Neue Standardvertragsklauseln – der Countdown läuft!

Stefan Hessel

Als Reaktion auf die "Schrems II"-Entscheidung des Europäischen Gerichtshofs (EuGH) veröffentlichte die EU-Kommission bereits am 07.06.2021 neue Standardvertragsklauseln (SCC). Während diese für Neuverträge bereits seit vergangenem Jahr verbindlich sind, läuft die Umsetzungsfrist für bestehende Verträge zum 27. Dezember 2022 ab. Unternehmen sollten spätestens jetzt sicherstellen, dass sie mit ihren Dienstleistern neue Verträge abgeschlossen haben. Ansonsten drohen empfindliche Bußgelder und Schadensersatzansprüche von Betroffenen.

Was sind die Standarddatenschutzklauseln?

Die Datenschutz-Grundverordnung (DSGVO) will sicherstellen, dass das von ihr garantierte Schutzniveau für personenbezogene Daten nicht dadurch unterlaufen wird, dass Daten in Drittländer übermittelt werden. Daraus resultierende Rechtsprobleme bei der internationalen Datenübermittlung beschäftigen Unternehmen seit Jahren. Dies gilt insbesondere seitdem der EuGH das EU-US Privacy Shield für ungültig erklärt und den darauf basierenden Angemessenheitsbeschluss der EU-Kommission aufgehoben hat.

Eine Möglichkeit, Daten ohne Angemessenheitsbeschluss datenschutzkonform in Drittstaaten zu übermitteln, stellt die Verwendung von SCC dar. In der "Schrems II"-Entscheidung hatte der EuGH zugleich auch erhöhte Anforderungen an Datenübermittlungen auf Basis der SCC formuliert. In den neuen SCC sind daher entsprechende Garantien und wirksame Rechtsbehelfe vorgesehen, die sicherstellen sollen, dass der Datenimporteur einen ausreichenden Schutz für Daten im Drittland garantiert. Die neuen SSC bringen für Unternehmen auch weitere Pflichten mit sich. Dazu gehört die Durchführung eines Transfer-Impact-Assessments (TIA) und die Versicherung, dass kein Grund zur Annahme besteht, dass "die für die Verarbeitung personenbezogener Daten durch den Datenimporteur geltenden Rechtsvorschriften und Gepflogenheiten den Datenimporteur an der Erfüllung seiner Pflichten gemäß der Standardvertragsklauseln hindern".

Was tun?

Unternehmen sollten prüfen, ob sie Daten in Drittländer exportieren, für die kein Angemessenheitsbeschluss existiert. Sollten in den entsprechenden Verträgen mit Dienstleistern noch die alten Standardvertragsklauseln enthalten sein, sollten Unternehmen umgehend Kontakt aufnehmen. Wenn noch nicht geschehen, sollte zudem ein TIA durchgeführt werden.
Große Anbieter dürften die neuen SSC jedoch bereits nutzen. Schließlich sind die neuen SSC bereits seit vergangenem Jahr für Neuverträge verpflichtend, sodass seriöse Anbieter sich ohnehin bereits mit dem Thema auseinandersetzen mussten. Erweist sich der Dienstleister als nicht kooperativ, sollte geprüft werden, ob ein Wechsel zu einem anderen Anbieter mit vertretbarem Aufwand möglich ist. Die Zeit bis Ende Dezember ist begrenzt und langwierige Diskussionen mit uneinsichtigen Unternehmen sind nur sinnvoll, wenn deren Dienst nicht ohne Weiteres ersetzt werden kann. Besondere Praxisrelevanz hat dies für die Zusammenarbeit mit US-Dienstleistern. Zwar bereitet die EU-Kommission einen neuen Angemessenheitsbeschluss vor, der den Abschluss der Klauseln überflüssig machen könnte – dass dies bis Ende des Jahres gelingt, ist jedoch keineswegs sicher.

[September 2022]