Die Europäische Kommission hat am 25. Mai 2022 ein FAQ-Dokument zu den „neuen“ Standardvertragsklauseln (SCCs) veröffentlicht, worin sie in 44 Fragen und komprimierten Antworten praktische Hinweise zum Umgang mit den SCCs gibt (hier abrufbar).

Behandelt werden sowohl Fragen allgemeiner Natur, wie etwa „Was sind Standardvertragsklauseln?“, aber auch umstrittene Rechtsfragen rund um den internationalen Datentransfer, wie z.B.: „Sind spezielle Maßnahmen erforderlich, um den Anforderungen des EuGHs im Schrems II-Urteil nachzukommen? Ist es weiterhin notwendig, die Leitlinien des Europäischen Datenschutzausschusses zu berücksichtigen?“.

Die Standardvertragsklauseln sind nach wie vor ein Dauerbrenner der Datenschutzpraxis. Kaum ein Thema im Datenschutz beschäftigt Unternehmen mehr als die Frage, wie personenbezogene Daten weiterhin im Einklang mit der DSGVO in die USA und andere so genannte Drittstaaten transferiert werden können. Seit dem Schrems II-Urteil des EuGH sind Datenübermittlungen an Empfänger außerhalb der EU bzw. des EWR nur noch eingeschränkt zulässig. Die am 27.06.2021 in Kraft getretenen („neuen“) SCCs der Europäischen Kommission sind ein zentrales Instrument, um solche Datenübermittlungen weiterhin zu legitimieren.

Praxishinweis – welche Fristen sind aktuell zu beachten?

In der zweiten Jahreshälfte 2022 müssen Unternehmen diesbezüglich zwei Fristen im Blick behalten:

  • Ab dem 27.09.2022 dürfen für neu abgeschlossene Verträge nur noch die neuen SCCs verwendet werden.
  • Bis zum 27.12.2022 müssen Bestandsverträge auf die neuen SCCs umgestellt werden.

Unternehmen sollten diese Fristen zum Anlass nehmen, ihre Vertragsverhältnisse auf Rechtskonformität in diesem Zusammenhang zu überprüfen und – soweit noch nicht geschehen – kurzfristig auf die neuen SCCs umzustellen.

Dabei ist u.a. zu beachten, dass nach den neuen SCCs verpflichtend ein sogenanntes Transfer Impact Assessment („TIA“) durchzuführen und zu dokumentieren ist. Die Vertragsparteien müssen darin dokumentieren, dass sie vor dem Hintergrund ergriffener Schutzmaßnahmen (zusätzliche Schutzmaßnahmen oder auch „Garantien“) keine Zweifel an der Einhaltung europäischer Datenschutzstandards im Land des Datenimporteurs haben und dass die Rechte der Betroffenen insoweit gewahrt sind.

In der Praxis sehen wir, dass Behörden großen Wert auf belastbare TIAs legen. Unternehmen sollten hierfür einen strukturierten Prozess zur Durchführung und Dokumentation etablieren.