Seit dem 27.09.2021 dürfen für international Datentransfers nur noch die neuen Standardvertragsklauseln verwendet werden. Für bereits bestehende Verträge gilt eine Übergangsfrist.
Hintergrund
Der EuGH hatte in der sogenannten Schrems II Entscheidung den Privacy Shield für Datentransfers zwischen der EU und den USA gekippt. Als wichtigste verbleibende datenschutzrechtliche Rechtsgrundlage für international Datentransfers verblieben somit noch die Standardvertragsklausen der EU. Diese hatten die Luxemburger Richter für (ggfs. mit zusätzlichen Schutzmaßnahmen) zulässig erachtet.
Die bisherigen Standardvertragsklauseln waren jedoch veraltet gewesen. Sie hatten weder die aktuelle Rechtsprechung des EuGH berücksichtigt noch waren sie für eine Vielzahl von Fallkonstellationen passend.
Neue Standardvertragsklauseln
Die EU-Kommission hat in einer Entscheidung vom 04.06.2021 aktualisierte Standardvertragsklauseln verabschiedet, welche die bisherigen ersetzen.
Die neuen Standardvertragsklauseln können weiterhin als Rechtsgrundlage für internationale Datentransfers zwischen beliebigen Beteiligten fungieren. Werden sie nicht verändert, bedürfen sie auch künftig nicht der Genehmigung durch die Datenschutzbehörden.
Neu enthalten sind vor allem erweiterte Pflichten der Vertragspartner und ergänzte Betroffenenrechte. Künftig können sich Betroffene, deren Daten in ein Drittland übermittelt werden, auf einige Klauseln unmittelbar gegenüber den Datenexporteuren berufen. Dies dürfte für die Unternehmen zu einer zunehmenden Zahl an Betroffenenanfragen führen. Auch haften künftig sowohl Datenimporteur als auch Datenexporteur für materiellen und immateriellen Schäden von Betroffenen als Gesamtschuldner.
Die neuen Standardvertragsklauseln berücksichtigen künftig folgende Konstellationen
- Verantwortlicher (Datenexporteur) – anderer Verantwortlicher im Drittland (Datenimporteur)
- Verantwortlicher, (Datenexporteur) – Auftragsverarbeiter im Drittland (Datenimporteur)
- Auftragsverarbeiter in der EU (Datenexporteur) – Unterauftragsverarbeiter im Drittland (Datenimporteur)
- Auftragsverarbeiter in der EU (Datenexporteuer) – Auftraggeber (Verantwortlicher) im Drittland (Datenimporteur)
Seit dem 27.09.2021 dürfen für neue Verträge nur noch die neuen Standardvertragsklauseln verwendet werden. Dies gilt auch für den Fall von Anpassungen bestehender Verträge. Bereits bestehende Verträge müssen ansonsten bis spätestens zum 27.12.2022 auf die neuen Standardvertragsklauseln umgestellt werden.
Fazit
Für Unternehmen die international Datentransfers von personenbezogenen Daten haben, besteht Handlungsbedarf. Die neuen Regelungen schaffen erhöhte Anforderungen an die Unternehmen die Daten in Drittländer exportieren. Da nahezu jedes Unternehmen unmittelbar oder mittelbar auch auf Anbieter aus Drittstaaten (insbesondere USA) zurückgreift, müssen diese zeitnah mit der Umstellung bestehender Verträge beginnen.
Zudem kann einzelvertraglich ggfs. ein umfangreicherer Schutz geregelt werden. Dies erscheint im Hinblick auf die strenge Rechtsprechung des EuGH zumindest bei bestimmten Konstellationen sinnvoll. Solchen zusätzlichen Vereinbarungen stehen die neuen Standardvertragsklauseln grundsätzlich nicht entgegen, sofern diese Vereinbarungen weder unmittelbar noch mittelbar im Widerspruch zu den Standarddatenschutzklauseln stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneiden.
Artikel als PDF speichern