Für die Übermittlung personenbezogener Daten in Drittländer außerhalb der EU hat die Europäische Kommission völlig neu gestaltete Standardvertragsklauseln vorgelegt. Erstmals stehen darüber hinaus auch offizielle Standardvertragsklauseln für die Auftragsverarbeitung zur Verfügung. Es gibt also zwei Arten von Standardvertragsklauseln.
Die neuen Standardvertragsklauseln ersetzen die bisherigen Standardvertragsklauseln, die noch aus der Zeit vor der Datenschutz-Grundverordnung (DSGVO) stammen. Formal waren sie trotzdem weiterhin anwendbar, das änderte aber nichts daran, dass ihr Inhalt nicht mehr zur DSGVO passte.
Hinzu kam, dass der Europäische Gerichtshof in der Entscheidung „Schrems II“ vom 16. Juli 2020 eine ganze Reihe von Anforderungen an Datenübermittlungen ins Ausland aufstellte, die die vorhandenen Standardvertragsklauseln natürlich nicht berücksichtigten.
Wie ist das Verhältnis zwischen den beiden Arten von Standardvertragsklauseln?
Es gelten folgende Faustregeln:
- Die Standardvertragsklauseln für die Übermittlung in Drittländer sind definitionsgemäß immer dann relevant, wenn an einer Übermittlung eine Stelle in einem Drittland beteiligt ist. Das gilt auch dann, wenn diese Stelle die Rolle eines Auftragnehmers hat.
- Die Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern sind dagegen für die Verwendung innerhalb der EU gedacht. Für Auftragsverhältnisse, bei denen Stellen in Drittländern beteiligt sind, sind sie nicht geeignet.
Ab wann gelten die neuen Standardvertragsklauseln?
Die Standardvertragsklauseln für die Auftragsverarbeitung lassen sich ab sofort nutzen. Entsprechendes gilt für die neuen Standardvertragsklauseln für die Datenübermittlung in Drittländer (siehe Art. 4 Abs. 1 des Durchführungsbeschlusses 2021/914).
Verträge, die auf der Basis der „alten“ Standardvertragsklauseln für die Datenübermittlung in Drittländer geschlossen wurden, bieten noch bis zum 27. Dezember 2022 „geeignete Garantien“ (so Art. 4 Abs. 4 des Durchführungsbeschlusses 2021/914).
Was müssen Sie also tun?
Achten Sie darauf, dass Dienstleister, die in einem Drittland Ihre personenbezogenen Daten verarbeiten, sich auf die Verarbeitung auf Basis der neuen Standardvertragsklauseln berufen und erneuern Sie aktuell bestehende Verträge mit Ihren Dienstleistern um einen Hinweis bzw. um eine Berufung auf die neuen Standardvertragsklauseln. Gleiches gilt für die Verträge mit Ihren Dienstleistern innerhalb der EU, sofern es sich um Auftragsverarbeiter handelt und Sie bisher keinen eigenen Auftragsverarbeitungsvertrag abgeschlossen haben.