Die EU-Kommission hat mit der neuen Standardvertragsklausel ein wichtiges Instrument für den internationalen Datentransfer eingeführt. Doch welche Auswirkungen hat dieser Beschluss für Verantwortliche und Auftragsverarbeiter?
Was ist eine Standardvertragsklausel?
Der Datentransfer außerhalb der EU/des EWR muss dem Schutzniveau der DSGVO entsprechen. Ohne Angemessenheitsbeschluss der EU-Kommission müssen die Vertragspartner dieses Niveau selbst garantieren. Die neue Standardvertragsklausel stellt eine solche Garantie dar. Sie verpflichtet seine Anwender zur Einhaltung des DSGVO-Schutzniveaus.
Einheitliche neue Standardklausel
Bisher mussten Datenexporteure im Einzelfall prüfen, ob und welche Schutzmaßnahmen für das Schutzniveau erforderlich sind. Die neue Standardklausel soll dies nun vereinheitlichen. Sie führt die bisher bestehenden Klauseln zu einer modular aufgebauten Klausel zusammen. Zudem enthält sie Regelungen zur Haftung. Die Parteien können Gerichtsstand und geltendes Recht selber festgelegen. Der Vertragsschluss wird dadurch flexibler, ist jedoch auch aufwändiger. Zudem müssen die Parteien vertraglich versichern, dass ihnen keine Rechtsvorschriften bei der Erfüllung der Pflichten aus der Klausel im Wege stehen. Dadurch sollen die Parteien ihre individuellen Erfahrungen im Umgang mit Rechtsvorschriften und Behörden einbringen können. Allerdings könnte dieser Klauselbestandteil noch vom EuGH aufgehoben werden.
Alte Standardvertragsklausel bis Ende 2022 ersetzen
Bis zum 27.12.2022 müssen Unternehmen alle bisher abgeschlossenen Standardvertragsklauseln für den Datentransfer in Drittländer durch die neue Version ersetzt haben. Dadurch ergeben sich zwei Schritte, die Unternehmen jetzt gehen sollten.
- Zuerst muss geprüft werden, welche Daten auf Grundlage alter Klauseln übermittelt werden.
- Dann sollten Unternehmen bei ihren Vertragspartnern aus Drittländern dringend auf die Vereinbarung der neuen Standardklausel drängen.
Der Abschluss kann nämlich aufgrund der notwendigen Risikobewertung und der Verhandlungen über geeignete Maßnahmen äußerst zeitintensiv werden. Gerne unterstützen wir Sie dabei, das Risiko richtig einzuschätzen und DSGVO-konforme Maßnahmen zu finden.
Weiterlesen:
Erstellung eines Datenschutzkonzepts für Ihr Unternehmen
Wie streng sind die Anforderungen an die Abberufung eines Datenschutzbeauftragten? Der EuGH muss entscheiden