Moderne Standardvertragsklauseln für eine veränderte Datenschutzlandschaft
Da sich die Nutzung personenbezogener Daten in den letzten 20 Jahren drastisch verändert hat, mussten neue Modellklauseln erstellt werden.
Die Welt des Datenschutzes entwickelt sich in rasantem Tempo weiter. Nach bahnbrechenden Änderungen durch die Verabschiedung der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 und das Schrems-Urteil im Juli 2020, das den US-EU Privacy Shield ungültig machte, stand fest, dass die EU dringend den Wortlaut der Standardvertragsklauseln (Standard Contractual Clauses, „SCC" oder „Modellklauseln") aktualisieren musste. Im Juni 2021 wurden neue Modellklauseln festgelegt. Die Formulierungen dieser Modellklauseln wurden von der Europäischen Kommission genehmigt und können als Standardbedingungen zu Datenschutz und Datenübermittlung in Verträgen verwendet werden, die die Verarbeitung personenbezogener Daten aus der EU bei der Übermittlung in Länder außerhalb der EU regeln.
2001 wurden die ersten Modellklauseln (Controller-to-Controller) eingeführt. Seither wurden die Klauseln weiterentwickelt, ergänzt und einige Male überarbeitet. Da sich die Nutzung personenbezogener Daten in den letzten 20 Jahren jedoch drastisch verändert hat, mussten neue Modellklauseln erstellt werden. Die neuen Modellklauseln sind für Datenverarbeiter und -verantwortliche konzipiert und bieten beiden Gruppen Formulierungen zur Regelung der Übermittlung und des Schutzes personenbezogener Daten.
Die Klauseln sind in Gruppen mit bestimmtem Wortlaut zusammengefasst, die für die jeweilige Rolle bei der Datenübermittlung bestimmt sind. Dieser modulare Ansatz lässt jede Kombination von Auftragsverarbeitern und für die Verarbeitung Verantwortlichen zu, die an einer Datenübermittlung beteiligt sind, und schließt sogar die Möglichkeit ein, dass mehr als zwei Parteien beteiligt sind. Darüber hinaus gibt es Verbesserungen, die es ermöglichen, weitere Parteien in den Vertragsrahmen einzubeziehen („Docking Clause" für das „Andocken weiterer Parteien").
Die aktualisierten SCC stehen im Einklang mit den grundlegenden Rechten des Einzelnen gemäß der DSGVO und können Datenübermittlungen in einer Vielzahl von Umständen bezüglich des geografischen Standorts der betroffenen Personen, Verarbeitern und Verantwortlichen gerecht werden. Auch beinhalten die Modellklauseln bestimmte Formulierungen, die die Anforderungen nach Schrems II bezüglich der lokalen Gesetze und des Datenzugriffs für öffentliche Behörden erfüllen. Dazu gehört eine Standard-Toolbox mit Vertragssprache, die sich mit Urteil über internationale Datentransfers („Schrems II") befasst und als Ausgangspunkt dienen kann. Darauf aufbauend enthalten die Modellklauseln auch verschiedene ergänzende Klauseln in Bezug auf spezifische technische Sicherheitsmaßnahmen wie die Verschlüsselung oder pseudonymisierte Daten.
Unternehmen müssen neue und alte Verträge anpassen
Unternehmen, die auf Verträge zur Verwaltung der Übermittlung oder Nutzung von Daten von Kunden oder Mitarbeiterinnen in EU-Ländern angewiesen sind, müssen rasch handeln. In neuen Verträgen müssen diese neuen Formulierungen sofort verwendet werden, und Altverträge müssen bis zum 27. Dezember 2022 aktualisiert werden. Damit bleibt Unternehmen nur sehr wenig Zeit, ihre Vertragsbibliothek zu analysieren, Klauseln im Zusammenhang mit Datenübermittlungen zu bestimmen, sie richtig zu kategorisieren und den neuen Modellklauseln zu übernehmen.
