Standarddatenschutzklauseln der EU-Kommission oder einer Aufsichtsbehörde
Schließen der Datenexporteur und der Datenimporteur einen Vertrag unter Verwendung der Standarddatenschutzklauseln der EU-Kommission (Art. 46 Abs. 2 lit. c DS-GVO), ist der darauf basierende Datentransfer ohne weitere Genehmigung durch die Aufsichtsbehörde zulässig (vorbehaltlich der Berücksichtigung der weiteren Anforderungen nach der Datenschutz-Grundverordnung, insbesondere aus Kapitel I-IV). Auch die Aufsichtsbehörden können gemäß Art. 46 Abs. 2 lit. d DS-GVO eigene Standarddatenschutzklauseln entwerfen. Diese bedürfen der Abstimmung im Kohärenzverfahren und sind anschließend von der Kommission förmlich zu genehmigen.
Im Juni 2021 hat die Europäische Kommission neue Standardvertragsklauseln erlassen, welche seit dem 27.09.2021 zwingend für Neuverträge zu verwenden sind. Die Umstellung sämtlicher Altverträge auf die neuen Standardvertragsklauseln muss spätestens bis zum 27.12.2022 erfolgt sein. Die Standardvertragsklauseln sind modular aufgebaut und können in folgenden Konstellationen eingesetzt werden:
- Verantwortlicher an Verantwortlichen
- Verantwortlicher an Auftragsverarbeiter
- Auftragsverarbeiter an (Unter-)Auftragsverarbeiter
- Rückübermittlung des Auftragsverarbeiters in der EU an einen Verantwortlichen im Drittland
Den Durchführungsbeschluss (EU) 2021/914 der EU-Kommission vom 04.06.2021 – Az. C(2021) 3972, ABl. EU Nr. L 199/31 vom 07.06.2021 und die neuen EU-Standardvertragsklauseln finden Sie hier.
Sofern die Standardvertrags- bzw. Standarddatenschutzklauseln in unveränderter Form verwendet werden, sind die Datenübermittlungen genehmigungsfrei. Dies gilt auch noch dann, wenn ihnen weitere Klauseln oder zusätzliche Garantien hinzugefügt werden, solange diese weder mittelbar noch unmittelbar im Widerspruch zu den Standardklauseln stehen und die Grundrechte und Grundfreiheiten der betroffenen Personen nicht beschneiden (Erwägungsgrund 109). Bei solchen Hinzufügungen sollten Unternehmen jedoch eine gewisse Vorsicht walten lassen, da im Falle eines inhaltlichen Widerspruchs zu den Standardvertrags- bzw. Standarddatenschutzklauseln die Übermittlung genehmigungspflichtig wird.
Wie bei allen Garantien nach Art. 46 DS-GVO müssen Datenexporteure zusätzliche Prüfungen anstellen und bei Bedarf zusätzliche Maßnahmen treffen. Informationen hierzu finden Sie hier.