Achtung bei Datentransfers in Drittländer und insbesondere die USA: Verträge, die vor dem 27. September 2021 geschlossen wurden, müssen bis zum 27. Dezember 2022 auf die neuen Standardvertragsklauseln umgestellt werden. Es sind also keine vier Wochen mehr Zeit!
Standardvertragsklauseln bzw. Standardverträge für die Übermittlung personenbezogener Daten in Länder ausserhalb des Geltungsbereichs der DSGVO (EU und EWR) gibt es bereits seit der Datenschutz-Richtlinie. Beginnend 2001 mit dem „Standardvertrag I“ über den „Standardvertrag II“ (2004) bis hin zu den „Standardvertragsklauseln für die Übermittlung an Auftragsverarbeiter in Drittländern“ (2010) hatte die Europäische Kommission im Laufe der Zeit verschiedene Standardvorlagen für geeignete Garantien (vgl. Art. 46 DSGVO) zur Verfügung gestellt.
Hinsichtlich des Datentransfers in die USA war es 2016 zwischen der EU und den Vereinigten Staaten zu einer Einigung über datenschutzrechtliche Standards gekommen (sog. EU-U.S.-Privacy-Shield), woraufhin die EU-Kommission einen Angemessenheitsbeschluss für die USA erließ. Hiergegen wendete sich unter anderem der Datenschutzaktivist Maximilian Schrems, da der EU-U.S.-Privacy-Shield (wie auch schon die vorausgehende Safe-Harbor-Entscheidung) seiner Meinung nach keinen ausreichenden Schutz von Bürger:innen der EU vor Zugriffen amerikanischer Behörden sicherstellen würde. Der Europäische Gerichtshof gab Maximilian Schrems mit Urteil vom 16. Juli 2020 Recht (sog. „Schrems-II-Urteil“) und erklärte den Angemessenheitsbeschluss der Europäischen Kommission zum Datentransfer in die USA für ungültig.
Nicht zuletzt dieses Urteil nahm die EU-Kommission zum Anlass, die bestehenden Standardvertragsklauseln grundlegend zu überarbeiten und auch zu ergänzen. Die am 7. Juni 2021 veröffentlichten (neuen) Standardvertragsklauseln bestehen aus vom Datenexporteur (in der EU) und vom Datenimporteur (im Drittland) zu unterzeichnenden Vertragstexten, mit denen die jeweiligen Rechte und Pflichten hinsichtlich des Schutzes der transferierten personenbezogenen Daten geregelt werden. Die Einzelheiten der jeweils konkreten Datenübermittlung werden in die Anlagen aufgenommen. Insgesamt zeichnen sich die neuen Standardvertragsklauseln dadurch aus, dass sie modular aufgebaut sind und nun die vier denkbaren Konstellationen zwischen dem am Datentransfer Beteiligten abbilden:
Am 7. Juni 2021 veröffentlicht, traten die neuen Standardvertragsklauseln am 27. Juni 2021 in Kraft und standen ab diesem Zeitpunkt für alle neu vereinbarten Drittlandtransfers als Grundlage für die vertraglichen Vereinbarungen zur Verfügung. Für die im Zeitpunkt des Inkrafttretens der neuen Klauseln bereits laufenden Vertragsverhandlungen gestattet die EU-Kommission während einer Übergangsfrist bis zum 27. September 2021 noch die Verwendung der alten Standardvertragsklauseln. Seit dem 28. September 2021 müssen in jedem Fall die neuen Standardvertragsklauseln verwendet werden.
Was aber ist mit Altverträgen? Mit den Datentransfers, die – gegebenenfalls seit Jahren – auf Basis der alten Standardverträge abgewickelt werden? Auch für diese setzte die EU-Kommission bei Einführung der neuen Standardvertragsklauseln eine Frist. Diese bestehenden Altverträge müssen bis spätestens 27. Dezember 2022 – also noch dieses Jahr! – auf die neuen Standardvertragsklauseln umgestellt werden. Es sind also keine vier Wochen mehr Zeit!
Für alle, die mit dieser Umstellung noch nicht begonnen haben, ist nun wirklich Eile geboten! Die neuen Standardvertragsklauseln sind keine „Out-of-the-box-Lösung“, bei der lediglich ein paar Kreuze gesetzt und Unterschriften eingesammelt werden müssten. Vielmehr muss jede Drittlandübermittlung konkret in den Blick genommen werden und zusätzlich mittels eines „Transfer Impact Assessments“ (TIA) beurteilt werden. Dabei kann sich insbesondere auch ergeben, dass zusätzliche Maßnahmen zum Schutz der personenbezogenen Daten ergriffen werden müssen. Auch dies nimmt wieder Zeit in Anspruch, der Aufwand der Umstellung sollte nicht unterschätzt werden – zumal auch eine Dokumentation, die den Anforderungen von Klausel 14 lit. d) der neuen SCCs entspricht, Ressourcen benötigt.
Bereits schon mit Pressemitteilung vom 21. Juni 2021 hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) – ebenso wie der Europäische Datenschutzausschuss (EDSA) – darauf hingewiesen, „dass auch bei Verwendung der neuen EU-Standardvertragsklauseln eine Prüfung der Rechtslage im Drittland und zusätzlicher ergänzender Maßnahmen erforderlich ist“.
Wer das Thema bislang nicht in den Fokus gerückt oder möglicherweise sogar noch gar nicht in Angriff genommen hat, dem kann man nur zurufen: „Jetzt aber schnell!“
Rechtsanwalt mit den Schwerpunkten Datenschutzrecht, Gesellschaftsrecht und Projektmanagement. Er war langjährig betrieblicher Datenschutzbeauftragter und ist Lehrbeauftragter der Hochschule Aalen.