DSGVO: Standardvertragsklausel betrifft Microsoft 365 und Google

Es gibt wichtige Neuerungen im Datenschutz für Unternehmen. Wer Dienste von nicht EU-Ländern in Anspruch nimmt, muss aktiv werden.

Im Juli 2020 wurde vom Europäischen Gerichtshof entschieden, dass die USA kein angemessenes Datenschutzniveau bietet. Doch weit verbreitete Dienste wie bspw. Office / Microsoft 365 oder Google Analytics gehören US-Unternehmen. Natürlich gibt es im Unternehmensumfeld noch weit mehr Dienste und gerade weltweit agierende Unternehmen müssen hier aufpassen. Mit dem Urteil liegt kein sogenannter „Angemessenheitsbeschluss“ mehr vor.

Ein Angemessenheitsbeschluss muss bei einem Drittland vorliegen, damit die Übermittlung der Daten ohne besondere Genehmigung erfolgen darf (Art. 45 Abs. 1 DSGVO). Eine Liste, für welche Länder ein Angemessenheitsbeschluss vorliegt, können Sie auf der Webseite der EU Kommission finden. Drittländer sind erstmal alle Länder, welche nicht unter dem Unionsrecht oder dem Recht der Mitgliedsstaaten der EU liegen. Mit Wegfall dieses Angemessenheitsbeschlusses bzw. dem bisherigen Fehlen eines solchen, muss eine der folgenden Kriterien für eine rechtmäßige Übermittlung vorliegen:

  1. Der Verantwortliche oder der Auftragsverarbeiter hat geeignete Garantien vorgesehen und für betroffene Personen stehen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung. (Art. 46 DSGVO)
  2. Es gibt verbindliche interne Datenschutzvorschriften. (Art. 47 DSGVO)
  3. Es liegt eine Einwilligung der betroffenen Person zur Datenübermittlung vor. (Art. 49 DSGVO)
  4. Die Übermittlung ist für die Erfüllung eines Vertrages oder vorvertraglichen Maßnahmen zwischen der betroffenen Person und dem Verantwortlichen notwendig. (Art. 49 DSGVO)

Daneben gibt es noch weitere Ausnahmen im Art. 49 DSGVO, die jedoch selten im Unternehmensalltag vorkommen.

In der Regel wird nun der 1. Fall durch die Unternehmen gewählt. Dies bedeutet, dass neue AV-Verträge (engl. DPA oder DPT) abgeschlossen werden müssen. Sie sollten nun die neuen Standardvertragsklauseln (engl. Standard Contractual Clauses, SCC), die am 04.06.2021 durch die EU Kommission veröffentlicht wurden, enthalten. Damit werden geeignete Garantien vertraglich fixiert und die Übermittlung erfolgt wieder rechtmäßig. Für neu abgeschlossene Verträge mit Organisationen aus Drittländern, für die kein Angemessenheitsbeschluss besteht, müssen ab dem 27.09.2021 die neuen Standardvertragsklauseln Bestandteil des Vertrages sein. Für Bestandsverträge haben Unternehmen bis zum 27.12.2022 Zeit zur Aktualisierung.

Einige Unternehmen haben bereits ihre Auftragsverarbeitungsbedingungen oder Verträge dahingehend aktualisiert und informieren derzeit darüber. Zu prüfen ist, ob die richtigen Standardvertragsklauseln in den neuen Verträgen verwendet werden. Die Verträge sollten zeitnah abgeschlossen werden, um die Übermittlung rechtssicher zu gestalten. Solche Verträge sollten stets gesichert und wiederauffindbar abgelegt werden. Einige Auftragsverarbeiter gestalten die Verträge so, dass nur einmalig oder stillschweigend durch Weiternutzung des neuen Dienstes den Vertragsbedingungen zugestimmt wird. Dennoch sollten die Verträge in jedem Fall heruntergeladen und abspeichert werden.

Zu prüfen ist, ob eine Unterschrift des Vertrages und die Rücksendung an den Dienstleister notwendig ist. Andernfalls kann es sein, dass gar kein Auftragsverarbeitungsvertrag abgeschlossen wurde, was eine unrechtmäßige Verarbeitung in den meisten Fällen darstellt. Der Vertragsabschluss wird in der Regel auch notwendig, wenn Daten in einem europäischen Rechenzentrum der Drittlandorganisation gespeichert werden. Die meisten Unternehmen können dabei (noch) nicht garantieren, dass keine Drittlandübermittlung stattfindet, wenn der Hauptsitz des Unternehmens in einem Drittland ohne Angemessenheitsbeschluss liegt.

Bei Fragen zu diesem Thema oder Ihrem speziellen Fall, wenden Sie sich gerne an unsere Datenschutzabteilung unter datenschutz@vimopro.de

Über den Autor

Samantha Sander ist für den Bereich Informationssicherheit bei vimopro verantwortlich. Sie entwickelt unter anderem das Informationssicherheitsmanagementkonzept für unsere Kunden und Dienstleistungen weiter. Sie ist als Informationssicherheitsbeauftragte, IT-Auditorin, Datenschutzbeauftragte und Beraterin tätig.
2,7 min readPublished On: 24.09.2021Kategorien: Blog, Datenschutz, SicherheitSchlagwörter: , , , , , , , ,
Nach oben