Neue Standardvertragsklauseln – Ablauf der Umsetzungsfrist: 27.12.2022

Datenschutzrecht-Blog

files g9aa791c8d 640Die Europäische Kommission hat im Juni 2021 neue Standardvertragsklauseln (SCC) beschlossen. Diese gelten seit dem 27.09.2021. Für Verträge, die vorher geschlossen wurden, gibt es eine Umstellungsfrist bis zum 27.12.2022.

(wir berichteten bereits zweimal:

https://www.dury.de/datenschutzrecht-blog/eu-kommission-veroeffentlicht-neue-standarddatenschutzklauseln-fuer-die-datenuebermittlung-ausserhalb-der-eu-jetzt-tom-s-anpassen

https://www.dury.de/datenschutzrecht-blog/scc-neue-standardvertragsklauseln-ab-27-09-2021-verpflichtend-dsgvo)

Was sind Standardvertragsklauseln?

Standardvertragsklauseln (auch Standarddatenschutzklauseln genannt) sind von der Europäischen Kommission verabschiedete Vertragsmuster, die die Vertragsparteien dazu verpflichten, ein mit der EU vergleichbares Datenschutzniveau einzuhalten.

SCC kommen zum Einsatz, wenn eine Übermittlung personenbezogener Daten in ein Land außerhalb der Europäischen Union (sogenanntes Drittland), wie beispielsweise die USA, erfolgt. In solchen Fällen sind eine geeignete Rechtsgrundlage gemäß der DSGVO und ein angemessenes Schutzniveau für den Empfänger notwendig. Dies wird durch den Nachweis einer geeigneten Garantie (vgl. Art. 46 DSGVO) sichergestellt. Eine solche Garantie sind z.B. SCC im Sinne des Art. 46 Abs. 2 lit. d DSGVO.

Bei einer unveränderten Verwendung der SCC,  braucht es für die Übermittlung keine Genehmigung. Für die Genehmigungsfreiheit reicht es gemäß Erwägungsgrund 109 der DSGVO auch aus, wenn die SCC in umfangreicheren Verträgen verwendet werden oder weitere Klauseln bzw. zusätzliche Garantien hinzugefügt werden. Diese dürfen jedoch nicht im Widerspruch zu den von der Kommission oder der Aufsichtsbehörde erlassenen Standardvertragsklauseln stehen oder Grundrechte der betroffenen Personen beschneiden.

Warum neue Standardvertragsklauseln? – Das Schrems II-Urteil

Grund für die neuen SCC ist das sogenannte Schrems II-Urteil des Europäischen Gerichtshofs (EuGH, Urteil vom 16.07.2020 – Rs. C 311_18).  In seinem Urteil hat der EuGH den Durchführungsbeschluss zum sogenannten „Privacy Shield“ für nicht anwendbar erklärt. Der „Privacy Shield“ sollte sicherstellen, dass das Datenschutzniveau in den USA und Europa gleichwertig ist. Die damals abgeschlossenen Standardvertragsklauseln waren nach Auffassung des EuGH nicht ausreichend, um das Schutzniveau zu sichern. Daher hat die EU-Kommission neue SCC erlassen, die nach Ansicht der Kommission auch die Anforderungen des Schrems II-Urteils erfüllt.

Zu beachten ist jedoch, dass der Unternehmer zusätzlich prüfen muss, ob das Drittland auch tatsächlich ein angemessenes Schutzniveau sicherstellt. Die Unterzeichnung eines Vertrages mit den neuen SCC schafft nicht automatisch eine rechtskonforme Vertragsgrundlage für den Datenexport. Auch die neuen SCC stellen somit kein ausreichendes Kriterium dar, um den Datentransfer in unsichere Drittstaaten zu ermöglichen.

Was wurde geändert?

Die neuen SCC sind nun modular aufgebaut. Hierbei können die neuen SCC nun in folgenden Konstellationen der Verarbeitung eingesetzt werden:

  • Modul 1: Verantwortlichen an Verantwortlicher
  • Modul 2: Verantwortlicher an Auftragsverarbeiter
  • Modul 3: Auftragsverarbeiter an Auftragsverarbeiter
  • Modul 4: Auftragsverarbeiter an Verantwortlicher

Klausel 15 beinhaltet nun „Pflichten des Datenimporteurs im Falle des Zugangs von Behörden zu den Daten“, die insbesondere Informationspflichten bei der behördlichen Abfrage oder dem verpflichtenden Vorgehen gegen solche Entscheidungen beinhaltet. Zudem verpflichten die Klauseln den Datenimporteur dazu, sämtliche Offenlegungsansprüche zu überprüfen und die rechtliche Beurteilung zu dokumentieren, sowie nur das notwendige Minimum zu übertragen.

Die neuen Standardvertragsklauseln finden Sie unter:

https://ec.europa.eu/info/sites/default/files/1_de_annexe_acte_autonome_cp_part1_v3.pdf

 

Fazit

Unternehmer, die personenbezogene Daten in Drittländer übermitteln (z.B. China oder USA), sollten nun prüfen, ob sie die neuen Standvertragsklauseln bereits verwenden oder noch alte Standardvertragsklauseln eingesetzt sind und ggf. austauschen müssen, da die Übergangsfrist Ende des Jahres abläuft. Zudem müssen Unternehmer eine sorgfältige Einzelfallprüfung des Datenschutzniveaus im Nicht-EU-Ausland vornehmen. Bei rechtswidrigen Datenübermittlungen in Drittstaaten könnten Datenschutzaufsichtsbehörden ggf. Geldbußen erlassen.

Gerne können wir Sie diesbezüglich auch beraten.

Co-Autor: Wissenschaftliche Mitarbeiterin – Stud. jur. Natalie De Agazio

Bildquelle: Bild von Ag Ku auf Pixabay