IT & Datenschutz
Vorheriger Beitrag
Nächster Beitrag

EU-Kommission veröffentlicht neue Standardvertragsklauseln und Standarddatenschutzklauseln

8. Juni 2021 von Robert Faußner, M.A.

Am Freitag, den 04.06.2021, hat die Europäische Kommission auf Ihrer Webseite die neuen Standardvertragsklauseln bzw. Standarddatenschutzklauseln veröffentlicht:

Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer | EU-Kommission (europa.eu)

Am Montag, den 07.06.2021, wurden die Durchführungsbeschlüsse im Amtsblatt veröffentlicht.

Die Klauseln wurden einerseits an die Anforderungen der DS-GVO angepasst, andererseits wurde die Schrems II-Entscheidung berücksichtigt.

Die Kommission hat nach Art. 28 Abs. 7 DS-GVO von Ihrer Möglichkeit Gebrauch gemacht, Standardvertragsklauseln zu erstellen. Bei Verwendung dieser Standardvertragsklauseln muss kein gesonderter Auftragsverarbeitungsvertrag mehr geschlossen werden.

Die neuen Standarddatenschutzklauseln ersetzen nun die bislang noch geltenden Standardvertragsklauseln zwischen einem Verantwortlichen mit Sitz in der EU und einem Verantwortlichen mit einem Sitz in einem Drittland aus 2001 bzw. 2004 sowie die Standardvertragsklauseln zwischen einem Verantwortlichen mit Sitz in der EU und einem Auftragsverarbeiter mit einem Sitz in einem Drittland aus 2010 (Art. 46 Abs. 2 lit. c DS-GVO).

Die nun neuen „Standarddatenschutzklauseln“ sehen zahlreiche Änderungen gegenüber den bislang geltenden Standardvertragsklauseln vor und sind in vier Konstellationen verfügbar:

  • Übermittlung von Verantwortlichen an Verantwortliche
  • Übermittlung von Verantwortlichen an Auftragsverarbeiter
  • Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter (neu!)
  • Übermittlung von Auftragsverarbeitern an Verantwortliche (neu!)


Entscheidend ist, dass nun auch Standarddatenschutzklauseln zwischen den Auftragsverarbeitern direkt abgeschlossen werden können. Dies ist sehr praxisrelevant. Standarddatenschutzklauseln werden benötigt, wenn ein in der EU ansässiges Unternehmen wie Microsoft, Google oder Facebook eingesetzt wird, welches Unternehmen außerhalb der EU/EWR als Unterauftragnehmer einsetzt.        
Nach Auffassung der EU-Kommission berücksichtigen die neuen Standarddatenschutzklauseln die Schrems-II-Entscheidung. Die EU-Kommission weist in ihrem Beschluss aber in Randnummer 19 ausdrücklich darauf hin, dass der Transfer personenbezogener Daten auf Basis der Standarddatenschutzklauseln nicht stattfinden sollte, wenn das Recht und die Rechtspraxis in Drittstaaten den Datenimporteur daran hindern, die vertraglichen Verpflichtungen einzuhalten.

Was ist nun zu tun?

Für die aktuell die bisher bestehenden Standardvertragsklauseln für Übermittlungen in Drittländer sieht der Beschluss zu den neuen Standarddatenschutzklauseln eine Übergangsfrist von 18 Monaten vor.

Es ist somit zu empfehlen, möglichst zeitnah die bestehenden Verträge zu prüfen und diese entsprechend zu aktualisieren. Neue Verträge sollten nur noch mit den neuen Klauseln abgeschlossen werden.

Bei Beratungsbedarf steht Ihnen HEUSSEN selbstverständlich mit unseren auf das Datenschutzrecht spezialisierten, erfahrenen Anwälten auf Rückfrage zur Verfügung.

 

English version3