Blog
Startseite/
Einblicke für Führungskräfte

Moderne Standardvertragsklauseln für eine veränderte Datenschutzlandschaft 

Zusammenfassung9 Min. Lesezeit

Da sich die Nutzung personenbezogener Daten in den letzten 20 Jahren drastisch verändert hat, mussten neue Modellklauseln erstellt werden.

Inhaltsverzeichnis

de-DE

Die Welt des Datenschutzes entwickelt sich in rasantem Tempo weiter. Nach bahnbrechenden Änderungen durch die Verabschiedung der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 und das Schrems-Urteil im Juli 2020, das den US-EU Privacy Shield ungültig machte, stand fest, dass die EU dringend den Wortlaut der Standardvertragsklauseln (Standard Contractual Clauses, „SCC" oder „Modellklauseln") aktualisieren musste. Im Juni 2021 wurden neue Modellklauseln festgelegt. Die Formulierungen dieser Modellklauseln wurden von der Europäischen Kommission genehmigt und können als Standardbedingungen zu Datenschutz und Datenübermittlung in Verträgen verwendet werden, die die Verarbeitung personenbezogener Daten aus der EU bei der Übermittlung in Länder außerhalb der EU regeln.

2001 wurden die ersten Modellklauseln (Controller-to-Controller) eingeführt. Seither wurden die Klauseln weiterentwickelt, ergänzt und einige Male überarbeitet. Da sich die Nutzung personenbezogener Daten in den letzten 20 Jahren jedoch drastisch verändert hat, mussten neue Modellklauseln erstellt werden. Die neuen Modellklauseln sind für Datenverarbeiter und -verantwortliche konzipiert und bieten beiden Gruppen Formulierungen zur Regelung der Übermittlung und des Schutzes personenbezogener Daten.

Die Klauseln sind in Gruppen mit bestimmtem Wortlaut zusammengefasst, die für die jeweilige Rolle bei der Datenübermittlung bestimmt sind. Dieser modulare Ansatz lässt jede Kombination von Auftragsverarbeitern und für die Verarbeitung Verantwortlichen zu, die an einer Datenübermittlung beteiligt sind, und schließt sogar die Möglichkeit ein, dass mehr als zwei Parteien beteiligt sind. Darüber hinaus gibt es Verbesserungen, die es ermöglichen, weitere Parteien in den Vertragsrahmen einzubeziehen („Docking Clause" für das „Andocken weiterer Parteien").

Die aktualisierten SCC stehen im Einklang mit den grundlegenden Rechten des Einzelnen gemäß der DSGVO und können Datenübermittlungen in einer Vielzahl von Umständen bezüglich des geografischen Standorts der betroffenen Personen, Verarbeitern und Verantwortlichen gerecht werden. Auch beinhalten die Modellklauseln bestimmte Formulierungen, die die Anforderungen nach Schrems II bezüglich der lokalen Gesetze und des Datenzugriffs für öffentliche Behörden erfüllen. Dazu gehört eine Standard-Toolbox mit Vertragssprache, die sich mit Urteil über internationale Datentransfers („Schrems II") befasst und als Ausgangspunkt dienen kann. Darauf aufbauend enthalten die Modellklauseln auch verschiedene ergänzende Klauseln in Bezug auf spezifische technische Sicherheitsmaßnahmen wie die Verschlüsselung oder pseudonymisierte Daten.

Unternehmen müssen neue und alte Verträge anpassen

Unternehmen, die auf Verträge zur Verwaltung der Übermittlung oder Nutzung von Daten von Kunden oder Mitarbeiterinnen in EU-Ländern angewiesen sind, müssen rasch handeln. In neuen Verträgen müssen diese neuen Formulierungen sofort verwendet werden, und Altverträge müssen bis zum 27. Dezember 2022 aktualisiert werden. Damit bleibt Unternehmen nur sehr wenig Zeit, ihre Vertragsbibliothek zu analysieren, Klauseln im Zusammenhang mit Datenübermittlungen zu bestimmen, sie richtig zu kategorisieren und den neuen Modellklauseln zu übernehmen.

Interne Rechtsteams und externe Rechtsberater und -beraterinnen müssen einen Weg finden, die Arbeit effizient zu erledigen, um die Fristen einzuhalten.

Bei den neuen Modellklauseln handelt es sich um umfangreiche Dokumente mit überwiegend standardisiertem Text. Die Klauseln enthalten zahlreiche Felder, die mit vertragsspezifischen Informationen ausgefüllt werden müssen – Namen des Datenverarbeiters und -verantwortlichen, die Art der verarbeiteten Daten, andere relevante Parteien usw. Es kann sehr zeitaufwändig sein, alle Seiten zu durchsuchen, um die richtige Stelle für diese Informationen zu finden. In großem Umfang kann dies zu einem ineffizienten Umgang mit wichtigen Vertragsressourcen führen.

Unternehmen mit globalem Geschäft müssen zahlreiche Verträge über die Datenverarbeitung mit Anbietern und Lieferanten aktualisieren und erneut unterzeichnen. Vertrags- und Beschaffungsteams müssen eine Strategie zur effizienten Aktualisierung des Wortlauts in einzelnen Verträgen festlegen oder einen optimalen Prozess zur Aktualisierung von Klauseln in großem Maßstab entwickeln.

