Wirtschaft

Neue Standardvertragsklauseln: Das ändert sich für internationale Datentransfers

Server, internationale Datentransfers, EU-Standardvertragsklauseln
Pixabay.com / dlohner
geschrieben von Carlo Piltz

Endlich ist es soweit. Die Europäische Kommission hat die neuen EU-Standardvertragsklauseln am 4. Juni 2021 im Durchführungsbeschluss 2021/914 veröffentlicht. Doch warum ist dieser Schritt so wichtig? Und: Was bedeutet er rechtlich für Unternehmen? Eine Einordnung.

Was sind „Standardvertragsklauseln“?

Werden personenbezogene Daten aus der EU oder dem EWR (Europäischen Wirtschaftsraum) an Empfänger in Drittländern übermittelt oder erhalten Dienstleister von dort Zugriff auf Daten in der EU, findet eine Datenübermittlung an ein Drittland statt.

Die Datenschutz-Grundverordnung (DSGVO) sieht in diesem Fall in den Artikeln 44 ff. zusätzliche rechtliche Anforderungen vor. Hintergrund ist, dass personenbezogene Daten in Ländern außerhalb der EU im Zweifel nicht den selben Schutz genießen wie in der EU.

Daher hat der Gesetzgeber in diesen Fällen – zum Beispiel wenn ein Cloud-Anbieter oder ein Newsletter-Dienstleister in dem Drittland eingesetzt wird – zusätzliche Pflichten geschaffen, die Unternehmen beachten müssen.

Standardvertragsklauseln als Grundlage für Datentransfers

Die Standardvertragsklauseln (eigentlich „Standarddatenschutzklauseln“ nach Artikel 46 Absatz 2 lit. c DSGVO) sind für Unternehmen derzeit wohl das wichtigste Mittel, um personenbezogene Daten in Länder außerhalb der EU und des EWR zu übermitteln.

In der Vergangenheit diente für Datentransfers in die USA das EU-US Privacy Shield als Grundlage solcher Übermittlungen. Aber nachdem der Europäische Gerichtshof (EuGH) mit Urteil vom 16. Juli 2020 das EU-US Privacy Shield für ungültig erklärte, können Datenübermittlungen an Dienstleister aus den USA nicht mehr auf Basis dieses früheren Angemessenheitsbeschlusses erfolgen.

Die Standardvertragsklauseln sind vorgefertigte Vertragsmuster, die von Unternehmen inhaltlich unverändert eingesetzt werden können, um einen angemessenen Schutz für personenbezogene Daten sicherzustellen.

Zu beachten ist, dass Standardvertragsklauseln nicht speziell für Datenübermittlungen in die USA konzipiert sind, sondern für Übermittlungen in alle Drittländer zum Einsatz kommen können, also etwa auch für Russland, China oder Indien.

Warum sind die neuen Standardvertragsklauseln wichtig?

Das Instrument der Standardvertragsklauseln ist per se nicht neu, sondern bereits aus der alten EU-Datenschutzrichtlinie aus 1995 bekannt. In der Praxis problematisch war jedoch, dass diese Klauseln nicht jede Vertragskonstellation abdeckten.

Insbesondere wenn ein europäischer Dienstleister einen weiteren Dienstleister in einem Drittland (zum Beispiel den USA) einsetzte, konnten hierfür keine Standardvertragsklauseln direkt zwischen beiden Dienstleistern in der Kette abgeschlossen werden. So etwa, wenn ein deutscher Personalsoftwareanbieter für seine Dienstleistungen einen US Cloud-Anbieter verwendete.

Der direkte Abschluss eines Datenschutzvertrages zwischen diesen beiden Dienstleistern ist mit den neuen Standardvertragsklauseln nun aber möglich. Zudem sollten Unternehmen wissen, dass praktisch alle bekannten Hosting-Dienstleister aus dem außereuropäischen Ausland auf die Standardvertragsklauseln setzen.

