Haben Sie schon die neuen EU-Standardvertragsklauseln abgeschlossen? Handeln Sie jetzt und erhöhen Sie die Rechtssicherheit.

Neue EU-Standardvertragsklauseln müssen bis zum 27.12.2022 abgeschlossen werden. Ob Sie davon betroffen sind und was Sie beachten müssen, erklären wir in diesem Beitrag.

Seit dem Urteil des EuGH in der Rechtsprechung Schrems II wurde der Datentransfer in die USA oder anderer Drittländer deutlich verschärft. Dieser Datentransfer unterliegt vor allem einem besonderen Schutzniveau. Durch sog. Standardvertragsklauseln wird ein angemessenes Schutzniveau gewährt. Solche Standardvertragsklauseln, die vor allem DSGVO-konform sind, hat die Europäische Kommission jetzt erlassen und müssen von Unternehmern bis zum 27.12.2022 abgeschlossen werden (ZD-Aktuell 2021, 05011, beck-online).

Was sind EU-Standardvertragsklauseln?

Unter Standardvertragsklauseln versteht man „Musterverträge der EU-Kommission“, durch die beide Vertragsparteien verpflichtet werden, ein auf europäischer Ebene vergleichbares Datenschutzniveau einzuhalten.

Warum gibt es Standardvertragsklauseln?

Bei der Übermittlung von personenbezogenen Daten in ein Drittland benötigt man eine nach der DSGVO geeigneten Rechtsgrundlage. Nach dem Schrems II-Urteil ist es zudem notwendig, dass auch ein angemessenes Schutzniveau dieser Daten sichergestellt wird. Und genau hierfür sind die Standardvertragsklauseln gut: Sie gewähren eine Garantie dieses angemessenen Datenschutzniveaus. Es handelt sich hierbei um neue EU-Standardvertragsklauseln, die im Gegensatz zu denen aus den Jahren zuvor der DSGVO entsprechen. Dies ist insofern besser, da die Parteien die den Vertrag abschließen, somit eine höhere Rechtssicherheit haben.

Standardvertragsklauseln reichen grundsätzlich jedoch nicht aus. Eine Risikoabschätzung ist zudem erforderlich.

Wichtig zu beachten ist, dass zusätzlich zu den Standardvertragsklauseln eine „Risikoabschätzung“ getätigt werden muss. Lediglich das Abschließen der Standardvertragsklauseln ist nicht ausreichend. Eine Risikoabschätzung muss dahingehend erfolgen, dass geprüft werden muss, wie die Datenübertragung in das Drittland erfolgt und auch inwiefern der Vertragspartner den Datenaustausch schützt. Führen Sie eine solche Prüfung also ausführlich durch. Erst mit den Standardvertragsklauseln und einer Risikoabschätzung sind Sie auf der rechtssicheren Seite.

Wer ist Adressat der Umsetzung der Standardvertragsklauseln?

Die Standardvertragsklauseln sind dann anwendbar und vor allem notwendig, wenn es um den Austausch personenbezogener Daten von einem europäischen Land in ein Drittland, wie z.B. den USA geht und diese personenbezogenen Daten dann in das jeweilige Land übermittelt werden. Dabei gilt es zu beachten, dass die Daten den gleichen Schutz genießen müssen wie innerhalb Europas. Betroffen sind somit europäische Unternehmer mit Bezug in die USA oder ein sonstiges Drittland. Jedoch sind auch Dienstleistungen, die innerhalb der Europäischen Union erfolgen, von Standardvertragsklauseln betroffen, wenn „Sie Ihrerseits Freelancer außerhalb der EU als Subunternehmer beauftragen“. Sobald der von Ihnen genutzte Anbieter eines Tools oder einer Dienstleistung nicht europäisch ist oder anders herum, wenn Sie Anbieter sind und sich dahingehend selbst Freelancer bedienen, die ihren Sitz in einem Drittland außerhalb der EU haben, müssen die neuen EU-Standardvertragsklauseln von Ihnen abgeschlossen werden. Es gilt also der Grundsatz, dass immer wenn ein nicht europäischer Anbieter, Dienstleister oder Freelancer involviert ist und personenbezogene Daten übermittelt werden, die EU-Standardvertragsklauseln gelten.

Umsetzung der neuen EU-Standardvertragsklauseln- Prüfungsschema

Eine Prüfung könnte wie folgt aussehen:

  1. Es muss geprüft werden, bei welchen von Ihren genutzten Anbietern, Tools etc. die Übermittlung personenbezogener Daten in ein nicht europäisches Drittland erfolgt. Die Subunternehmer müssen ebenfalls betrachtet werden.
  2. Prüfen Sie dann, ob mit diesen genannten Parteien bereits Standardvertragsklauseln abgeschlossen haben.
  3. Falls ja, dann sollten Sie mit den Parteien sprechen und sich darauf einigen, die neuen Vertragsklauselns abzuschließen und zu übernehmen.
  4. Risikoabschätzung vornehmen.
  5. Das Ganze sollte bis zum 27.12.2022 erfolgt sein.

Die wichtigsten Punkte noch einmal zusammengefasst:

  • Primäre Adressaten der Standardvertragsklauseln sind Sie, wenn Sie personenbezogene Daten z.B. via Tools (Mailchimp, Facebook etc.) dem Anbieter mit Sitz in einem Drittland übermitteln.
  • Unternehmer, die mit Freelancern und Partnern außerhalb der EU zusammenarbeiten, sind ebenfalls Adressaten der Standardvertragsklauseln und sollten diese auch umsetzen.
  • Treffen diese Punkte auf Sie zu und sollten Sie Adressat der Standardvertragsklauseln sein, sind Sie dazu verpflichtet, die Klauseln bis zum 27.12.2022 abzuschließen.
  • Die neuen EU-Standardvertragsklauseln sind an die DSGVO angepasst. Es ist auch ratsam die neuen EU-Standardvertragsklauseln schon vor dem oben genannten Datum abzuschließen, da Ihnen diese ein höheres Niveau an Rechtssicherheit bieten.
  • Wichtig (wie bereits oben erwähnt): Das Abschließen der Standardvertragsklauseln reicht noch nicht ganz aus; eine Risikoabschätzung muss zudem erfolgen.

Neue Standardvertragsklauseln