Die Europäische Kommission hat Anfang Juni 2021 ein neues Vertragswerk für die Übermittlung personenbezogener Daten an Empfänger in Staaten außerhalb der EU verabschiedet.

Erste Entwürfe der nun verabschiedeten Klauseln hatte die EU-Kommission bereits Mitte November 2020 zur öffentlichen Konsultation veröffentlicht. Vor wenigen Tagen, am 27. Juni 2021, sind die Klauseln nun in Kraft getreten.

Die sogenannten Standardvertragsklauseln sollen es Unternehmen ermöglichen, personenbezogene Daten auch über die Grenzen eines Kontinents hinweg rechtssicher auszutauschen. Dafür unterwerfen sich die jeweiligen Vertragspartner in den Klauseln besonderen Pflichten, die sicherstellen sollen, dass die betroffenen Personen die Kontrolle über ihre Daten auch im Ausland behalten.
Die neuen Klauseln wurden lange erwartet, da die jetzigen Standardvertragsklauseln mehr als 10 Jahre alt sind und somit etwa nicht das bedeutende Schrems II-Urteil des EuGHs vom 16.07.2020 berücksichtigten. Zwar sah der EuGH darin die alten Standardvertragsklauseln weiterhin als grundsätzlich taugliche Grundlage für Datentransfers in „unsichere“ Drittstaaten an. Die Entscheidungsgründe des Urteils legten aber die Schwächen des Vertragswerks offen.

Die nun von der Kommission verabschiedeten neuen Standardvertragsklauseln sehen daher eine Reihe von Änderungen gegenüber den bislang geltenden Klauseln vor. Insbesondere sollen die neuen Klauseln im Sinne eines modularen Ansatzes sowohl auf Übermittlungen zwischen Verantwortlichen (Modul 1) als auch auf Transfers an Auftragsverarbeiter (Modul 2) Anwendung finden. Zudem sollen die neuen Klauseln auch für einen (Weiter-)Transfer von einem Auftragsverarbeiter an weitere (Unter-)Auftragsverarbeiter (Modul 3) Verwendung finden können sowie für einen Transfer von einem Auftragsverarbeiter an einen Verantwortlichen (Modul 4).

Laut EU-Kommission beseitigen die neuen Standardvertragsklauseln nun auch die Schwachstellen, die in der aufsehenerregenden Schrems II-Entscheidung aufgezeigt wurden. So verpflichten die Verwender der Klauseln sich etwa explizit dazu, zu prüfen, ob der Datenimporteur angesichts der rechtlichen Situation im Drittland tatsächlich in der Lage ist, die vertraglichen Regelungen insbesondere zum Schutz vor unverhältnismäßigen Behördenzugriffen einzuhalten. Das Ergebnis dieser Prüfung und eventuell zum Schutz der Daten ergriffene technische und organisatorische Maßnahmen (z.B. Verschlüsselung) müssen die Parteien dokumentieren und der für das datenexportierende EU-Unternehmen zuständigen Aufsichtsbehörde auf Verlangen vorlegen. Der Datenimporteur ist außerdem verpflichtet, dem Datenexporteur mitzuteilen, wenn er sich nicht (länger) in der Lage sieht, die Daten vor Behördenzugriffen zu schützen. Bei Erhalt einer solchen Benachrichtigung muss der Exporteur die Datenübermittlung einstellen, es sei denn, die Aufsichtsbehörde erlaubt ihre Fortsetzung.

Neu ist u.a. auch, dass die Standardvertragsklauseln eine Haftung der Parteien für Pflichtverletzungen nicht nur gegenüber den betroffenen Personen vorsehen, sondern auch im Verhältnis zueinander. Ob die Parteien diese Haftung im Innenverhältnis ausschließen oder zumindest begrenzen können, z.B. um sie an das ansonsten zwischen ihnen geltende Haftungsregime anzupassen, ist noch unklar.

Was bedeuten die neuen Klauseln konkret für Sie?

Zwar dürfen Unternehmen theoretisch noch bis zum 29. September 2021 Datenübermittlungsverträge auf Basis der alten Klauseln abschließen. Spätestens innerhalb von 18 Monaten ab Inkrafttreten der neuen Klauseln müssen aber alle Verträge auf die neuen Standardvertragsklauseln umgestellt sein. Bei bereits bestehenden Verträgen, müssen die bereits abgeschlossenen Standardvertragsklauseln also spätestens bis zum 27. Dezember 2022 durch die neuen Standardvertragsklauseln ersetzt werden.

Bild: ©pixaby