Bereits am 04. Juni 2021 veröffentlichte die Europäische Kommission die finale Fassung der neuen Standarddatenschutzklauseln für die Übermittlung von personenbezogenen Daten in Drittländer. Zu diesem Zeitpunkt wurde zudem die finale Fassung der Standardvertragsklauseln bekannt gegeben. Diese gelten für Auftragsverarbeitungsverträge für Verarbeitungen in der gesamten EU.
Umsetzungsfristen für Unternehmer
Durch das Inkrafttreten der neuen Standarddatenschutzklauseln laufen Umsetzungsfristen. Seit dem 27. September 2021 dürfen für Neuverträge nur noch die neuen Vorlagen verwendet werden. Bestehende Vereinbarungen müssen bis zum 27. Dezember 2022 auf die neuen Klauseln umgestellt werden.
Nutzen der neuen Standardvertragsklauseln
Die Rechtmäßigkeit der Übermittlung von Daten in Länder außerhalb der EU muss in zwei Stufen betrachtet werden. Zunächst muss nach Art. 6 Abs. 1 DSGVO eine Rechtsgrundlage für die Datenübermittlung vorliegen. Auf der zweiten Stufe wird geprüft, ob bei dem Empfänger im Drittland ein angemessenes Schutzniveau für die übermittelten Daten besteht. Nach Art. 46 DSGVO kann durch geeignete Garantien ein solches Schutzniveau hergestellt werden. Die neuen Standardvertragsklauseln sind Garantien in diesem Sinne (Art. 46 Abs. 2 lit. c DSGVO). Eine Reihe von Änderungen begleitet die neuen Standardvertragsklauseln. Sie sind modular aufgebaut, verlangen erstmals eine obligatorische Risikoeinschätzung und schreiben weitere Schutzmaßnahmen vor. Datenexportierende Unternehmen müssen bei Umstellung auf die neuen Standarddatenschutzklauseln sämtliche auf die bisherigen Standarddatenschutzklauseln gestützte Übermittlungen in Drittländer erneut prüfen. Bereits seit dem 1. Juni 2021 werden Fragebögen von den Datenschutzbehörden an Unternehmen gesendet, um die Umsetzung zu dokumentieren und zu kontrollieren.