Zum Inhalt springen
Home » Datenschutz-News » Neue Standardvertragsklauseln zum Datentransfer beschlossen

Neue Standardvertragsklauseln zum Datentransfer beschlossen

Die bisherigen Standardvertragsklauseln (engl.: Standard Contractual Clauses; SCC) stammen aus einer Zeit lange vor der Datenschutzgrundverordnung (DSGVO). Entsprechend sind sie maßlos veraltet und berücksichtigen zentrale Aspekte der DSGVO nicht. Daher hat die EU-Kommission an neuen Standardvertragsklauseln gearbeitet und Ende 2020 einen ersten Entwurf vorgelegt. Nun wurde der Entwurf als neue Regelung angenommen und die neuen SCCs wurden veröffentlicht. 

Warum sind Standardvertragsklauseln wichtig? 

Soll eine Datenübermittlung in ein Land außerhalb der EU oder des EWR erfolgen, muss das verantwortliche Unternehmen sicherstellen, dass das Datenschutzniveau im Zielland mit dem der EU vergleichbar ist. Wenn kein Angemessenheitsbeschluss der EU-Kommission existiert, sind hierfür die Standardvertragsklauseln das bisher gängigste Instrument. Die EU-Kommission beabsichtigt die SCC an die EuGH-Rechtsprechung zu Schrems-II anzupassen und die Anforderungen der europäischen Datenschutzgrundverordnung in den SCC zu berücksichtigen. Ein erster Entwurf für die Klauseln wurde am 12. November 2020 zur öffentlichen Konsultation veröffentlicht. 

Veröffentlichung erfolgte am 04.06.2021

Diese wurden nun am 04. Juni 2021 endgültig von der EU-Kommission angenommen und veröffentlicht.  Damit ist dies für Datentransfers in Drittstaaten, vor allem in die USA, nach Wegfall des EU-U.S.-Privacy Shields von großer Bedeutung.  

NEU: Modularer Ansatz bringt Flexibilität

Die neuen Standardvertragsklauseln verfolgen einen modularen Ansatz. Das hat den Vorteil, dass die bisherigen gestückelten Regelungen in einer Vorlage zusammengefasst werden. Zudem hat die Kommission Konstellationen berücksichtigt, die bisher nicht über die Standardvertragsklauseln abgedeckt waren. 

Die neuen SCCs berücksichtigen nun auch Unterauftragsverhältnisse und vereinfachen sie Vertragsschlüsse in diesem Bereich. So kann mit den neuen SCCs eine Kopplungsklausel vereinbart werden, die ein einfaches Beitreten weiterer Stellen zu den Standardvertragsklauseln vorsieht.  

Vorschriften zur Sicherheit 

Erstmals liegen Regelungen zu angemessenen Garantien für die Datensicherheit bei Drittstaatentransfers vor, die durch den Datenimporteur zu erfolgen haben.  

Auch wird geregelt, wie mit einem rechtsverbindlichen Ersuchen einer Behörde im Drittland auf Herausgabe der personenbezogenen Daten umzugehen ist. Bei solch einer Datenabfrage sind die Betroffenen unverzüglich vom Datenimporteur zu informieren. Dabei sind dem Betroffenen Details zu den angeforderten personenbezogenen Daten, das anfragende Amt, die Rechtsgrundlage für den Antrag und die dazu erteilte Antwort mitzuteilen. Des Weiteren soll die Daten beziehende Stelle ggf. „alle verfügbaren Rechtsmittel zur Anfechtung des Antrags“ ausschöpfen. 

Hierzu wurde in die neuen SCCs auch übernommen, dass Unternehmen eine detaillierte Analyse der Gesetze des Ziellandes vornehmen müssen. Danach müssen die Parteien dokumentiert prüfen, ob „geltende Rechtsvorschriften und Gepflogenheiten im Bestimmungsdrittland, einschließlich Anforderungen zur Offenlegung personenbezogener Daten oder Maßnahmen, die öffentlichen Behörden den Zugang zu diesen Daten gestatten,“ der Einhaltung der Datenschutzvorschriften entgegenstehen. 

Gibt es Übergangsfristen für die neuen Klauseln? 

Mit Inkrafttreten der neuen SCCs hat der Gesetzgeber auch geregelt, dass die bisherigen Vertragsklauseln zum 27.09.2021 grundsätzlich nicht mehr gelten. Wer die alten SCCs jedoch einsetzt bekommt eine Übergangsfrist von weiteren 15 Monaten gewährt in denen bereits geschlossene SCC weiterhin verwendet werden dürfen. Nach Ablauf der Übergangsfrist können die alten Vertragsklauseln nicht mehr genutzt werden.  

Fazit 

Die neuen Standardvertragsklauseln sind sehr begrüßenswert. Sie aktualisieren völlig veraltete Regelwerke und bringen sie auf den Stand der Datenschutzgesetze. Unternehmen sollten jetzt darauf achten, dass sie bereits geschlossene SCCs auf die neuen Vertragsklauseln umstellen. Hierfür sollten bei den jeweiligen Dienstleistern die neuen SCCs angefragt werden. Es ist davon auszugehen, dass insbesondere große Dienstleister proaktiv eine Änderung vornehmen werden, jedoch sollten Unternehmen nicht blind darauf vertrauen.  

Das große Problem – nämlich Datentransfers in die USA – wird damit jedoch nicht gelöst. Aufgrund der Pflicht zur Überprüfung der Gesetze im Zielland können die Standardvertragsklauseln nicht einfach unterzeichnet und in die Schublade gelegt werden. Sie stellen ein kompliziertes und umfangreiches Instrument dar. Am Beispiel USA wird die Prüfung trotz der neuen SCCs regelmäßig zu dem Ergebnis führen, dass der Datenschutz nicht mit den Gesetzen der USA vereinbar ist. 

Update vom 22.06.2021

Die Datenschutzkonferenz (DSK) – ein Zusammenschluss aller deutschen Aufsichtsbehörden – hat am 21.06.2021 eine Pressemitteilung zu den neuen Standardvertragsklauseln veröffentlicht. Auch die DSK weist darauf hin, dass die neuen Standardvertragsklauseln in Bezug auf US-Datentransfers keine Änderungen zur Folge haben:

An der beschriebenen Situation und den sich daraus ergebenden Verpflichtungen hat sich durch die neuen Standardvertragsklauseln nichts geändert. Diese regeln die bisher nur aus der Rechtsprechung des EuGH folgenden Anforderungen nun vielmehr ausdrücklich.“

Pressemitteilung der Datenschutzkonferenz vom 21.06.2021

Bildernachweis für diesen Beitrag © tauav– stock. adobe. com