Frist für die Umstellung von Altverträgen auf neue Standarddatenschutzklauseln endet
Spätestens bis zum 27. Dezember 2022 müssen alle Altverträge von Unternehmen und anderen Stellen, die personenbezogene Daten in Länder außerhalb des europäischen Wirtschaftsraums oder an internationale Organisationen übermitteln, auf die neuen Standarddatenschutzklauseln umgestellt werden.
Wurde einem Drittland oder einer internationalen Organisation von der Kommission kein angemessenes Datenschutzniveau attestiert, kann grundsätzlich auf die von der Europäischen Kommission vorformulierten Standardvertragsklauseln im Sinne von Art. 46 Abs. 2 Buchstabe c Datenschutz-Grundverordnung (DSGVO) zurückgegriffen werden, um ausreichende Garantien für die Übermittlung personenbezogener Daten zu schaffen. Die Datenschutz-Grundverordnung verwendet lediglich den neuen Begriff „Standarddatenschutzklauseln“.
Die dem Verantwortlichen oder dem Auftragsverarbeiter offenstehende Möglichkeit, auf die von der Kommission oder einer Aufsichtsbehörde festgelegten Standarddatenschutzklauseln zurückzugreifen, soll den Verantwortlichen oder den Auftragsverarbeiter weder daran hindern, die Standarddatenschutzklauseln auch in umfangreicheren Verträgen, wie zum Beispiel Verträgen zwischen dem Auftragsverarbeiter und einem anderen Auftragsverarbeiter, zu verwenden, noch ihn daran hindern, ihnen weitere Klauseln oder zusätzliche Garantien hinzuzufügen, solange diese weder mittelbar noch unmittelbar im Widerspruch zu den von der Kommission oder einer Aufsichtsbehörde erlassenen Standard-Datenschutzklauseln stehen oder die Grundrechte und Grundfreiheiten der betroffenen Personen beschneiden (Satz 1 des Erwägungsgrundes 109).
Die Verwendung von Standarddatenschutzklauseln stellt gerade für kleinere und mittlere Unternehmen ein einfach handhabbares Instrument zur rechtmäßigen Übermittlung personenbezogener Daten in Drittländer dar.
Zwar ist es möglich, die Standarddatenschutzklauseln auch in umfangreichere Vertragswerke einzubauen oder um zusätzliche Klauseln zu ergänzen. Zu bedenken ist allerdings, dass die Übermittlung der Daten nur dann genehmigungsfrei ist, wenn die Standarddatenschutzklauseln unverändert verwendet werden.
Mitte des Jahres 2021 legte die Kommission einen Durchführungsbeschluss über neue Klauseln vor, die an die DSGVO angepasst waren. Der Beschluss sieht eine stufenweise Ablösung der bisherigen Standardvertragsklauseln vor. So müssen bereits seit dem 27. September 2021 für Neuverträge zwingend die neuen Standarddatenschutzklauseln verwendet werden. Für Altverträge, die vor dem 27. September 2021 abgeschlossen worden sind, hat die Kommission einen Übergangszeitraum zur Umstellung auf die neuen Klauseln vorgesehen, der nun bald endet. Spätestens bis zum 27. Dezember 2022 müssen alle Altverträge umgestellt worden sein. Nach diesem Datum gelten die früheren Standardvertragsklauseln nicht mehr als „geeignete Garantie“ im Sinne von Art. 46 Abs. 2 Buchstabe b DSGVO für den Export personenbezogener Daten.
Stellt eine Aufsichtsbehörde eine Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen ohne geeignete Garantien (wie die neuen Standarddatenschutzklauseln) fest, kann sie anordnen, dass diese Übermittlungen ausgesetzt werden. Außerdem kommt die Verhängung eines Bußgeldes in Betracht.
Zudem muss der Datenexporteur auch bei Verwendung der neuen Klauseln immer die Rechtslage und -praxis des Drittlands prüfen, gegebenenfalls zusätzliche Maßnahmen ergreifen oder notfalls sogar die Übermittlung einstellen.
Fundstelle: Pressemitteilung der Landesbeauftragten für den Datenschutz Niedersachsen vom 03.11.2022 – abrufbar im Internet unter https://www.datenschutz.de/neue-standardvertragsklauseln-frist-fuer-die-umstellung-von-altvertraegen-endet-demnaechst/