<< zurück

21.06.2021

Neue Standardvertragsklauseln für Datentransfers in Drittländer

PDF

Die Europäische Kommission hat mit Beschluss vom 4. Juni 2021 die neuen Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer verabschiedet. Das bedeutet für Unternehmen in der EU, die Daten auch außerhalb EU/EWR verarbeiten (lassen), einen erneuten Anpassungsbedarf auf dem Gebiet des Datenschutzes.

In Kürze

  • Umstellung notwendig für fast alle Unternehmen
  • Bisherige Standardvertragsklauseln dürfen nur noch eingeschränkt verwendet werden (Umstellungsphase bis Ende 2022)
  • Akuter Handlungsbedarf bei Neuverträgen/Vertragsänderungen mit Drittlandtransfers

Die Standardvertragsklauseln (SCCs) stellen das am häufigsten verwendete Instrument dar, um einen internationalen Datentransfer in Drittländer zu legitimieren. Die von der EU entwickelten Vertragssets bieten Garantien für Datenübermittlungen, wenn sie zwischen den an dem Datentransfer Beteiligten vereinbart werden. Seit das sog. EU-US-Privacy-Shield aufgrund des sog. Schrems II-Urteils des Europäischen Gerichtshofs nicht mehr genutzt werden kann, sind SCCs auch für Datentransfers in die USA die vornehmliche Legitimationsgrundlage.

Die bisherigen SCCs werden aufgehoben, sodass nach Ablauf einer Übergangsfrist die Vertragspartner bei internationalen Datentransfers (z. B. an einen Cloud-Dienstleister mit Servern in den USA) die neuen SCCs vereinbaren müssen.

Was ist neu?

  • Umstellung notwendig für fast alle Unternehmen
  • Bisherige Standardvertragsklauseln dürfen nur noch eingeschränkt verwendet werden (Umstellungsphase bis Ende 2022)
  • Akuter Handlungsbedarf bei Neuverträgen/Vertragsänderungen mit Drittlandtransfers

Die Standardvertragsklauseln (SCCs) stellen das am häufigsten verwendete Instrument dar, um einen internationalen Datentransfer in Drittländer zu legitimieren. Die von der EU entwickelten Vertragssets bieten Garantien für Datenübermittlungen, wenn sie zwischen den an dem Datentransfer Beteiligten vereinbart werden. Seit das sog. EU-US-Privacy-Shield aufgrund des sog. Schrems II-Urteils des Europäischen Gerichtshofs nicht mehr genutzt werden kann, sind SCCs auch für Datentransfers in die USA die vornehmliche Legitimationsgrundlage.

Die bisherigen SCCs werden aufgehoben, sodass nach Ablauf einer Übergangsfrist die Vertragspartner bei internationalen Datentransfers (z. B. an einen Cloud-Dienstleister mit Servern in den USA) die neuen SCCs vereinbaren müssen.

Was ist zu tun?

Für einen Übergangszeitraum bis 27. Dezember 2022 können die bereits vereinbarten bisherigen SCCs bestehen bleiben, wenn keine Vertragsänderungen erfolgen. Im Falle von Vertragsänderungen und bei Neuverträgen müssen ab dem 27. September 2021 die bisherigen SCCs durch die neuen SCCs ausgetauscht werden. Nach Ablauf des Übergangszeitraums müssen sämtliche vereinbarten SCCs auf die neuen Versionen umgestellt sein. Danach sind Datenübermittlungen außerhalb der EU/des EWR auf Grundlage der alten SCCs nicht mehr zulässig. Ein Datentransfer außerhalb EU/EWR ohne eine ausreichende Legitimationsgrundlage kann dann einen Datenschutzverstoß darstellen, der Untersagungen der Datenverarbeitung bis hin zu Bußgeldern zur Folge haben kann.

Unternehmen müssen ihre datenschutzrechtlichen Vereinbarungen damit zwar nicht in einem Hauruck-Verfahren anpassen, allerdings sollte der Änderungsaufwand nicht unterschätzt werden. Vor allem in größeren Unternehmen bzw. Unternehmensgruppen sollte daher umgehend mit der Ersetzung der bestehenden SCCs begonnen werden, um die Umsetzungsfrist einhalten zu können.

Empfohlene Schritte bei der Umstellung:

  • Internationale Datentransfers auf Grundlage der bisherigen SCCs identifizieren
  • SCC-Sets für die verschiedenen Konstellationen zusammenstellen
  • Risikobewertung vorbereiten: Risikoreduzierende und risikoerhöhende Bewertungsfaktoren anhand der neuen SCCs ermitteln (Self Assessment Checkliste)
  • Risikobewertung für jede einzelne Datenübermittlung vornehmen und dokumentieren
  • Ggf. zusätzliche technisch-organisatorische Maßnahmen, Pflichten und Absicherungen festlegen
  • Vertragspartner anschreiben, um alte SCCs zu ersetzen und ggf. vereinbarten Vertragsänderungsprozess zu initiieren
  • Einhaltung der vereinbarten Maßnahmen durch die Vertragspartner überprüfen
Timeline

Der Beschluss wurde am 7. Juni im EU-Amtsblatt veröffentlicht und tritt am 27. Juni 2021 in Kraft. Mit Wirkung vom 27. September 2021 werden die bisherigen SCCs aufgehoben. In Bezug auf Verträge, die vor dem 27. September 2021 auf Grundlage der bisherigen SCCs geschlossen wurden bzw. werden, wird davon ausgegangen, dass sie geeignete Garantien im Sinne des Artikels 46 Absatz 1 DSGVO für eine weitere 15-monatige Übergangsfrist bis zum 27. Dezember 2022 bieten. Das setzt allerdings voraus, dass die Verarbeitungsvorgänge, die Gegenstand des Vertrags sind, unverändert bleiben und die Umsetzung der SCCs den vorstehend geschilderten Anforderungen entspricht.

Die folgende Grafik zeigt die Zeitachse für die Umstellungsphase:

Ihr/e Ansprechpartner
Silvia C. Bauer

Silvia C. Bauer
Partnerin
Köln
silvia.c.bauer@luther-lawfirm.com
+49 221 9937 25789

Dr. Stefanie Hellmich, LL.M.

Dr. Stefanie Hellmich, LL.M.
Partnerin
Frankfurt a.M.
stefanie.hellmich@luther-lawfirm.com
+49 69 27229 24118

Christian Kuß, LL.M.

Christian Kuß, LL.M.
Partner
Köln
christian.kuss@luther-lawfirm.com
+49 221 9937 25686

Dr. Michael Rath

Dr. Michael Rath
Partner
Köln
michael.rath@luther-lawfirm.com
+49 221 9937 25795

Seiten
Über uns
Kompetenzen
Team
Newsroom
Karriere
Kontakt
Social Media
Facebook
Linkedin
XING
Youtube
Hinweise
Impressum
Datenschutz
Newsletter
Hier finden Sie unsere aktuellsten Newsletter >>