Datenschutz-Nachrichten

Neue Standardvertragsklauseln – Was Sie jetzt tun müssen

Neue Standardvertragsklauseln – Was Sie jetzt tun müssen

Von Timo Schutt 22. November 2021

Die neuen Standardvertragsklauseln sind da

Wussten Sie schon? Die neuen Standardvertragsklauseln sind da. Darauf haben Datenschützer seit dem so genannten “Schrems II”-Urteil des Europäischen Gerichtshofs (EuGH) gewartet.

Am 04.06.2021 veröffentlichte die EU-Kommission ihren Durchführungsbeschluss über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer (siehe Durchführungsbeschluss (EU) 2021/914 der EU Kommission). Damit werden die aus Vor-DSGVO-Zeiten stammenden bisherigen Standardvertragsklauseln abgelöst.

Wer warum jetzt handeln muss

Wen das betrifft? Jedes Unternehmen, das personenbezogene Daten nicht ausschließlich innerhalb der EU bzw. des Europäischen Wirtschaftsraums (EWR) verarbeitet. Und das dürfte geschätzt jedes Unternehmen sein.

Warum? Weil schon die Nutzung eines Cloud-Dienstes (Dropbox, Google Drive, OneDrive o.ä.), die Nutzung von Microsoft 365 (ehemals Office 365), der Betrieb einer Facebook Fanpage, das mit Apple iOS oder Google Android betriebene Diensthandy uvm. eine Datenübermittlung aus dem EWR hinaus zwingend mit sich bringt.

Unternehmen kommen schlicht nicht um den Datentransfer insbesondere (aber nicht nur) in die USA herum.

Solche Datentransfers sind aber nicht erlaubt. Es sei denn, der so genannte Datenexporteur (also das Unternehmen, das Daten aus der EU/dem EW heraus übermittelt) kann eine der Erlaubnismöglichkeiten der Artikel 44 ff. DSGVO für sich in Anspruch nehmen.

Eine in der Praxis sehr wichtige Erlaubnismöglichkeit besteht in dem Abschluss der EU-Standardvertragsklauseln mit dem Datenimporteur (also bspw. dem US-Unternehmen, auf dessen Servern die personenbezogenen Daten verarbeitet werden sollen). Das wird als hauseichende Garantie für den Datentransfer in Artikel 46 Absatz 2 Buchstabe c) DSGVO ausdrücklich genannt.

Seitdem das so genannte EU-US-Privacy Shield vom EuGH für unwirksam erklärt wurde (was immerhin schon am 16.07.2020 mit dem so genannten “Schrems II”-Urteil geschehen ist, Az. C-311/18), gibt es kaum noch geeignete rechtmäßige Möglichkeiten des US-Datentransfers. Umso wichtiger ist es, sich mit den Standardvertragsklauseln (englisch: Standard Contractual Clauses, SCC) auszukennen.

Denn: Bis zum 27.12.2022 müssen alle bislang auf Basis de alten SCC stattfindenden Datentransfers auf die neuen SCC umgestellt sein. Kein unternehmen kann es sich also leisten hier nicht Bescheid zu wissen.

Was jetzt zu tun ist

Sie müssen daher im ersten Schritt prüfen, welche Datentransfers Sie aktuell aus der EU/ dem EWR heraus vornehmen.

Dann müssen Sie schauen, auf welcher Basis bislang diese Transfers stattfinden.

Und schließlich sind dann alle Transfers, für die bislang keine ausreichende Rechtsgrundlage besteht (bspw. weil sie noch auf dem nicht mehr wirksamen Privacy Shield basieren) oder, für die noch die alten Standardvertragsklauseln geschlossen sind, auf Basis der neuen Standardvertragsklauseln mit dem Datenempfänger neu zu vereinbaren.

Das alles muss, was die nicht rechtmäßigen Transfers angeht, sofort und, was die auf Basis der alten SCC stattfindenden Transfers angeht, bis spätestens zum 27.12.2022 passieren. 

Setzen Sie hier im eigenen Interesse nicht auf Lücke. Denn die Datenschutzaufsichtsbehörden werden mit Sicherheit Prüfungen vornehmen und Bußgelder verhängen.

Rechtslage im Drittland muss vorab geprüft werden

Die deutschen Datenschutzaufsichtsbehörden sagen übrigens: Auch bei Verwendung der neuen Standardvertragsklauseln muss die Rechtslage und die Rechtspraxis des Drittlands geprüft werden. Gegebenenfalls müssen zusätzliche Schutzmaßnahmen getroffen werden. Es gibt also Fälle, wo auch die neuen Standardvertragsklauseln alleine nicht reichen. Falls weitere Schutzmaßnahmen nicht möglich sind, so die Aufsichtsbehörden, muss von der Auslandsübermittlung abgesehen werden (vgl. Pressemitteilung der Datenschutzkonferenz vom 21.06.2021).

Immerhin wird in derselben Pressemitteilung auf folgendes hingewiesen:
Für die Prüfung der Rechtslage im Drittland und der ergänzenden Maßnahmen können Verantwortliche die „Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten“ heranziehen. Deren endgültige Fassung hat der Europäische Datenschutzausschuss (EDSA) nach öffentlicher Konsultation am 18.06.2021 beschlossen. 

Mein Tipp

Führen Sie die oben genannten prüfungsschritte nur zusammen mit einem Datenschutzexperten, also bspw. Ihrem Datenschutzbeauftragten durch. Auf jeden Fall sollte auch juristische Unterstützung den Prozess begleiten. 

Ich kann als Ihr Datenschutzbeauftragter oder als Ihr Datenschutzanwalt die notwenigen Schritte zusammen mit Ihnen durchführen und/oder begleiten und rechtliche Unterstützung bieten.

Sprechen Sie mich hier an: info@meindatenschutzpartner.de
So können wir gemeinsam Ihre Datentransfers auf rechtssichere Beine stellen.

Timo Schutt
Ihr Datenschutz Partner
Fachanwalt für IT-Recht