Die Standardvertragsklauseln für Verantwortliche aus dem Jahr 2001/2004 und Standardvertragsklauseln für Auftragsverarbeiter aus dem Jahr 2010 verlieren am 27. Dezember 2022 ihre Gültigkeit. Unternehmen, die personenbezogene Daten in Drittländer außerhalb des Europäischen Wirtschaftsraum übermitteln, sollten bestehende Verträge mit Dienstleistern und sonstigen Dritten auf die Einbindung der alten Standardvertragsklauseln prüfen.

Zum Hintergrund.

Die Übermittlung personenbezogener Daten aus dem Europäischen Wirtschaftsraum in Länder außerhalb des EWR ist nur zulässig, wenn beim Datenempfänger ein angemessenes Datenschutzniveau sichergestellt ist. Um ein solches angemessenes Datenschutzniveau zu gewährleisten, sieht die DSGVO unter anderem die Möglichkeit vor, die von der Europäischen Kommission erlassene Standarddatenschutzklauseln zu nutzen (vgl. Art. 46 Abs. 2 lit. c DSGVO). Die Standardvertragsklauseln stellen einen von mehreren möglichen Transfermechanismen dar, um personenbezogene Daten in Drittländer zu übermitteln, die kein mit der Europäischen Union vergleichbares Datenschutzniveau aufweisen.

Die Standardvertragsklauseln aus den Jahren 2001/2004 und 2010 gewährleisten nach dem „Schrems II“-Urteil des EuGH vom 16. Juli 2020 (Aktenzeichen C-311/18) und der Aufhebung des Privacy Shields keinen ausreichenden Schutz mehr. Die Europäische Kommission veröffentlichte deshalb am 7. Juni 2021 neue, aktualisierte Standardvertragsklauseln, die die bisherigen, noch unter der EG-Datenschutzrichtlinie erlassenen Klauseln ablösen. Der am 27. Juni 2021 in Kraft getretene Durchführungsbeschluss zu den neuen Standardvertragsklauseln sieht eine Übergangsfrist von 15 Monaten vor, in der bereits abgeschlossene alte Standardvertragsklauseln unter bestimmten Bedingungen noch weitergelten. Diese Übergangsfrist endet nun zum 27. Dezember 2022.

Konsequenzen bei Datenübermittlung auf Grundlage alter Standardvertragsklauseln.

Eine Datenübermittlung in Drittländer auf Grundlage der alten Standardvertragsklauseln ist nach dem 27. Dezember 2022 nicht mehr möglich. Werden personenbezogene Daten auf dieser Grundlage nach dem 27. Dezember 2022 in Drittländer übermittelt, kann dieser Verstoß mit einer Geldbuße in Höhe von bis zu EUR 20 Millionen oder 4 Prozent des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet werden (vgl. Artikel 83 Abs. 5 lit. c) DSGVO.

Was Unternehmen jetzt tun sollten.

Unternehmen, die personenbezogene Daten in Drittländer außerhalb des Europäischen Wirtschaftsraums übermitteln, sollten dringend prüfen, auf welcher rechtlichen Grundlage dies geschieht. Soweit personenbezogene Daten an Dienstleister oder andere Geschäftspartner in Drittländern auf Grundlage der alten Standardvertragsklauseln übermittelt werden, ist Eile geboten. Bis zum 27. Dezember 2022 muss die Datenübertragung auf die neuen Standardvertragsklauseln umgestellt sein, um die Gefahr von Geldbußen zu vermeiden.