Interne Rechtsteams und externe Rechtsberater und -beraterinnen müssen einen Weg finden, die Arbeit effizient zu erledigen, um die Fristen einzuhalten.
Bei den neuen Modellklauseln handelt es sich um umfangreiche Dokumente mit überwiegend standardisiertem Text. Die Klauseln enthalten zahlreiche Felder, die mit vertragsspezifischen Informationen ausgefüllt werden müssen – Namen des Datenverarbeiters und -verantwortlichen, die Art der verarbeiteten Daten, andere relevante Parteien usw. Es kann sehr zeitaufwändig sein, alle Seiten zu durchsuchen, um die richtige Stelle für diese Informationen zu finden. In großem Umfang kann dies zu einem ineffizienten Umgang mit wichtigen Vertragsressourcen führen.
Unternehmen mit globalem Geschäft müssen zahlreiche Verträge über die Datenverarbeitung mit Anbietern und Lieferanten aktualisieren und erneut unterzeichnen. Vertrags- und Beschaffungsteams müssen eine Strategie zur effizienten Aktualisierung des Wortlauts in einzelnen Verträgen festlegen oder einen optimalen Prozess zur Aktualisierung von Klauseln in großem Maßstab entwickeln.
Verträge mit neuen Klauseln aktualisieren
Damit auch wirklich alle Verträge mit den neuen Modellklauseln aktualisiert werden, kann ein einfacher, linearer Korrekturprozess zur Anwendung kommen. Die verantwortlichen Teams müssen die nötigen Tools und Verfahren zur Hand haben, um die folgenden Arbeitsschritte ausführen zu können:
Relevante Daten ermitteln/sammeln: Die Teams müssen alle relevanten Verträge und unterstützenden Belege erfassen. Das geschieht am besten, wenn alle Dokumente als ähnliche Dateitypen gespeichert und an ähnlichen Speicherorten abgelegt sind. Durch Minimierung der Unterschiede zwischen Dokumenten wird die Analyse wesentlich vereinfacht.
Risiko bewerten: Sobald alle relevanten Dokumente zusammengestellt und erfasst wurden, müssen die Vertragsspezialisten die vorhandenen Informationen analysieren, um Chancen, Risiken oder nötige Aktualisierungen zu ermitteln.
Risiko planen und kategorisieren: Nach der Analyse müssen die Teams die Verträge nach den zu erledigenden Aufgaben in Gruppen einordnen. Dabei ist es auch wichtig, die Verträge zu kennzeichnen, die sofortige Maßnahmen erfordern, bzw. diejenigen, die warten können.
Laufende Kommunikation: Der Prozess der Vertragsaktualisierung sollte für alle Beteiligten so transparent wie möglich sein. Es ist wichtig, betroffene Parteien über Feststellungen aus der Vertragsanalyse zu informieren und sie über bevorstehende Aktivitäten auf dem Laufenden zu halten.
Verträge ändern und verhandeln: Alle beteiligten Parteien müssen sich auf die Bedingungen eines neuen Vertrags einigen, einschließlich der aktualisierten Modellklauseln.
Verträge unterzeichnen: Die Aktualisierungen sind mit Signaturen zu versehen, um die Verträge abzuschließen.
Prozess verfolgen: Es wird eine angemessene Frequenz zur Überprüfung der Fortschritte mit Blick auf neue Verpflichtungen festgelegt. Dabei muss ein Verständnis dafür bestehen, welche Parteien spezifische Änderungen vornehmen müssen, und diese Parteien müssen dann für die Einhaltung der neuen Verpflichtungen in die Verantwortung genommen werden.
So kann Docusign helfen
Docusign bietet einige der fortschrittlichsten Tools auf dem Markt, die Vertragsteams bei der Aktualisierung von Vertragsvorlagen, der Überprüfung bestehender Dokumente und der Durchführung umfassender Änderungen unterstützen. Diese Tools eignen sich besonders für Teams, die weitreichende Revisionen bei einem hohen Vertragsvolumen effektiv verwalten möchten. Es folgt eine kurze Übersicht über einige innovative Lösungen, die Sie im Zusammenhang mit den aktualisierten Modellklauseln für Ihr Team in Betracht ziehen können.