Was müssen Unternehmen beachten?

Unternehmen, die derzeit noch die alten Standardvertragsklauseln einsetzen, sind in den nächsten Monaten zum Handeln verpflichtet. Denn die Europäische Kommission hat die aktuell noch geltenden und in vielen Verträgen enthaltenen Standardvertragsklauseln mit einem Ablaufdatum versehen.

Für die nächsten Monate sind folgende Vorgaben zu beachten:

1. Alte Standardvertragsklauseln gelten bis zum 27. September 2021

Die alten Standardvertragsklauseln werden mit Wirkung zum 27. September 2021 aufgehoben. Bis zu diesem Zeitpunkt dürfen Unternehmen diese noch verwenden und auch neue Verträge mit diesen alten Klauseln abschließen.

Ab dem 27. September 2021 dürfen in neuen Verträgen mit außereuropäischen Dienstleistern aber nur noch die neu veröffentlichten Klauseln zum Einsatz kommen. Das bedeutet, dass Unternehmen dieses Datum beachten müssen, wenn sie neue Verträge schließen – etwa mit einem Cloud-Dienstleister aus Australien oder den Philippinen.

2. Übergangsregelung bis zum 27. Dezember 2022

Bis zum 27. Dezember 2022 dürfen auch noch bereits derzeit (bereits vor dem 27. September 2021) stattfindende Datenübermittlungen auf Basis der alten Klauseln stattfinden. Ein Abschluss der alten Klauseln ist (wie oben beschrieben) ab dem 27. September 2021 aber nicht mehr möglich.

Bis zum 27. Dezember 2022 genießen bereits aktuell stattfindende Übermittlungen aber quasi Bestandsschutz. Danach ist aber auch für diese Übermittlungen Schluss und Unternehmen müssen zwingend auf die neu veröffentlichten Klauseln umstellen.

Konkret bedeutet dies für Unternehmen, dass sie in den nächsten 18 Monaten intern entsprechende Anpassungsprojekte aufsetzen müssen. Hierzu ist sicher erforderlich, ein Mapping aller abgeschlossenen Standardvertragsklauseln zu erstellen. Danach müssen die Unternehmen mit den Vertragspartnern Kontakt aufnehmen, um die zwingende Umstellung vornehmen zu können.

Fazit

Die Erfahrung zeigt, dass Unternehmen dieses wenn man so will „Standardvertragsklausel-Projekt“ nicht auf die lange Bank schieben sollten. Bereits eine interne Übersicht zu erstellen, in welchen Vertragsverhältnissen alte Standardvertragsklauseln abgeschlossen sind, kann einige Zeit in Anspruch nehmen.

Danach müssen die für den jeweiligen Einzelfall passenden Klauseln aus dem Muster der Kommission zusammengestellt werden. Nachfolgend gilt es, mit den Vertragspartnern entsprechende Verhandlungen zum Neuabschluss aufzunehmen.

Auch interessant:

Über den Autor

Carlo Piltz

>Studium der Rechtswissenschaften, Göttingen
>Promotion zum Thema „Soziale Netzwerke im Internet – eine Gefahr für das Persönlichkeitsrecht?“
> Referendariat in Berlin (mit Stationen u. a. bei der Europäischen Kommission in Brüssel)
> Rechtsanwalt und Salary Partner bei reuschlaw Legal Consultants, Berlin

Dr. Piltz berät und begeleitet Mandanten im Rahmen der Umsetzung datenschutzrechtlicher Anforderungen und bei Projekten der Digitalisierung. Als Experte im Bereich Datenschutzrecht war er u.a. als Sachverständiger zum neuen Bundesdatenschutzgesetz sowie dem neuen Berliner Landesdatenschutzgesetz tätig. Daneben vertritt er Mandanten in verwaltungsrechtlichen Streitigkeiten und Gerichtsverfahren.