1

Das Ende der Standard-Datenschutzklauseln

Bis zum 26.12.2022 müssen bei Bestandsverträgen zum Datenschutz die verwendeten Standard-Datenschutzklauseln geprüft und – nach unserer Erfahrung in vielen Fällen – durch die aktuelle Version dieser Klauseln abgelöst werden. Betroffen sind häufig Verträge für IT-Dienstleistungen, IT-Tools im Internet und Cloud-Services.

Worum geht es genau?

Viele – auch wirklich gute – IT-Dienstleistungen und Cloud-Lösungen werden heute außerhalb von Europa angeboten. Das ist meist damit verbunden, dass deutsche und europäische Kunden mit Nutzung solcher Angebote, personenbezogene Daten in Länder außerhalb der EU (bzw. des EWR) übermitteln. Datenschutzseitig sind dann besondere rechtliche Rahmenbedingungen sicherzustellen. Eine verbreitete Lösung hierfür ist der Abschluss von speziellen Vertragsklauseln zum internationalen Datentransfer zwischen Kunde und Anbieter: die Standard-Datenschutzklauseln (engl. Standard Contractual Clauses – SCC).

Bereits am 27.06.2021 hatte die Europäische Kommission aufgrund neuer Rechtsprechung im Datenschutz (Schrems-II) neue Standard-Datenschutzklauseln in Kraft gesetzt. Die bisher verwendeten Klauseln dürften noch bis zum 27.09.2021 genutzt werden. Für Verträge, die bis zum 27.09.2021 geschlossen wurden, ist ein Einsatz dieser Klauseln noch bis zum 22.12.2022 erlaubt.

Das Ende kommt …

Zum 26.12.2022 endet die letzte Möglichkeit zur Nutzung der alten Klauseln. Das bedeutet, bis zum 26.12.2022 müssen bei allen Bestandsverträgen zum Datenschutz die verwendeten Klauseln durch die neue Version der Europäischen Kommission abgelöst werden. Die verbleibende Zeit ist knapp und es fällt in der täglichen Beratung immer wieder auf, dass sowohl Kunden als auch Anbieter dieses Thema nicht immer im Blick haben.

Betroffen sind häufig Verträge für IT-Dienstleistungen, IT-Tools im Internet und Cloud-Services. Große IT-Dienstleister wie SAP, Microsoft oder Amazon haben Ihre Verträge bereits angepasst. Anders sieht es im Mittelfeld und bei den kleineren Anbietern aus.

Aber auch die Kundenseite kennt die hier genannten Fristen häufig nicht. Besonders bei kleineren Cloudangeboten und den diversen Onlinetools besteht nicht immer das Verständnis, dass im Hintergrund spezielle Verträge zum Datenschutz schlummern, die bisher einen datenschutzkonformen Einsatz ermöglicht haben. Ohne die Umsetzung von erforderlichen Vertragsanpassungen könnte dann zum 26.12.2022 eine weitere Nutzung der jeweiligen IT-Produkte und Services rechtlich unzulässig werden.

Was ist zu tun?

Wir empfehlen spätestens jetzt zu prüfen, welche Bestandsverträge betroffen sind. Zu Beachten ist, dass eine Umstellung auf die neuen Vertragsklauseln nicht immer kurzfristig möglich ist. Die neuen Klauseln funktionieren konzeptionell anders und verschaffen allen Beteiligten (also dem Anbieter und dem Kunden) neue Pflichten. Um zu verhindern, dass geschickte Anbieter Pflichten und Risiken soweit möglich auf den Kunden abwälzen, sind weitere Prüfungen und ggf. Verhandlungen erforderlich.

Bildquellen:

  • Europäische Kommission, (Symbolbild): 474271041 Adobe Stocks | stock.adobe.com