Verträge mit neuen Klauseln aktualisieren

Damit auch wirklich alle Verträge mit den neuen Modellklauseln aktualisiert werden, kann ein einfacher, linearer Korrekturprozess zur Anwendung kommen. Die verantwortlichen Teams müssen die nötigen Tools und Verfahren zur Hand haben, um die folgenden Arbeitsschritte ausführen zu können:

  • Relevante Daten ermitteln/sammeln: Die Teams müssen alle relevanten Verträge und unterstützenden Belege erfassen. Das geschieht am besten, wenn alle Dokumente als ähnliche Dateitypen gespeichert und an ähnlichen Speicherorten abgelegt sind. Durch Minimierung der Unterschiede zwischen Dokumenten wird die Analyse wesentlich vereinfacht.

  • Risiko bewerten: Sobald alle relevanten Dokumente zusammengestellt und erfasst wurden, müssen die Vertragsspezialisten die vorhandenen Informationen analysieren, um Chancen, Risiken oder nötige Aktualisierungen zu ermitteln.

  • Risiko planen und kategorisieren: Nach der Analyse müssen die Teams die Verträge nach den zu erledigenden Aufgaben in Gruppen einordnen. Dabei ist es auch wichtig, die Verträge zu kennzeichnen, die sofortige Maßnahmen erfordern, bzw. diejenigen, die warten können.

  • Laufende Kommunikation: Der Prozess der Vertragsaktualisierung sollte für alle Beteiligten so transparent wie möglich sein. Es ist wichtig, betroffene Parteien über Feststellungen aus der Vertragsanalyse zu informieren und sie über bevorstehende Aktivitäten auf dem Laufenden zu halten.

  • Verträge ändern und verhandeln: Alle beteiligten Parteien müssen sich auf die Bedingungen eines neuen Vertrags einigen, einschließlich der aktualisierten Modellklauseln.

  • Verträge unterzeichnen: Die Aktualisierungen sind mit Signaturen zu versehen, um die Verträge abzuschließen.

  • Prozess verfolgen: Es wird eine angemessene Frequenz zur Überprüfung der Fortschritte mit Blick auf neue Verpflichtungen festgelegt. Dabei muss ein Verständnis dafür bestehen, welche Parteien spezifische Änderungen vornehmen müssen, und diese Parteien müssen dann für die Einhaltung der neuen Verpflichtungen in die Verantwortung genommen werden.

So kann Docusign helfen

Docusign bietet einige der fortschrittlichsten Tools auf dem Markt, die Vertragsteams bei der Aktualisierung von Vertragsvorlagen, der Überprüfung bestehender Dokumente und der Durchführung umfassender Änderungen unterstützen. Diese Tools eignen sich besonders für Teams, die weitreichende Revisionen bei einem hohen Vertragsvolumen effektiv verwalten möchten. Es folgt eine kurze Übersicht über einige innovative Lösungen, die Sie im Zusammenhang mit den aktualisierten Modellklauseln für Ihr Team in Betracht ziehen können.

Docusign verwendet Binding Corporate Rules

Dieser Artikel richtet sich an Organisationen, die sich für die Verwendung von Standardvertragsklauseln als anwendbares Datenübermittlungsverfahren gemäß Artikel 46(2)(c) der Datenschutz-Grundverordnung (DSGVO) entscheiden. Es sollte jedoch hervorgehoben werden, dass auch andere Datenübermittlungsverfahren gemäß Artikel 46(2) der DSGVO anerkannt sind, insbesondere die verbindlichen unternehmensinternen Vorschriften (Binding Corporate Rules - BCR). BCRs werden weithin als "Goldstandard" für die Übermittlung personenbezogener Daten angesehen, da die EU-Regulierungsbehörden bei der Genehmigung von BCRs von Fall zu Fall eine strenge Prüfung vornehmen. Docusign ist stolz darauf, sein Engagement für den Datenschutz zu beweisen, indem es eine der wenigen Organisationen weltweit ist, die über genehmigte BCRs verfügen.

Kunden können sich auf die BCR von Docusign als genehmigten Datenübermittlungsverfahren in Bezug auf die Nutzung von Docusign Services zur Verarbeitung ihrer personenbezogenen Daten verlassen.

*Dieser Blog dient allgemeinen Informationszwecken. Er ist weder als Rechtsberatung gedacht, noch kann er diese ersetzen.

Ähnliche Beiträge

  • Einhaltung der DORA-Vorschriften mit Docusign: Sicherstellung der digitalen operationalen Resilienz für Finanzdienstleistungen
    Einblicke für Führungskräfte

    Einhaltung der DORA-Vorschriften mit Docusign: Sicherstellung der digitalen operationalen Resilienz für Finanzdienstleistungen

    Author Tobias S.
    Tobias S.
  • es-MX
    Einblicke für Führungskräfte

    Lizenzverträge: Alles Wichtige auf einen Blick!

    Author Tobias S.
    Tobias S.
  • LLC Operating Agreement: Das müssen Sie wissen
    Einblicke für Führungskräfte

    LLC Operating Agreement: Das müssen Sie wissen

    Author Tobias S.
    Tobias S.
Einhaltung der DORA-Vorschriften mit Docusign: Sicherstellung der digitalen operationalen Resilienz für Finanzdienstleistungen
Einblicke für Führungskräfte

Einhaltung der DORA-Vorschriften mit Docusign: Sicherstellung der digitalen operationalen Resilienz für Finanzdienstleistungen

Author Tobias S.
Tobias S.
es-MX
Einblicke für Führungskräfte

Lizenzverträge: Alles Wichtige auf einen Blick!

Author Tobias S.
Tobias S.
LLC Operating Agreement: Das müssen Sie wissen
Einblicke für Führungskräfte

LLC Operating Agreement: Das müssen Sie wissen

Author Tobias S.
Tobias S.

Entdecken Sie die Neuheiten von Docusign IAM oder starten Sie kostenlos mit eSignature

Entdecken Sie Docusign IAMTesten Sie eSignature kostenlos
Person smiling while presenting