„Alte“ Standardvertragsklauseln ab Ende Dezember ungültig

Wenn Sie bzw. Ihr Unternehmen personenbezogene Daten in Drittstaaten übermitteln, dann ist bis zum 27.12.2022 eine Überprüfung dieser Drittland-Datenübermittlungen erforderlich.

Rechtlicher Hintergrund

Erfolgt bei der Zusammenarbeit mit Auftragsverarbeitern (bzw. dessen Unterauftragsverarbeitern) oder Verantwortlichen eine Übermittlung personenbezogener Daten in ein Land außerhalb der EU bzw. des EWR, für das kein Angemessenheitsbeschluss der EU-Kommission besteht, wird regelmäßig durch den Abschluss von Standarddatenschutzklauseln und ggf. weiterer technischer und organisatorischer Maßnahmen ein angemessenes Datenschutzniveau gewährleistet.

Nachdem der Europäische Gerichtshof in seinem Urteil vom 16.07.2020 C-311/18 (Schrems II) das EU-US Privacy Shield für ungültig erklärt hatte, hat die EU-Kommission eine Überarbeitung der „alten“ Standardvertragsklauseln (2010/87/EU) vorgenommen und am 04.06.2021 eine neue Version sowie verschiedene Module von Standarddatenschutzklauseln (EU 2021/914) veröffentlicht (hier abrufbar). Entsprechend dem Durchführungsbeschluss ist seit dem 27.09.2021 für den Abschluss neuer Verträge die Nutzung der neuen Standarddatenschutzklauseln (EU 2021/914) verpflichtend. Die „alten“ Standardvertragsklauseln behalten jedoch noch bis zum 27.12.2022 ihre Gültigkeit.

Konkret bedeutet dies: Nach dem 27.12.2022 dürfen Übermittlungen personenbezogener Daten an Länder außerhalb der EU bzw. des EWR nicht mehr auf die „alten“ Standardvertragsklauseln gestützt werden. Werden Übermittlungen über diesen Stichtag hinaus weiterhin auf die „alten“ Standardvertragsklauseln gestützt, ergeben sich daraus erhebliche Beanstandungsrisiken, sodass unter Umständen auch die Verhängung von Bußgeldern seitens der Aufsichtsbehörden droht.

Im Rahmen des Abschlusses der neuen Standarddatenschutzklauseln muss der Datenexporteur auch eine sog. Datentransfer-Folgenabschätzung – auch Transfer Impact Assessment (TIA) genannt – im Sinne der Klauseln 14 und 15 der Standarddatenschutzklauseln durchgeführt werden, um ein angemessenes Datenschutzniveau gem. Kapitel V DSGVO gewährleisten zu können.

Weitere Informationen zu diesem Thema finden Sie auch in unserem Blogbeitrag vom 29.06.2021. Sollte das Wording – Standardvertragsklauseln und Standarddatenschutzklauseln – Sie verwirrt haben, dann bringt unser Blogbeitrag vom 06.07.2021 dazu die passende Erklärung.

Was Sie als Nächstes tun sollten:

Überprüfen Sie, ob die Liste mit Dienstleistern in unsicheren Drittstaaten aktuell ist oder ob weitere Datenübermittlungen in unsichere Drittstaaten erfolgen.
Finden Sie heraus, welche Konstellationen bei Ihnen vorliegen und welche Module der neuen EU-Standarddatenschutzklauseln geschlossen werden müssen.
Nehmen Sie Kontakt mit den betroffenen Dienstleistern auf und fordern Sie den Abschluss der neuen EU-Standarddatenschutzklausen.
Erörtern Sie mit dem Dienstleister den Inhalt und die Durchführung der Datentransfer-Folgenabschätzung.
Dokumentieren Sie das Ergebnis der Datentransfer-Folgenabschätzung und legen Sie mit dem Dienstleister einen Turnus für die nächste Prüfung fest.a

Alexander Ernst | 22. September 2022 | Datenschutz-Grundverordnung, Internationaler Datenschutz | Angemessenheitsbeschluss, Drittland, internationaler Datentransfer, SCC, Standarddatenschutzklauseln, Standardvertragsklauseln