Bereits im November letzten Jahres hatte die EU-Kommission als Reaktion auf das sog. Schrems II-Urteil einen neuen Entwurf der EU-Standardvertragsklauseln veröffentlicht (wir berichteten) und erhielt dafür von Datenschützern großen Zuspruch (wir berichteten). Am 04.06.2021 nahm sie die neuen EU-Standardvertragsklauseln nun im Rahmen eines Durchführungsbeschlusses an.
Was ist neu?
Im Gegensatz zu den alten Klauseln, folgen die neuen Klauseln einem modularen Aufbau und erfassen auch das Verhältnis Auftragsverarbeiter-Auftragsverarbeiter und Auftragsverarbeiter-Verantwortlicher. Durch die Erweiterung des Anwendungsbereichs werden künftig somit auch Unterauftragsverhältnisse mit abgedeckt. Die neue „Docking Clause“ ermöglicht es zukünftig Dritten bereits geschlossenen Verträgen beizutreten.
Daneben wurden folgende zusätzliche Pflichten aufgenommen:
- Pflicht zur unverzüglichen Information der Betroffenen und des Datenexporteurs im Falle eines rechtsverbindlichen Antrags einer Behörde auf Datenherausgabe
- Pflicht des Datenimporteurs, rechtlich gegen das Zugriffsbegehren vorzugehen, sofern die gesetzlichen Voraussetzungen dafür vorliegen.
- Pflicht zur Prüfung durch den Verwender, ob der Datenimporteur angesichts der rechtlichen Situation im Drittland in der Lage ist, die vertraglichen Regelungen insbesondere zum Schutz vor unverhältnismäßigen Behördenzugriffen einzuhalten.
- Das Ergebnis dieser Prüfung und eventuell zum Schutz der Daten ergriffene technische und organisatorische Maßnahmen (z.B. Verschlüsselung) müssen die Parteien dokumentieren.
- Mitteilungspflicht des Datenimporteurs, dem Datenexporteur, wenn er sich zum Schutz der Daten vor Behördenzugriffen nicht (länger) in der Lage sieht. Bei Erhalt einer solchen Benachrichtigung muss der Exporteur die Datenübermittlung einstellen, es sei denn die Aufsichtsbehörde erlaubt ihre Fortsetzung.
Schließlich wurde auch die Haftung erweitert. Die Parteien haften fortan nicht nur für Pflichtverletzungen gegenüber den betroffenen Personen, sondern auch im Verhältnis zueinander. Ob die Haftung im Innenverhältnis ausgeschlossen oder zumindest begrenzt werden kann, z.B. um sie an das ansonsten zwischen den Parteien geltende Haftungsregime anzupassen, ist allerdings unklar.
Und nun?
Zunächst gilt ab dem 20. Tag nach der Veröffentlichung der neuen EU-Standardvertragsklauseln im EU-Amtsblatt, dem 27.06.2021, ein Übergangszeitraum von drei Monaten bis zum 27.09.2021, währenddessen Datenübermittlungsverträge auf Basis der alten Klauseln abgeschlossen werden können. Spätestens innerhalb von 18 Monaten, also bis zum 27.12.2022, müssen allerdings aber alle Verträge auf die neuen Standardvertragsklauseln umgestellt sein.
Stand 08.06.2021