Die Aufsichtsbehörde Niedersachsen zu neuen Standardvertragsklauseln

Mit dem Schrems II-Urteil vom 16.07.2020 hat der Europäische Gerichtshof (EuGH) die Anforderungen an die Verwendung von Standardvertragsklauseln in der Praxis ganz erheblich verschärft. Danach liegt es in der Verantwortung eines Datenexporteurs, vor der Übermittlung personenbezogener Daten zu prüfen, ob in dem Drittland ein Schutzniveau besteht, das dem in der EU gleichwertig ist. Sofern das nicht der Fall ist, müssen gegebenenfalls zusätzliche Maßnahmen zur Sicherstellung eines dem in der EU im Wesentlichen gleichwertigen Schutzniveaus ergriffen oder von der Übermittlung abgesehen werden.
Die Europäische Kommission hat im Juni 2021 neue Standardvertragsklauseln erlassen (Durchführungsbeschluss (EU) 2021/914 der EU-Kommission v. 04.06.2021 – Az. C(2021) 3972, ABl. EU Nr. L 199/31 vom 07.06.2021).

DIE ALTEN SCC

Bereits auf Grundlage der alten EU-Datenschutzrichtlinie (Art. 26 Abs. 4 der Richtlinie 95/46/EG) hatte die Kommission folgende Standardvertragsklauseln erlassen, die auch unter Geltung der DS-GVO zunächst weitergenutzt werden konnten (Art. 46 Abs. 5 Satz 2 DS-GVO):

Verantwortlicher an Verantwortlichen (Standardvertragsklauseln Set I, EU-Kommission, Entsch. v. 15.06.2001 – Az. K(2001) 1539, ABl. EG Nr. L 181, 19; alternative Standardvertragsklauseln Set II, EU-Kommission, Entsch. v. 27.12.2004 – Az. K(2004) 5271, ABl. EG Nr. L 385, 74)
Verantwortlicher an Auftragsverarbeiter (EU-Kommission, Beschl. v. 05.02.2010 – Az. K(2010) 593, ABl. EU Nr. L 39, 5)

Diese alten Standardvertragsklauseln dürfen nur noch für eine Übergangszeit bis zum 26.09.2021 für Neuverträge verwendet werden. Spätestens bis zum 27.12.2022 müssen alle Altverträge, die auf der Grundlage der bestehenden Standardvertragsklauseln abgeschlossen wurden, auf die neuen Standardvertragsklauseln umgestellt worden sein.

DIE NEUEN SCC 2021

Die neuen Standardvertragsklauseln sind modular aufgebaut und können in folgenden Konstellationen eingesetzt werden:

Verantwortlicher an Verantwortlichen
Verantwortlicher an Auftragsverarbeiter
Auftragsverarbeiter an (Unter-)Auftragsverarbeiter
Rückübermittlung des Auftragsverarbeiters in der EU an einen Verantwortlichen im Drittland

Die neuen Standardvertragsklauseln sind spätestens ab dem 27.09.2021 zwingend für Neuverträge zu verwenden. Spätestens bis zum 27.12.2022 muss eine Umstellung sämtlicher Altverträge auf die neuen Standardvertragsklauseln erfolgt sein.

Bei Auftragsverarbeitungsverträgen decken die neuen Standardvertragsklauseln die Anforderungen aus Art. 28 DS-GVO mit ab. Die Notwendigkeit zum Abschluss eines zusätzlichen Auftragsverarbeitungsvertrags gemäß Art. 28 DS-GVO entfällt daher.

Die Genehmigungsfreiheit bei der Verwendung der Standardvertragsklauseln gilt nur, sofern diese unverändert verwendet werden. Hiervon unberührt bleiben die Auswahl eines Moduls oder die Ergänzung oder Aktualisierung von Informationen in der Anlage. Vertragsparteien können die Standardvertragsklauseln auch in einen umfangreicheren Vertrag mit aufnehmen. Sofern jedoch weitere Klauseln oder zusätzliche Garantien hinzugefügt werden, dürfen diese weder unmittelbar noch mittelbar im Widerspruch zu den Standardvertragsklauseln stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneiden.