Die Standard-Vertragsklauseln (Standard Contractual Clauses) der EU Kommission sind vor allem bekannt als „Garantien“ für Drittland-Übermittlungen.
Dass es hier zwei grundsätzlich unterschiedliche Versionen gibt, ist den Profis klar.
Da aber immer wieder Menschen neu in den Bereich Datenschutz einsteigen (oder hinein geworfen werden), heute einfach mal ein kurzer Hinweis dazu.
Variante 1: Die Drittland-SCC
Wenn Daten in Länder außerhalb der EU und des EWR übermittelt werden sollen (oder wenn die Möglichkeit einer Offenlegung an Stellen in sog. Drittländern besteht), muss man u.a. auch prüfen, wie man Art. 44 DSGVO einhalten kann.
Eine häufig geeignete Weise dafür ist Art. 46 Abs. 2 lit. c DSGVO, vor allem wenn kein Angemessenheitsbeschluss nach Art. 45 DSGVO zu finden ist.
Hierfür kann man die sogenannten Standard-Vertragsklauseln für die Übermittlung in Drittländer verwenden (plus ein Transfer Impact Assessment gem. Klausel 14 darin).
Also das, was die EU-Kommission mit Beschluss 2021/914 vom 04. Juni 2021 in vier Modulen für die verschiedenen Anwendungsfälle veröffentlicht hat:
https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?locale=de
Im Prinzip ist das dann – bei Verwendung von Modul II – ein Auftragsverarbeitungsvertrag (DPA) zwischen „Controller“ in der EU und „Processor“ im Drittland, der in Kombination mit weiteren Regelungen ein angemessenes Datenschutzniveau im Drittland sicherstellen soll.
Variante 2: Die SCC innerhalb EU/EWR
Mit EU-Beschluss 2021/915 vom 04. Juni 2021 hat die EU-Kommission aber auch Standard-Vertragsklauseln gemäß Art. 28 Abs. 7 DSGVO zur Verfügung gestellt.
Hier findet man also einen Auftragsverarbeitungsvertrag (DPA) wie er nach Art. 28 Abs. 3 DSGVO in vielen Verarbeitungssituationen (innerhalb der Union) erforderlich ist:
https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32021D0915
Aufgemerkt!
Oft fällt es nur bei einer genauen Prüfung auf, welche Version vorliegt. Und diese Prüfung wird eben leider manchmal von Verantwortlichen nicht so wirklich sauber durchgeführt.
Eindeutiges Indiz dafür, dass Drittland-Transfers nicht abgesichert werden ist etwa, wenn die SCC-Klauseln im AV-Vertrag bei Nr. 10 enden.
Folge (und Risiko) dabei ist dann bei Drittland-Anbietern, dass eben keine entsprechende „Garantie“ gemäß Art. 44 ff DSGVO vorhanden ist und ein Verstoß angenommen werden muss.
Wer sich so richtig in das Thema einarbeiten will (oder muss), dem sei die Handreichung der Aufsichtsbehörde Baden-Württemberg empfohlen: https://www.baden-wuerttemberg.datenschutz.de/drittstaatentransfer-handreichung-kap-v-dsgvo/