skip to Main Content

Verabschiedung neuer EU-Standardvertragsklauseln – Und jetzt?

Wie wir bereits in unserem Blogbeitrag Update zum Umgang mit personenbezogenen Daten beim internationalen Datentransfer berichtet haben, hat die Europäische Kommission bereits im November letzten Jahres auf das Schrems II-Urteil des EuGH vom 16. Juli 2020, Rechtssache C-311/18, reagiert und neue EU-Standardvertragsklauseln (SCC) zur öffentlichen Konsultation gegeben.

Am Freitag, den 04.06.2021, hat die Europäische Kommission die neuen EU-Standardvertragsklauseln (SCC) als Garantie im internationalen Datentransfer gemäß Art. 46 Abs. 1 DSGVO nun verabschiedet. Auch die Veröffentlichung im Amtsblatt ist mittlerweile bereits erfolgt.

Doch was bedeutet das nun für Unternehmen, welche mit den bisherigen SCC gearbeitet haben?

Einführung der neuen SCC im Unternehmen

Dem Artikel 4 des Durchführungsbeschlusses der Europäischen Kommission können die nun geltenden Übergangsfristen entnommen werden. Die bisherigen SCC können noch für 3 Monate wie bisher für den Datentransfer in Drittstaaten abgeschlossen werden. Nach dieser ersten genannten Frist müssen bei neuen Verträgen die neuen SCC abgeschlossen werden. Innerhalb einer weiteren Frist von 15 Monate müssen Verträge mit den bisherigen SCC auf die neuen SCC angepasst werden. Bis zum Ablauf dieser zweiten Frist können sich Unternehmen jedoch noch auf die bisherigen SCC in ihren Verträgen als Garantie für den Drittstaattransfer personenbezogener Daten berufen.

Die neuen SCC weisen einen modularen Aufbau vor, um verschiedene Szenarien abzudecken. Auch die Kritik aus dem Schrems II-Urteil des EuGH, dass Behörden auf personenbezogene Daten in den USA zugreifen können, ohne dass betroffene Personen einen adäquaten Rechtsbehelf gegen dieses Vorgehen haben, wurde berücksichtigt. Der Zugriff auf die personenbezogenen Daten durch die örtlichen Behörden wird nun unter Abschnitt III geregelt. Dabei geht man zwar grundsätzlich vertrauensvoll von der Wahrung von Betroffenenrechten aus, vereinbart jedoch zusätzliche Benachrichtigungs- und Überprüfungspflichten für den Fall staatlicher Zugriffsversuche.

Fazit

Unternehmen sollten sich klar machen, welche Verträge von den neuen SCC und der damit verbundenen Übergangsfristen betroffen sind und einen Prozess für die Aktualisierung ausarbeiten. Darüber hinaus ist ein Prozess zu entwickeln, um künftig die neuen SCC bei zukünftigen Verträgen zu nutzen. Zudem sind Mitarbeiter, welche mit den neuen SCC arbeiten, entsprechend auf die neuen Anforderungen zu sensibilisieren.

Laura Piater

Consultant für Datenschutz

Volljuristin

Back To Top