Die EU-Kommission hat neue Standardvertragsklauseln (SCC) für den internationalen Datentransfer beschlossen und veröffentlicht.

Bei den SCC handelt es sich um „Musterverträge“, die eine geeignete Garantie nach Art. 46 DS-GVO für den Transfer von personenbezogenen Daten in Drittstaaten wie z. B. die USA darstellen können.
Die überarbeiteten SCC wurden bereits lange erwartet, da die bisherigen Standardvertragsklauseln über 10 Jahre alt waren und darin bislang weder die Vorgaben der DS-GVO noch das richtungsweisende Schrems II-Urteil aus dem Juli vergangenen Jahres Berücksichtigung gefunden hat.

Neu an den am 7. Juni 2021 im Amtsblatt der EU veröffentlichten SCC ist vor allem der Aufbau, der künftig aus vier Modulen besteht:
• C2C (Controller-to-Controller, Verantwortlicher zum Verantwortlichen)
• C2P (Controller-to-Processor, Verantwortlicher zum Auftragsverarbeiter)
• P2P (Processor-to-Processor, Auftragsverarbeiter zum Auftragsverarbeiter)
• P2C (Processor-to-Controller, Auftragsverarbeiter zum Verantwortlichen)

Nach der Veröffentlichung der SCC haben Unternehmen noch drei Monate lang Zeit, Ihre Datenübertragungen in Drittstaaten ohne angemessenes Datenschutzniveau (z.B. in die USA) mit den alten SCC zu übertragen. Spätestens nach einem Übergangszeitraum von 18 Monaten müssen die alten SCC auf die neuen umgestellt worden sein.
Aber auch bei Verwenden der neuen SCC bleibt eine Einzelfallprüfung des Datenschutzniveaus unumgänglich, denn die neuen Klauseln allein werden in der Regel nicht ausreichen, um den Anforderungen des EuGH aus dem bereits erwähnten Schrems II-Urteil gerecht zu werden.