Dortmund, 09.06.2021: Die EU-Kommission hat am 04. Juni 2021 die neu gefassten Standardvertragsklauseln („Standard Contractual Clauses“, kurz SCC), veröffentlicht. Die Neufassung der Vertragswerke war notwendig, da die teilweise schon über 10 Jahre alten Vorgängerregelungen an die neuen Vorgaben der seit 2018 geltenden Datenschutz-Grundverordnung (DSGVO) angepasst werden mussten. Die Standardvertragsklauseln können in bestimmten, in der DSGVO geregelten Fällen, als Grundlage für eine Übermittlung von personenbezogenen Daten genutzt werden.
Die neuen Standardvertragsklauseln berücksichtigen auch die Rechtsprechung des Europäischen Gerichtshofs zum Privacy Shield (Schrems II-Urteil) und sind nun modular aufgebaut, so dass alle möglichen Konstellationen von Verantwortlichen oder Verarbeitern (Dienstleistern) im Inland wie im Drittland berücksichtigt werden.
Bei Übermittlungen in Drittländer bedarf es neben der immer notwendigen Rechtsgrundlage für die Verarbeitung – hier die Übermittlung in das Drittland – auch noch der Prüfung, ob in dem Drittland ein vergleichbares Datenschutzniveau gegeben ist und die übermittelten Daten daher ausreichend geschützt sind. Eine solche Einzelfallprüfung kann dann entfallen, wenn für dieses Drittland ein Angemessenheitsbeschluss der Europäischen Kommission vorliegt (eine Übersicht der derzeitigen Angemessenheitsbeschlüsse ist zu finden unter: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en
Gibt es keinen Angemessenheitsbeschluss der Europäischen Kommission, so kann das Schutzniveau auch durch die in den Standardvertragsklauseln vereinbarten Garantien sichergestellt werden (§ 40 KDG). Die Standardvertragsklauseln sind grundsätzlich unverändert zur Vertragsgrundlage zu machen. In der neuen Version ist es jetzt aber im bestimmten Umfang möglich, zusätzliche Vereinbarungen zu treffen, die das durch die Klauseln festgelegte Schutzniveau aber nicht absenken dürfen.
Wichtig ist, dass der mit den Klauseln vertraglich vereinbarte Schutz für die Daten im Drittland für den Vertragspartner auch umsetzbar sein muss. Ansonsten bieten die Klauseln keine wirksame Grundlage für die Datenverarbeitung in dem Drittland.
Die neuen Vertragswerke sind am 07. Juni 2021 im Amtsblatt der Europäischen Union veröffentlicht worden https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=OJ:L:2021:199:TOC.
Das Katholische Datenschutzzentrum wird zu den neuen Vertragswerken später noch weitere Informationen veröffentlichen.