Neue Standardvertragsklauseln für die Datenübermittlung in die USA und in Drittstaaten

Der Landesbeauftragten für den Datenschutz des Landes Sachsen-Anhalt informiert dazu wie folgt:

Zunächst hat die EU-Kommission neue Standardvertragsklauseln nach Art. 28 Abs. 7 DS-GVO beschlossen. Diese können in Verträgen zwischen einem Verantwortlichen und einem Auftragsverarbeiter, der personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet, insgesamt oder teilweise verwendet werden.

Die EU-Kommission prüft die praktische Anwendung dieser Klauseln im Rahmen der nach Artikel 97 der DS-GVO vorgesehenen Bewertung. Zukünftige Anpassungen sind daher nicht auszuschließen.
Den Durchführungsbeschluss der Kommission hierzu finden Sie hier.

Dieser Beschluss tritt am zwanzigsten Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union in Kraft. Gleichwohl sollten Verantwortliche und Auftragsverarbeiter frühzeitig prüfen, ob und inwieweit sie die Standardvertragsklauseln verwenden. Die Klauseln können gerade für KMU eine wesentliche Hilfe sein.

Den vollständigen Text der Standardvertragsklauseln finden Sie hier.

Weiterhin hat die Europäische Kommission am 4. Juni 2021 neue Standarddatenschutzklauseln für die Übermittlung personenbezogener Daten in Drittländer nach Art. 46 Abs. 2 lit. c) DS-GVO beschlossen. Dieses Mustervertragswerk kann für die Datenübermittlung in Drittländer eingesetzt werden, sofern der Datentransfer nicht aufgrund eines Angemessenheitsbeschlusses bezüglich des betreffenden Drittlands (Art. 45 DS-GVO) oder anderer Bestimmungen nach Art. 44 ff. DS-GVO erfolgt.

Die Standarddatenschutzklauseln spiegeln die Anforderungen der Datenschutz-Grundverordnung (DS-GVO) wider und berücksichtigen das Schrems-II-Urteil des EuGH vom Juli 2020, nach dem ein hohes Datenschutzniveau für die Bürgerinnen und Bürger zu gewährleisten ist.

Diese neuen Instrumente helfen europäischen Unternehmen die Anforderungen an sichere Datenübermittlungen zu erfüllen und gleichzeitig den freien grenzüberschreitenden Datenverkehr ohne rechtliche Hindernisse zu ermöglichen.

Auch dieser Beschluss tritt 20 Tage nach seiner Veröffentlichung im Amtsblatt der Europäischen Union in Kraft. Obwohl für bestehende Verträge nach der Entscheidung 2001/497/EG und des Beschlusses 2010/87/EU Übergangszeiten bestehen, sollten Unternehmen hier ebenfalls frühzeitig ihre Verträge zum Datentransfer anpassen und die neuen Standarddatenschutzklauseln übernehmen.

Den vollständigen Text des Durchführungsbeschlusses und der Standarddatenschutzklauseln finden Sie hier.

Ein Set betrifft die Datenübermittlungen zwischen dem Unternehmer und dem Auftragsverarbeiter, und ein Set ist für die Übermittlung personenbezogener Daten in Drittstaaten vorgesehen. 

Diese Vertragsmuster müssen unverändert übernommen werden. 

Wurden Daten in die USA aufgrund des Privacy Shield als Garantie übermittelt, sollten die Standardvertragsklauseln abgeschlossen werden. Bestehende Vertragsverhältnisse bei denen bisher personenbezogene Daten in die USA übermittelt werden, sind auf die neuen Standardvertragsklauseln anzupassen. 

Für die Anpassung bestehender Vertragsverhältnisse an die neuen Standardvertragsklauseln ist eine Übergangsfrist von 18 Monaten vorgesehen. Wurden also für Datenübermittlungen bisher die “alten” Standardvertragsklauseln verwendet, müssen diese bis Dezember 2022 durch die neuen Standardvertragsklauseln ersetzt werden. 

Unternehmen und Start-ups mit Datenübermittlungen in Drittländer müssen die Datenempfänger also um die Vorlage der neuen Standardvertragsklauseln bitten, oder diesen die neuen Standardvertragsklauseln zur Unterschrift vorlegen. 

Letztlich gilt dies auch für alle anderen Drittstaaten (z. B. Russland, Indien, China), die kein der EU angemessenes Datenschutzniveau gewährleisten können.

Hinweis: Trotz sorgfältiger Prüfung können wir für die Richtigkeit der Angaben keine Gewähr übernehmen.