Aktuellste Version der Standarddatenschutzklauseln

Letzte Woche veröffentlichte die EU-Kommission die aktuellste Version der Standarddatenschutzklauseln. Der Link zum Durchführungsbeschluss ist hier zu finden. Dabei ergeben sich eventuell für alle, die sich nicht tagtäglich mit dem Datenschutz befassen, womöglich Fragen: Warum gibt es neue Standarddatenschutzklauseln? Sind die alten Standarddatenschutzklauseln sofort ungültig? usw. Auf eine Auswahl dieser Fragen möchten wir in diesem Beitrag eingehen.

Warum gibt es neue Standarddatenschutzklauseln?

Die alten orientierten sich an der EU-Datenschutzrichtlinie 95/46/EG. Mit der EU-Verordnung 2016/679 (DSGVO) ergaben sich neue Anforderungen an den Datenschutz. Somit entstand die Notwendigkeit, die Standarddatenschutzklauseln anzupassen.

Haben die alten Standarddatenschutzklauseln noch Gültigkeit?

Gemäß Abs. 24 des Beschlusses der EU-Kommission verlieren die alten Standarddatenschutzklauseln ihre Gültigkeit drei Monate nach Inkrafttreten des Beschlusses der EU-Kommission vom 4. Juni 2021 (C(2021) 3972 final). Wurden Standarddatenschutzklauseln vor Inkrafttreten der neuen geschlossen, können Verantwortliche sich allerdings für weitere 15 Monate auf diese stützen. Das heißt, ein Verantwortlicher hat insgesamt 18 Monate Zeit, die neuen Standarddatenschutzklauseln mit eventuellen Auftragsverarbeitern abzuschließen, sofern er vor dem 4. Juni 2021 die alten unterschrieben hat. Dies mag nach einer langen Zeit klingen. Jedoch empfehlen wir nicht, den Abschluss der neuen Standarddatenschutzklauseln zurückzustellen.

Kann ein Verantwortlicher auch nach dem 4. Juni 2021 noch die alten Standarddatenschutzklauseln abschließen?

Bis zu 3 Monate nach dem 4. Juni 2021 kann ein Verantwortlicher noch die alten Standarddatenschutzklauseln abschließen. Allerdings empfehlen wir, gleich die aktuellste Version der Standarddatenschutzklauseln zu verwenden. So kann ein Verantwortlicher vermeiden, diese innerhalb kürzester Zeit wieder abschließen zu müssen – dies wäre innerhalb der aktuell nächsten drei Monate vonnöten.

Was sind die allgemeinen Änderungen?

Die neuen Standarddatenschutzklauseln unterscheiden sich unter anderem in folgender Weise von den alten:

Anpassung an die DSGVO

Wie schon in diesem Beitrag angedeutet, orientierte sich die alte Version der Standarddatenschutzklauseln an der EU-Datenschutzrichtlinie 95/46/EG. Die neuen hingegen sind an die EU-Verordnung 2016/679 (DSGVO) angepasst worden.

Modularer Aufbau mit Optionen

Wo es nach der alten Version verschiedene Varianten der Standarddatenschutzklauseln gab, ist dies nun alles in einem Dokument zusammengefasst worden. Um dennoch die korrekte Variante solch eines Vertrages nutzen zu können, ist es nun in Module und Optionen aufgebaut. Je nachdem, welche Variante für ein Auftragsverarbeitungsverhältnis benötigt wird, kann die jeweilige Vertragspartei den Vertrag entsprechend anpassen.

Einbeziehung von mehr als zwei Parteien

Die alte Variante der Standarddatenschutzklauseln „erlaubte“ immer zwei Parteien nach dem Wortlaut, also die des Datenexporteurs und die des -importeurs. Nun werden in den Klauseln explizit mehr als zwei Parteien erwähnt bzw. die Unterschrift dieses Dokuments ermöglicht.

Anpassung der Standarddatenschutzklauseln erlaubt

Die alten Standarddatenschutzklauseln durften nicht geändert werden. War dies der Fall, mussten die Vertragsparteien die geänderte Version von der Datenschutzaufsichtsbehörde genehmigen lassen. Durch den modularen Aufbau der neuen Standarddatenschutzklauseln, dürfen Vertragsparteien diese nun insoweit ändern bzw. an das jeweilige Vertragsverhältnis anpassen, dass sie die nicht zutreffenden Module oder optionalen Abschnitte entfernen können. Des Weiteren dürfen Vertragsparteien die Standarddatenschutzklauseln als Teil eines umfangreicheren Vertrages anwenden. Sie dürfen auch weitere Klauseln oder zusätzliche Garantien hinzufügen. Diese Änderungen dürfen aber nicht zu Widersprüchen zu den Standarddatenschutzklauseln oder einer Eingrenzung der Grundrechte oder Grundfreiheiten Betroffener führen.

Wann müssen die Standarddatenschutzklauseln abgeschlossen werden?

Die Standarddatenschutzklauseln sind immer abzuschließen, wenn Daten in ein unsicheres Drittland übermittelt werden. Mit einem unsicheren Drittland ist ein Land gemeint, zu dem kein Angemessenheitsbeschluss existiert. Eine Liste der Länder mit Angemessenheitsbeschluss können Interessenten hier finden.

Fazit

Bei einer Übermittlung personenbezogener Daten in ein unsicheres Drittland im Zusammenhang mit einer Auftragsverarbeitung sind auch die Standarddatenschutzklauseln abzuschließen. Bei der Überprüfung solcher Vorgänge und auch bei anderen Datenschutzthemen können wir helfen und beraten. Kontaktieren Sie uns dazu am besten noch heute.