Was ist passiert?
Am 4.6.2021 hat die EU-Kommission die neuen Standarddatenschutzklauseln für Datenübermittlungen in Drittländer veröffentlicht:
- Beschluss über die Einführung der neuen Standarddatenschutzklauseln für Drittlandübermittlungen (deutsch / englisch)
- Annex mit dem Text der neuen Standarddatenschutzklauseln für Drittlandübermittlungen (deutsch / englisch)
Die Klauseln werden nach einer Übergangsfrist die bisherigen Standardvertragsklauseln („SCC“) ablösen. Für Datenverarbeiter (gleich ob Verantwortliche oder Auftragsverarbeiter) besteht damit Handlungsbedarf, denn die bisherigen Standardvertragsklauseln aus 2006/2010 müssen zwingend auf den neuen Stand aktualisiert werden, wenn die Drittlandübermittlungen in Zukunft fortgeführt werden.
Anders als die früheren SCC sind die neuen Standarddatenschutzklauseln modular aufgebaut und bilden neben den beiden bekannten Konstellationen Datenübermittlung von einem Verantwortlichen an einen anderen Verantwortlichen („C2C“) sowie von einem Verantwortlichen an einen Auftragsverarbeiter („C2P“) auch die neuen Konstellationen Datenübermittlung von einem Auftragsverarbeiter an einen anderen Auftragsverarbeiter („P2P“) sowie von einem Auftragsverarbeiter an einen Verantwortlichen („P2C“) ab.
Außerdem hat die EU-Kommission am 4.6.2021 Standardvertragsklauseln zur Auftragsverarbeitung für Datenverarbeitungen innerhalb der EU veröffentlicht:
- Beschluss über die Einführung der Standardvertragsklauseln zur Auftragsverarbeitung (deutsch / englisch)
- Annex mit dem Text der Standardvertragsklauseln zur Auftragsverarbeitung (deutsch / englisch)
Die Standardvertragsklauseln zur Auftragsverarbeitung sind ein Angebot der EU-Kommission, müssen aber nicht genutzt werden.
Achtung: Begriffsverwirrung
Art. 46 Abs. 2 Buchst. c DSGVO spricht bei Drittlandübermittlungen von Standarddatenschutzklauseln als geeigneten Garantien, während Art. 28 Abs. 7 DSGVO bei der Auftragsverarbeitung Standardvertragsklauseln als Gestaltungsmöglichkeit nennt. Die EU-Kommission verwendet leider beide Begriffe gleichbedeutend. In der Sache ist die Bezeichnung unschädlich: Wichtig ist nur, zwischen den Standardbedingungen für Drittlandübermittlungen einerseits und den Musterverträgen für Auftragsverarbeitungen in der EU andererseits zu differenzieren.
Weitere Unterstützung
In den kommenden Tagen werden wir nach sorgfältiger Analyse aktiv über den Umgang mit den Vertragsdokumenten informieren:
- Onepager mit einer kurzen Executive Summary
- Ausführliche Mandanteninformation mit Details zu den Beschlüssen und Vertragsklauseln
- Checklisten für das Vorgehen zur Einführung der neuen Standarddatenschutzklauseln für Drittlandübermittlungen
- Interaktiver, auf einem Fragebogen basierender „Baukasten“ zum Erstellen der neuen Vertragsdokumente
Sprechen Sie unser Team bei Fragen jederzeit gerne an.
Und: es gibt keinen Grund zur Hektik. Wichtig ist jetzt ein zügiges, geplantes und koordiniertes Vorgehen, um bei der Gelegenheit zugleich etwaig noch offenen Umsetzungsbedarf aus dem Schrems II Urteil vom Juli 2020 zu adressieren.