Die EU-Kommission hat am 04. Juni 2021 neue Standardvertragsklauseln (Standard Contractual Clauses [SCC]) zur Absicherung von Datentransfers von personenbezogenen Daten in Drittländer verabschiedet. Ein Drittland ist nach der Datenschutz-Grundverordnung (DSGVO) jedes Land, welches nicht Mitglied der EU oder des Europäischen Wirtschaftsraumes ist. Auf Grundlage dieser neuen Standardvertragsklauseln können Unternehmen zukünftig Ihre Datentransfers sinnvoll absichern.

Vorgeschichte

Der Europäische Gerichtshof hat in seinem Urteil vom 16. Juli 2020 – Az. C-311/18 („Schrems II“) den bis zu diesem Zeitpunkt gültigen Angemessenheitsbeschluss der EU-Kommission über das EU-US Privacy Shield Abkommen zwischen der Europäischen Union und den Vereinigten Staaten von Amerika für ungültig erklärt. Auf Grundlage des EU-US Privacy Shield Abkommens konnten Unternehmen zuvor personenbezogene Daten in die Vereinigten Staaten von Amerika übermitteln, da eine geeignete Garantie für diese Datenübermittlung vorlag. Eine solche ist nach der DSGVO stets für Datenübermittlungen in Drittländer erforderlich.

Neben der Aufhebung des EU-US Privacy Shield Abkommens hat der Europäische Gerichtshof auch ausgeführt, dass die bisherigen EU-Standardvertragsklauseln alleine zur Absicherung von Drittlandtransfers unter Umständen nicht mehr ausreichen. Dies hat dazu geführt, dass Unternehmen die bisherigen EU-Standardvertragsklauseln um eigene Regelungen ergänzen mussten.

Neue EU-Standardvertragsklauseln

Die Entscheidung des Europäischen Gerichtshofs hat es notwendig gemacht, dass die EU-Kommission neue EU-Standardvertragsklauseln verabschiedet, die die vom EuGH aufgestellten Anforderungen erfüllen.

Die neuen EU-Standardvertragsklauseln können und sollten daher zukünftig von Unternehmen als Grundlage für Datenübermittlungen von personenbezogenen Daten in Drittländer genutzt werden.

Sofern die EU-Standardvertragsklauseln unverändert übernommen werden, ist auch keine Genehmigung einer Aufsichtsbehörde erforderlich. Die neuen EU-Standardvertragsklauseln sind – anders als die bisherigen – modular aufgebaut. Insgesamt sind vier verschiedene Datenübermittlungsvarianten vorgesehen:

1. MODUL EINS: Übermittlug von Verantwortlichen an Verantwortliche
2. MODUL ZWEI: Übermittlung von Verantwortlichen an Auftragsverarbeiter
3. MODUL DREI: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter
4. MODUL VIER: Übermittlung von Auftragsverarbeitern an Verantwortliche

Die bisherigen EU-Standardvertragsklauseln dürfen nach dem Beschluss der EU-Kommission noch bis September 2021 neu abgeschlossen werden. Diese Übergangsfrist dürfte dabei genug Zeit bieten, noch laufende Vertragsverhandlungen abzuschließen.

Sofern die bisherigen EU-Standardvertragsklauseln abgeschlossen wurden, so sind diese bis März 2023 durch die neuen EU-Standardvertragsklauseln zu ersetzen, da die bisherigen EU-Standardvertragsklauseln nach dieser Übergangszeit keine geeignete Garantie für eine Datenübermittlung in Drittländer mehr darstellen.

Was sollten Sie jetzt machen?

Sowohl Verantwortliche als auch Auftragsverarbeiter sollten ihre bestehenden datenschutzrechtlichen Verträge prüfen und – sofern keine geeigneten Garantien für die Datenübermittlung vorliegen – die neuen EU-Standardvertragsklauseln abschließen.
Die vom EuGH vorgesehene Einzelfallprüfung ist auch bei den neuen EU-Standardvertragsklauseln durchzuführen, da in Einzelfällen zusätzliche Schutzmaßnahmen erforderlich sein können. Dementsprechend ist diese Einzelfallprüfung in Klausel 14 der neuen EU-Standardvertragsklauseln fest verankert.

Gerne stehen wir Ihnen bei allen Fragen rund um das Thema Datenschutzrecht zur Verfügung. Rechtsanwalt und Fachanwalt für IT-Recht Kai Kinscher verfügt über viele Jahre Erfahrung in der datenschutzrechtlichen Beratung.