EU-Standardvertragsklauseln – Was interessiert mich das?

Och, in vielen Fällen eine ganze Menge. Seit dem 27.12.2022 (!) müssen die neuen EU-Standardvertragsklauseln genutzt
werden. Sind diese EU-Standardvertragsklauseln überhaupt nötig und wenn ja, für was oder wen?
Für eine Verarbeitung personenbezogener Daten ausschließlich innerhalb der EU werden keine EUStandardvertragsklauseln, oder auch SCCs genannt, benötigt. Aber, wenn Sie nun Daten an Anbieter übermitteln, die in
einem Drittland, wie bspw. der USA, sitzen, sind diese SCCs Pflicht und Sie sollten dringend den aktuellen Stand prüfen.
Die Praxis zeigt, dass diese Notwendigkeit manchmal sehr schnell zum Tragen kommen.
Es werden Tools eines Anbieters mit Sitz außerhalb der EU genutzt und personenbezogene Daten werden dann in dieses
Land übermittelt, wie bspw. bei Microsoft, AWS, Zoom, Mailchimp, Facebook, YouTube oder Instagram.
Hier der Status und Handlungsempfehlungen der größten Provider:
• Mailchimp
o Status offen
• Microsoft
(https://www.microsoft.com/-licensing/docs)
o Neue SCCs sind im Dokument „Microsoft Products and Services Data Protection Addendum“
eingebunden.
o Bestehende Verträge: der Vertrag muss aktiv geändert werden. Aktualisieren Sie dazu die bestehenden
Verträge über den Onlinedienst.
o Neuverträge:
Die neuen SCC gelten automatisch.
• Zoom
o Status offen
• AWS
(https://d1.awsstatic.com/-legal/aws-gdpr/AWS_GDPR_DPA.pdf)
o Neue SCCs sind im Dokument „AWS GDPR Data Processing Addendum“ eingebunden, die neuen SCCs
gelten automatisch.
• YouTube
o Status offen
• Facebook
(https://www.facebook.com/-legal/EU_data_transfer-_addendum/update)
o Neue SCCs sind im Dokument „Facebook-Vertragszusatz für die Übermittlung europäischer Daten“
eingebunden, aktuell nur „Processor to Processor“ (Modul 3) verfügbar, die neuen SCC gelten
automatisch.
• Instagram
o vgl. Facebook
• Google
(https://business.safety.google/-adsprocessorterms/sccs/)
o Neue SCCs sind in den Datenschutzbestimmungen eingebunden
o Bestehende Verträge: der Vertrag muss aktiv geändert werden.
o Neuverträge: Die neuen SCC gelten automatisch.
• Atlassian
• (https://www.atlassian.com/-legal/data-processing-addendum)
o Neue SCCs sind im Dokument „Data Processing Addendum“ eingebunden. der Vertrag muss aktiv
geändert werden.
o Hierzu müssen die Verträge von Ihnen heruntergeladen, unterschreiben und per Mail eingesendet
werden.
• Salesforce
( https://www.salesforce.com/-content/dam/web/en_us/-www/documents/legal/-Agreements/scc-amendment.pdf)
o Neue SCCs sind im Dokument „Data Processing Addendum“ eingebunden, der Vertrag muss aktiv
geändert werden.
o Das Dokument muss per E-Mail eingesendet werden.
Auch, wenn diese Prüfaufgabe alle Unternehmen betrifft, so müssen Auftragsverarbeiter dann vielleicht noch ein wenig
mehr hierauf Augenmerk haben, da hier sonst der Auftraggeber Stress machen kann.
Und nun?
Sie sollten schnellstmöglich handeln. Prüfen Sie bitte, welche Anbieter betroffen sind. Auch kann nicht ausgeschlossen
werden, dass man ggf. selbst aktiv werden muss. Auch, wenn es angeblich automatisch erfolgen sollte. Das kann bspw.
aufgrund der Art Ihrer Verträge anders sein.
Und dann kommt das „Salz in der Suppe“. Sie müssten dann eine Risikoabschätzung machen. Warum? Weil es nicht
ausreicht, wenn „nur“ die neuen SCCs vereinbart sind. Gem dem EuGH müssen weitere Garantien, wie bspw. eine
Verschlüsselung, vorhanden sein.
Und das Ganze muss natürlich dokumentiert werden.
Cyberrisiken im Home-Office. Ja, diese sind da und enorm!
