Reuschlaw

Neue Stan­dard­ver­trags­klau­seln – der Count­down läuft!

Als Reak­ti­on auf die “Schrems II”-Entscheidung des Euro­päi­schen Gerichts­hofs (EuGH) ver­öf­fent­lich­te die EU-Kommission bereits am 07.06.2021 neue Stan­dard­ver­trags­klau­seln (SCC). Wäh­rend die­se für Neu­ver­trä­ge bereits seit ver­gan­ge­nem Jahr ver­bind­lich sind, läuft die Umset­zungs­frist für bestehen­de Ver­trä­ge zum 27. Dezem­ber 2022 ab. Unter­neh­men soll­ten spä­tes­tens jetzt sicher­stel­len, dass sie mit ihren Dienst­leis­tern neue Ver­trä­ge abge­schlos­sen haben. Ansons­ten dro­hen emp­find­li­che Buß­gel­der und Scha­dens­er­satz­an­sprü­che von Betrof­fe­nen.

Was sind die Standarddatenschutzklauseln?

Die Datenschutz-Grundverordnung (DSGVO) will sicher­stel­len, dass das von ihr garan­tier­te Schutz­ni­veau für per­so­nen­be­zo­ge­ne Daten nicht dadurch unter­lau­fen wird, dass Daten in Dritt­län­der über­mit­telt wer­den. Dar­aus resul­tie­ren­de Rechts­pro­ble­me bei der inter­na­tio­na­len Daten­über­mitt­lung beschäf­ti­gen Unter­neh­men seit Jah­ren. Dies gilt ins­be­son­de­re seit­dem der EuGH das EU-US Pri­va­cy Shield für ungül­tig erklärt und den dar­auf basie­ren­den Ange­mes­sen­heits­be­schluss der EU-Kommission auf­ge­ho­ben hat.

Eine Mög­lich­keit, Daten ohne Ange­mes­sen­heits­be­schluss daten­schutz­kon­form in Dritt­staa­ten zu über­mit­teln, stellt die Ver­wen­dung von SCC dar. In der “Schrems II”-Entscheidung hat­te der EuGH zugleich auch erhöh­te Anfor­de­run­gen an Daten­über­mitt­lun­gen auf Basis der SCC for­mu­liert. In den neu­en SCC sind daher ent­spre­chen­de Garan­tien und wirk­sa­me Rechts­be­hel­fe vor­ge­se­hen, die sicher­stel­len sol­len, dass der Daten­im­por­teur einen aus­rei­chen­den Schutz für Daten im Dritt­land garan­tiert. Die neu­en SSC brin­gen für Unter­neh­men auch wei­te­re Pflich­ten mit sich. Dazu gehört die Durch­füh­rung eines Transfer-Impact-Assessments (TIA) und die Ver­si­che­rung, dass kein Grund zur Annah­me besteht, dass “die für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch den Daten­im­por­teur gel­ten­den Rechts­vor­schrif­ten und Gepflo­gen­hei­ten den Daten­im­por­teur an der Erfül­lung sei­ner Pflich­ten gemäß der Stan­dard­ver­trags­klau­seln hindern”.

Was tun?

Unter­neh­men soll­ten prü­fen, ob sie Daten in Dritt­län­der expor­tie­ren, für die kein Ange­mes­sen­heits­be­schluss exis­tiert. Soll­ten in den ent­spre­chen­den Ver­trä­gen mit Dienst­leis­tern noch die alten Stan­dard­ver­trags­klau­seln ent­hal­ten sein, soll­ten Unter­neh­men umge­hend Kon­takt auf­neh­men. Wenn noch nicht gesche­hen, soll­te zudem ein TIA durch­ge­führt wer­den.
Gro­ße Anbie­ter dürf­ten die neu­en SSC jedoch bereits nut­zen. Schließ­lich sind die neu­en SSC bereits seit ver­gan­ge­nem Jahr für Neu­ver­trä­ge ver­pflich­tend, sodass seriö­se Anbie­ter sich ohne­hin bereits mit dem The­ma aus­ein­an­der­set­zen muss­ten. Erweist sich der Dienst­leis­ter als nicht koope­ra­tiv, soll­te geprüft wer­den, ob ein Wech­sel zu einem ande­ren Anbie­ter mit ver­tret­ba­rem Auf­wand mög­lich ist. Die Zeit bis Ende Dezem­ber ist begrenzt und lang­wie­ri­ge Dis­kus­sio­nen mit unein­sich­ti­gen Unter­neh­men sind nur sinn­voll, wenn deren Dienst nicht ohne Wei­te­res ersetzt wer­den kann. Beson­de­re Pra­xis­re­le­vanz hat dies für die Zusam­men­ar­beit mit US-Dienstleistern. Zwar berei­tet die EU-Kommission einen neu­en Ange­mes­sen­heits­be­schluss vor, der den Abschluss der Klau­seln über­flüs­sig machen könn­te – dass dies bis Ende des Jah­res gelingt, ist jedoch kei­nes­wegs sicher.

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.