Elektronische Signatur: Ob neue Verträge abgeschlossen oder aktualisierte Vereinbarungen überarbeitet werden müssen– Dokumente mit den neuen SCC müssen unterzeichnet werden, damit sie in Kraft treten. Mit Docusign eSignature lassen sich Verträge am schnellsten und einfachsten mit einer beliebigen Anzahl von Unterzeichnern weltweit abschließen.
Vertragsanalysen: Der schnellste Weg, bestehende Verträge auf die Einhaltung neuer rechtlicher Vorschriften zu analysieren, sind KI-Technologien (künstliche Intelligenz). Docusign Insight kombiniert natürliche Sprachverarbeitung, maschinelles Lernen und regelbasierte Logik, um Verträge schnell zu finden, zu filtern und zu analysieren.
Contract Lifecycle Management: Optimieren Sie den Vertragszyklus durch die Verbindung von End-to-End-Prozessen mit Docusign CLM. Nutzen Sie intelligentes Vertragsmanagement zur Automatisierung manueller Aufgaben, Abschaffung unnötiger manueller Arbeiten, Abstimmung komplexer Abläufe, Vermeidung von Fehlern und Senkung von Risiken.
Geführte Formulare: Anstatt den gesamten Text jeder neuen Klausel zu lesen, die in einen Vertrag aufgenommen werden muss, bieten Guided Forms bzw. geführte Formulare eine schrittweise Vorgehensweise, die schnell zwischen den nicht standardisierten Abschnitten eines Vertrags wechselt. Mit Guided Forms können Vertragsspezialisten umgehend Formulare erstellen, die nur die für eine aktualisierte Modellklausel erforderlichen Angaben erfassen und entscheiden, wie viel Zeit mit den nicht relevanten Standardabschnitten verbracht wird.
Clickwrap-Vereinbarungen: In einigen Unternehmen müssen Lieferanten und Kunden aufgrund der aktualisierten Modellklauseln neuen Bedingungen zustimmen, insbesondere bei Verträgen zur Datenverarbeitung. Docusign Click bietet Verbrauchern eine nahtlose, eingebettete Umgebung, in der sie neuen Bedingungen mit einem einzigen Klick zustimmen können. Informationen darüber, welche Kunden bestimmten Bedingungen zugestimmt haben und wann sie dies getan haben, werden in einem detaillierten Auditverlauf verzeichnet.
Docusign verwendet Binding Corporate Rules
Dieser Artikel richtet sich an Organisationen, die sich für die Verwendung von Standardvertragsklauseln als anwendbares Datenübermittlungsverfahren gemäß Artikel 46(2)(c) der Datenschutz-Grundverordnung (DSGVO) entscheiden. Es sollte jedoch hervorgehoben werden, dass auch andere Datenübermittlungsverfahren gemäß Artikel 46(2) der DSGVO anerkannt sind, insbesondere die verbindlichen unternehmensinternen Vorschriften (Binding Corporate Rules - BCR). BCRs werden weithin als "Goldstandard" für die Übermittlung personenbezogener Daten angesehen, da die EU-Regulierungsbehörden bei der Genehmigung von BCRs von Fall zu Fall eine strenge Prüfung vornehmen. Docusign ist stolz darauf, sein Engagement für den Datenschutz zu beweisen, indem es eine der wenigen Organisationen weltweit ist, die über genehmigte BCRs verfügen.
Kunden können sich auf die BCR von Docusign als genehmigten Datenübermittlungsverfahren in Bezug auf die Nutzung von Docusign Services zur Verarbeitung ihrer personenbezogenen Daten verlassen.
*Dieser Blog dient allgemeinen Informationszwecken. Er ist weder als Rechtsberatung gedacht, noch kann er diese ersetzen.
Ähnliche Beiträge