigung für diese Konstellation vor.

Bei den Standardvertragsklauseln für die Übermittlung an Drittländer prägt der modulare Aufbau dagegen das gesamte Vertragsmuster. In den einzelnen Klauseln sind maximal vier unterschiedliche Module vorgesehen. Sie knüpfen jeweils daran an, welche Konstellation vorliegt. Dabei unterscheiden die Module folgende vier Konstellationen:

  • MODUL EINS: Übermittlung von Verantwortlichen an Verantwortliche
  • MODUL ZWEI: Übermittlung von Verantwortlichen an Auftragsverarbeiter
  • MODUL DREI: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter
  • MODUL VIER: Übermittlung von Auftragsverarbeitern an Verantwortliche
Praxis-Tipp
Die Modulbezeichnungen (in Großbuchstaben und mit ausgeschriebenen Ziffern) sind in allen Vertragsklauseln identisch. Das erleichtert die Anwendung des Vertragsmusters erheblich:

  • Zunächst muss man einmal feststellen, welche der vier Konstellationen im konkreten Fall vorliegt (also z.B. MODUL ZWEI).
  • Dann wählt man überall dort, wo unterschiedliche Module zur Auswahl stehen, das dafür vorgesehene Modul aus (also zum Beispiel MODUL ZWEI).
  • Die verschiedenen Module zu mischen, ist nicht zulässig. Liegt also z.B. die Konstellation „Übermittlung von Verantwortlichen an Auftragsverarbeiter“ vor, muss man bei allen Klauseln das jeweils dafür vorgesehene MODUL ZWEI wählen. Unzulässig wäre es dagegen, etwa bei Klausel 12 (Haftung) stattdessen MODUL EINS zu wählen, weil einem dies besser gefällt.

Dürfen die Standardvertragsklauseln in einen umfassenderen Vertrag „eingebaut“ werden?

Diese Frage war bei den „alten“ Standardvertragsklauseln für die Übermittlung an Drittländer umstritten. Argument: Dies könnte dem Grundsatz widersprechen, dass die Klauseln, die die Europäische Kommission gebilligt hat, nicht abgeändert werden dürfen, wenn sie als „geeignete Garantie“ im Sinn von Art. 46 Abs. 1 DSGVO gelten sollen.

Die neuen Standardvertragsklauseln lassen ein solches Vorgehen ausdrücklich zu. Klausel 2 („Unabänderbarkeit der Klauseln“) der Standardvertragsklauseln für die Auftragsverarbeitung formuliert dies unter Buchstabe b so: „Dies hindert die Parteien nicht daran, die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfangreicheren Vertrag aufzunehmen.“ Klausel 2 Buchst. a der Standardvertragsklauseln für die Übermittlung an Drittländer enthält eine entsprechende Formulierung.

Kann man vorsehen, dass weitere Vertragsparteien einem vorhandenen Vertrag „beitreten“?

Ja, beide Arten von Standardvertragsklauseln enthalten eine „Kopplungsklausel“, die den Beitritt weiterer Vertragsparteien durch „Ankoppeln“ möglich macht (siehe Klausel 7 der Standardvertragsklauseln für die Übermittlung an Drittländer und Klausel 5 der Standardvertragsklauseln für die Auftragsverarbeitung). Die Kopplungsklausel ist jeweils als „fakultativ“ gekennzeichnet. Man kann sie also einbauen (zur Not erst nachträglich), man kann sie aber auch entfallen lassen.

Praxis-Tipp
Unternehmen, die miteinander verbunden sind (beispielsweise in einem Konzern) werden die Klausel gerne nutzen. So lassen sich nämlich im Ergebnis „konzernweite Standardverträge“ gestalten, bei denen immer wieder neue Konzernunternehmen hinzukommen oder auch wegfallen, je nach Bedarf.

Ab wann gelten die neuen Standardvertragsklauseln?

Die Standardvertragsklauseln für die Auftragsverarbeitung lassen sich faktisch ab sofort nutzen. Rechtlich korrekt: Sie stehen ab dem 27.6.2021 zur Verfügung – also ab dem 20. Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union vom 7.6.2021, so Art. 4 des Durchführungsbeschlusses 2021/915.

Entsprechendes gilt für die neuen Standardvertragsklauseln für die Datenübermittlung in Drittländer (siehe Art. 4 Abs. 1 des Durchführungsbeschlusses 2021/914).

Verträge, die auf der Basis der „alten“ Standardvertragsklauseln für die Datenübermittlung in Drittländer geschlossen wurden, bieten noch bis zum 27. Dezember 2022 „geeignete Garantien“ (so Art. 4 Abs. 4 des Durchführungsbeschlusses 2021/914).

Dr. Eugen Ehmann

Dr. Eugen Ehmann
+

Weiterlesen mit DP+

Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?

Weiterlesen mit DP+
Konzentrieren Sie sich aufs Wesentliche
Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.
Kein Stress mit Juristen- und Admin-Deutsch
Lesen Sie praxisorientierte Texte ohne Fußnotenapparat und Techniker-Sprech.
Sparen Sie sich langes Suchen
Alle Arbeitshilfen und das komplette Heftarchiv finden Sie online.
Verfasst von
Dr. Eugen Ehmann
Dr. Eugen Ehmann
Dr. Eugen Ehmann ist ausgewiesener Fachmann auf dem Gebiet des Datenschutzes in Unternehmen und Behörden. Er ist Herausgeber eines renommierten DSGVO-Kommentars und Autor zahlreicher Beiträge in der Datenschutz PRAXIS sowie in vielen weiteren Datenschutz-Veröffentlichungen. Außerdem moderiert er seit 2003 den Datenschutz-Kongress IDACON .
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.