Die Schäden für Cyberangriffe im Bereich des Home-Office liegen im höheren Milliardenbetrag. Warum? Die häusliche
Umgebung ist nun mal nicht die Umgebung des Unternehmens. Hier gibt es eine Vielzahl von Risiken, wie bspw. nicht
sichere Wlans, keine aktuellen Internetrouter oder die „schönen“ Smart-Pods, die alles hören und verarbeiten.
Was müssen Sie als Geschäftsführung machen?
Sie müssen Ihre Mitarbeiter*innen mit in die Verantwortung holen. Sie müssen sie sensibilisieren. Aber auch durch
Richtlinien und Vereinbarungen die Wichtigkeit zum Schutz Ihrer Daten aufzeigen.
Cyberattacken aus Dezember 2022 in Deutschland (Textliche Auszüge aus www.dsgvo-portal.de)
Vorab, es geht hier nicht ums „Angstmachen“. Vielmehr ist das Ziel die Sensibilisierung
 „So etwas ist ja auch bei uns vorgekommen.“
• Stadtverwaltung Potsdam / Stadtwerke Potsdam
Sämtliche Internetverbindungen wurden getrennt.
• ThyssenKrupp
Das Unternehmen hat die Bedrohung nach eigenen Angaben in einem frühen Stadium erkannt.
Laut dem aktuellen Stand war es den Angreifern nicht möglich, Daten herunterzuladen oder zu verändern.
• Universität Duisburg-Essen
Nach Angaben der Universität ist es auf ihren Systemen zur Verschlüsselung von Daten gekommen, sodass auf
den Einsatz von Ransomware geschlossen werden kann.
• H-Hotels
Angreifer sind in Teile des IT-Systems der Hotelkette eindrangen.
Europäische Bußgelder im Dezember 2022? (Textliche Auszüge von Dr-Datenschutz)
Es ist nur eine kleine Übersicht! Aber es sind praxisnahe Fälle, die ggf. auch bei Ihnen auftreten können.
• Setzen von Cookies ohne Einwilligung
Behörde: Commission Nationale de l’Informatique et des Libertés, Branche: Software-Entwickler
Verstoß: Art. 82 La loi Informatique et Libertés, Bußgeld: 60.000.000 Euro
• Verstöße gegen den Children’s Online Privacy Protection Act (COPPA)
Behörde: Federal Trade Commission, Branche: Softwareunternehmen
Verstoß: COPPA, Vergleichssumme: 275.000.000 US-Dollar
• Verstöße im Rahmen der Volkszählung 2021 in Portugal
Behörde: Comissão Nacional de Protecção de Dados, Branche: Nationales Institut
Verstoß: Art. 5 Abs. 1 lit. a) DSGVO, Art. 9 Abs. 1 DSGVO, Art. 12 DSGVO, Art. 13 DSGVO, Art. 28 Abs. 1, 6, 7
DSGVO, Art. 35 Abs. 1, 2 DSGVO, Art. 35 Abs. 3 lit. b) DSGVO, Art. 44 DSGVO, Art. 46 Abs. 2 DSGVO
Bußgeld: 4.300.000 Euro
• Verwenden einer veralteten Datenbank
Behörde: Garante per la protezione dei dati personali, Branche: Energieunternehmen
Verstoß: Art. 5 Abs. 1 lit. a), b), c), e) DSGVO, Art. 10 DSGVO, Art. 2 codice della privacy,
Bußgeld: 1.000.000 Euro
• mangelnde Transparenz
Behörde: Garante per la protezione dei dati personali, Branche: Softwareunternehmen
Verstoß: Art. 5 Abs. 1 lit. a), e), f) DSGVO, Art. 6 DSGVO, Art. 7 DSGVO, Art. 12 Abs. 1 DSGVO, Art. 13
DSGVO, Art. 14 DSGVO, Art. 27 DSGVO, Art. 28 DSGVO, Art. 32 DSGVO, Art. 35 DSGVO
Bußgeld: 2.000.000 Euro
Fazit?
Datenschutz ist vielleicht für den einen oder anderen ein weniger schönes Thema. Manche Unternehmen meinen auch,
dass sie den Datenschutz oder auch die Datensicherheit allein schaffen. Nein, das ist ein gefährlicher Irrglaube. Die stetig
ändernde Gesetzgebung oder auch die Nachteile der Digitalisierung zeigen das Gegenteil auf.
Sie haben Fragen? Melden Sie sich bitte bei uns! Es bleibt spannend!