(Durchführungsbeschluss 2021/914)
Standardvertragsklauseln - Begrifflichkeit
Werden personenbezogene Daten aus der Eurpopäischen Union bzw. dem EWR (Europäischen Wirtschaftsraum) an Empfänger in Drittländern (Dritte) übermittelt oder erhalten etwa Dienstleister von dort Zugriff auf Daten innerhalb der EU, findet eine sogenannte Datenübermittlung an ein Drittland statt.
Die Datenschutz-Grundverordnung (DSGVO) sieht für einen solchen Fall im Artikel 44 und ff. zusätzliche rechtliche Anforderungen vor. Der Hintergrund dazu ist, dass personenbezogene Daten in Ländern außerhalb der EU/EWR in der Regel nicht den selben Schutz genießen wie innerhalb.
Daher wurde eine Gesetzgebung geschaffen, welche zusätzliche Pflichten, z.b. für Cloudanbieter oder Newsletterdienstleister in Drittländern, definiert.
Standardvertragsklauseln als Datentransfer-Grundlage
Standardvertragsklauseln (eigentlich „Standarddatenschutzklauseln“ nach Artikel 46 Absatz 2 lit. c DSGVO) sind für Unternehmen derzeit wohl das wichtigste Mittel, um personenbezogene Daten in Länder außerhalb der EU und des EWR zu übermitteln.
Ehemaös diente für Datentransfers in die USA das EU-US Privacy Shield als Grundlage solcher Übermittlungen, welches der Europäische Gerichtshof (EuGH) mit Urteil vom 16. Juli 2020 jedoch für ungültig erklärte. Gerade Datenübermittlungen an Dienstleister aus den USA konnte nun nicht mehr anhand dieses früheren Angemessenheitsbeschlusses erfolgen.
Standardvertragsklauseln sind Vertragsmuster, die von Unternehmen inhaltlich unverändert eingesetzt werden können, um einen angemessenen Schutz für personenbezogene Daten sicherzustellen.
Es gilt zu beachten, dass Standardvertragsklauseln nicht speziell für Datenübermittlungen in die USA konzipiert sind, sondern für Übermittlungen in alle Drittländer zum Einsatz kommen können, also etwa auch für Russland, China oder Indien.
Warum sind die neuen Standardvertragsklauseln wichtig?
Standardvertragsklauseln als solche sind, wie beschrieben, nicht neu, sondern bereits aus der alten EU-Datenschutzrichtlinie aus 1995 bekannt. Das Problem in der Praxis war jedoch, dass diese Klauseln nicht jede Vertragskonstellation abdeckten.
Gerade wenn ein europäischer Dienstleister einen weiteren Dienstleister in einem Drittland (zum Beispiel den USA) einsetzte, konnten hierfür keine Standardvertragsklauseln direkt zwischen beiden Dienstleistern zusammenhängend abgeschlossen werden. So etwa, wenn ein deutscher Versicherungsdienstleitser für seine Prozesse einen US Cloud-Anbieter verwendete.
Dieser direkte Abschluss eines datenschutzrechtlich gültigen Vertrages zwischen diesen beiden Dienstleistern ist mit den neuen Standardvertragsklauseln nun möglich. Zudem sollten Unternehmen wissen, dass praktisch alle bekannten Hosting-Dienstleister aus dem außereuropäischen Ausland auf die Standardvertragsklauseln setzen.
Was müssen Unternehmen berücksichtigen?
Die Unternehmen, welche derzeit noch die alte Standardvertragsklauseln einsetzen, sind in kurzester Zeit zum Handeln verpflichtet. Die Europäische Kommission hat für die aktuell noch geltenden, und in vielen Verträgen inkludierten Standardvertragsklauseln, ein Ablaufdatum definiert.
Für die nächsten Monate sind folgende Vorgaben zu beachten:
- die alten Standardvertragsklauseln gelten bis zum 27. September 2021
. die alten Standardvertragsklauseln werden mit Wirkung zum 27. September 2021 aufgehoben. Bis zu diesem Zeitpunkt dürfen Unternehmen diese noch verwenden sowie auch neue Verträge mit ebendiesen alten Klauseln abschließen.
Ab dem 27. September 2021 aber dürfen in neuen Verträgen mit außereuropäischen Dienstleistern nur noch die neu veröffentlichten Klauseln zum Einsatz kommen. Was bedeutet, dass alle Unternehmen dieses Datum beachten müssen, um neue Verträge abzuschließen – in etwa mit einem Cloud-Dienstleister aus Indien oder Malaysia.
Übergangsregelung bis zum 27. Dezember 2022:
Bis zum 27. Dezember 2022 dürfen zudem noch bereits derzeit (bereits vor dem 27. September 2021) stattfindende Datenübermittlungen in Drittländer, auf Basis der alten Klauseln, stattfinden. Ein neuer Vertragsabschluss mit den alten Klauseln ist (wie oben beschrieben) ab dem 27. September 2021 aber nicht mehr möglich.
Kurzum: bis zum 27. Dezember 2022 genießen bereits aktuell stattfindende Übermittlungen quasi Bestandsschutz. Danach ist aber auch für diese Übermittlungen Schluss. Unternehmen müssen zwingend auf die neu veröffentlichten Klauseln umstellen.
Dies bedeutet für Unternehmer, dass sie in den nächsten 6-18 Monaten intern entsprechende Anpassungsprojekte auf- und umsetzen müssen. Hierzu ist sicher erforderlich, ein Mapping aller abgeschlossenen Standardvertragsklauseln zu erstellen.
Im Nachgang müssen die Unternehmen mit den Vertragspartnern Kontakt aufnehmen, um die zwingende Umstellung vornehmen zu können.