Am 4. Juni 2021 hat die Europäische Kommission neue Standardvertragsklauseln veröffentlicht, die bei der Übermittlung personenbezogener Daten in Drittstaaten welche keinen angemessenen Schutz personenbezogener Daten haben, geschlossen werden müssen. Die neuen Klauseln berücksichtigen das Urteil des Gerichtshofs der EU aus dem Jahr 2020 (Schrems II), welche den Privacy-Shield-Mechanismus für die Datenübermittlung an Drittstaaten aufgehoben haben.
Nach dem Schrems-II-Urteil verließen sich die meisten Verarbeiter und Vollstrecker nämlich weiterhin auf bestehende Standardvertragsklauseln als Garantie für die Übermittlung personenbezogener Daten in Drittländer, d.h. Länder, die von der Europäischen Kommission nicht als Länder mit angemessenem Schutz personenbezogener Daten deklariert wurden. Obwohl der Gerichtshof der Europäischen Union die bestehenden Standardvertragsklauseln durch das Urteil Schrems II nicht für nichtig erklärt hat, betont er jedoch, dass der Datenexporteur die Gesetze und das Niveau des Schutzes personenbezogener Daten des Landes, in das personenbezogene Daten übermittelt werden, beurteilen muss. Mit anderen Worten, der Abschluss bestehender Standardvertragsklauseln reicht nicht aus.
In diesem Zusammenhang hat die Europäische Kommission neue Standardvertragsklauseln verabschiedet, die die gemeinsame Stellungnahme des Europäischen Datenschutzausschusses und des Europäischen Datenschutzbeauftragten, das Feedback während der öffentlichen Konsultation und die Stellungnahme der Vertreter der EU-Mitgliedstaaten berücksichtigen. Die Entscheidung der Europäischen Kommission und die neue Standardvertragsklausel finden Sie unter folgendem Link: https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj.
Gegenüber der bisherigen Version der Standardvertragsklauseln entsprechen die neuen Standardvertragsklauseln vollumfänglich den Bestimmungen der Datenschutzgrundverordnung („DSGVO“), sie sehen vielfältige mögliche Übertragungsverhältnisse und mehr Flexibilität für komplexe Prozessketten durch einen „modularen Ansatz“, der die Möglichkeit bietet, dass mehr als zwei Parteien der Klausel beitreten und diese verwenden.
Darüber hinaus bieten die neuen Klauseln ein praktisches Set an Mitteln zur Umsetzung des Schrems-II-Urteils und geben somit einen Überblick über die verschiedenen Schritte, die Datenverantwortliche und Datenverarbeiter unternehmen müssen, um dem Schrems-II-Urteil nachzukommen, und geben Beispiele für mögliche “Ergänzungsmaßnahmen“ wie Verschlüsselung.
Die neuen Standardvertragsklauseln umfassen mehrere Module: Übertragung von einem Verantwortlichen an einen anderen Verantwortlichen, Übertragung vom Verantwortlichen an den Auftragsverarbeiter, Übertragung von einem Auftragsverarbeiter an einen anderen Auftragsverarbeiter und Übertragung vom Auftragsverarbeiter an den Verantwortlichen.
Anhang II der neuen Standardklauseln enthält eine detaillierte Beschreibung der technischen und organisatorischen Maßnahmen, darunter unter anderem Maßnahmen zur Identifizierung, Speicherung, Übertragung, Konfiguration, Verwaltung und Speicherung von Daten, während Anhang III eine Liste der Unterauftragnehmer enthält.
Für Verantwortliche und Auftragsverarbeiter, die derzeit frühere Standardvertragsklauseln verwenden, ist eine Übergangsfrist von 18 Monaten vorgesehen, in der die alten Standardvertragsklauseln durch neue Standardvertragsklauseln ersetzt werden müssen.
