Hier sind die Fragen, die sich im Webinar »Die neuen EU-Standardvertragsklauseln«? ergeben haben. Das Webinar wird wiederholt veranstaltet und daher wird auch diese FAQ-Liste ständig anwachsen.

Die Fragen sind selbstverständlich anonymisiert und ich habe sie ggf. sprachlich angepasst.

Sie haben auch eine Frage zum Thema »Neue EU-Standardvertragsklauseln«? Melden Sie sich am besten noch heute für das kostenlose Webinar an und stellen Sie im Chat Ihre Frage(n).

Informationen zu diesem und anderen Webinaren finden Sie auf meiner Webinarseite.

Stand: 24. November 2021

FAQ

Habe ich das richtig verstanden, dass es innerhalb einer Datenschutzerklärung zwingen erforderlich ist die konkreten Standardvertragsklauseln beizufügen. Ich habe häufig in Klauseln in Datenschutzerklärungen gesehen, dass auf eine Datenübermittlung in die USA hingewiesen wird und dann auf die Standardvertragsklasueln verweisen wird und dabei die Seite der EU verlinkt wird, auf der die Klauseln bzw. der Beschluss aufgerufen werden kann.

Sie müssen die konkret vereinbarten Standardvertragsklauseln NICHT in die Datenschutzerklärung ein- bzw. beifügen. Sie müssen den betroffenen Personen aber die Möglichkeit geben, die konkret vereinbarten Standardvertragsklauseln einzusehen; Sie müssen also einen Weg aufzeigen, wo und wie die vereinbarten Klauseln zur Verfügung gestellt werden können. Das kann eine E-Mail Adresse sein, an die sich interessierte betroffene Personen wenden können oder aber auch ein Link zu einem PDF.

Ein Link auf die Seite(n) der EU-Kommission wird nicht ausreichen. Die neuen Standardvertragsklauseln sind ja nunmehr modular aufgebaut und Sie müssen schon aufzeigen, für welches Modul Sie sich entschieden haben. Außerdem verlangen die entsprechenden Transparenzklauseln, dass »auf Anfrage« nicht nur eine Kopie der Klauseln, sondern auch die »ausgefüllten Anlagen« zur Verfügung gestellt werden müssen.

So im Modul 1 (C2C*): Klausel 8.2 c): »Die Parteien stellen der betroffenen Person auf Anfrage eine Kopie dieser Klauseln, einschließlich der von ihnen ausgefüllten Anlage, unentgeltlich zur Verfügung.« Oder für Modul 2 (C2P*) und Modul 3 (P2P*) in den jeweiligen Klauseln 8.3:  »Auf Anfrage stellt der Datenexporteur der betroffenen Person eine Kopie dieser Klauseln, einschließlich der von den Parteien ausgefüllten Anlage, unentgeltlich zur Verfügung.«

Im Modul 4 (P2C) ist es anders, weil hier aus einem Drittland von einem dortigen Verantwortlichen personenbezogene Daten in die EU übermittelt werden und damit der Grundfall der Drittlandregelungen, dass nämlich personenbezogene Daten aus dem Schutzbereich der DSGVO herausfallen könnten, nicht gegeben ist.

*C = Controller; P = Processor

Hallo, Sie haben ausschließlich über "Unternehmen" gesprochen. Ich gehe davon aus, dass die öffentliche Verwaltung von alledem nicht ausgenommen ist bzw. es dafür speziellere Bestimmungen gibt. Oder?

Die DSGVO, und damit die Verpflichtung, in einem Drittland ein angemessenes Datenschutzniveau zu gewährleisten, richtet sich selbstverständlich auch an die »öffentliche Verwaltung«. In Deutschland sprechen wir dann von »öffentlichen Stellen« und es müssen ggf. besondere Regelungen beachtet werden, die sich aus dem BDSG (2018) ergeben. So werden gemäß § 43 Absatz 3 BDSG (2018) gegen Behörden keine Bußgelder verhängt (ein Schelm, wer Böses dabei denkt ;-).

Wie wird begründet, dass in Modul 2 kein zusätzlicher AVV/DPA mehr benötigt wird? Ist in Modul 2 diesbezüglich alles geregelt, was ja bei den bisherigen SCC nicht der Fall war; sprich Betroffenenrecht, Löschung von Daten, Datenpannen, etc.?

Nun, in Erwägungsgrund 9 des Beschlusses der EU-Kommission vom 04. Juni 2021 (2021/914) heißt es (Hervorhebung in kursiver Schrift durch den Autor): »Umfasst die Verarbeitung Datenübermittlungen von der Verordnung (EU) 2016/679 unterliegenden Verantwortlichen an Auftragsverarbeiter außerhalb des räumlichen Anwendungsbereichs dieser Verordnung oder von der Verordnung (EU) 2016/679 unterliegenden Auftragsverarbeitern an Unterauftragsverarbeiter außerhalb des räumlichen Anwendungsbereichs dieser Verordnung, so sollten die Standardvertragsklauseln im Anhang dieses Beschlusses auch die Erfüllung der Anforderungen in Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 ermöglichen

Weiterhin heißt es in Artikel 1 Absatz 2 des Beschlusses: »In den Standardvertragsklauseln sind auch die Rechte und Pflichten der Verantwortlichen und der Auftragsverarbeiter in Bezug auf die in Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 genannten Fragen im Hinblick auf die Übermittlung personenbezogener Daten von einem Verantwortlichen an einen Auftragsverarbeiter oder von einem Auftragsverarbeiter an einen Unterauftragsverarbeiter festgelegt.«

In Artikel 28 Absatz 3 und 4 DSGVO (das ist EU-Verordnung 2016/679) sind die inhaltlichen Anforderungen eines Auftragsverarbeitungsvertrages (Absatz 3 Buchstaben a) bis h)) und die Voraussetzungen der Aufnahme weiterer (Unter-)Auftragnehmer (Absatz 4) geregelt. Diesen Anforderungen werden die Standardvertragsklauseln aus dem genannten Beschluss gerecht und beinhalten daher auch alles, was vertraglich benötigt wird, um das Auftragsverarbeitungsverhältnis rechtlich angemessen auszugestalten. Die entsprechenden Regelungen finden sich dann u.a. Artikel 8 für das Modul 2; Weisungsgebundenheit (8.1), Zweckbindung (8.2), Löschung und/oder Rückgabe (8.5), Sicherheit der Verarbeitung (8.6, inklusive Unterstützungsrechte bei sog. »Datenpannen«) usw.

You've successfully subscribed to Datenrecht.EXPERT
Great! Next, complete checkout for full access to Datenrecht.EXPERT
Welcome back! You've successfully signed in
Success! Your account is fully activated, you now have access to all content.
Unable to sign you in. Please try again.
Success! Your account is fully activated, you now have access to all content.
Success! Your billing info is updated.
Billing info update failed.
Your link has expired.

© 2021 Ass. jur. Andreas Riehn, München.