Umsetzung der neuen Standardvertragsklauseln für Datentransfers in Drittländer: Die Uhr tickt

U
Download PDF

Am 27.6.2021 sind die neuen Standardvertragsklauseln der EU-Kommission für die Übermittlung personenbezogener Daten in Drittländer in Kraft getreten. Doch nicht nur deswegen sollten Unternehmen ihre internationalen Datentransfers kritisch prüfen.

Geltung und Übergangsfristen

Die neuen Standardvertragsklauseln sollen die bisherigen ablösen, die noch auf Basis der EU-Datenschutzrichtlinie, dem Vorläufer der Datenschutzgrundverordnung (DS-GVO), erlassen wurden.

Ab dem 27.9.2021 dürfen in neuen Verträgen ausschließlich die neuen Standardvertragsklauseln abgeschlossen werden. Wurden bereits die bisher geltenden Standardvertragsklauseln abgeschlossen, können personenbezogene Daten auf dieser Grundlage noch bis zum 27.12.2022 in Drittstaaten übermittelt werden. Spätestens nach Ablauf dieser Frist müssen jedoch auch hier die aktualisierten Standardvertragsklauseln vereinbart werden.

Modularer Aufbau und Implementierung der neuen „Schrems-II“-Verpflichtungen

Bei den Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DS-GVO handelt es sich um von der EU-Kommission verabschiedete Regelungen, die Übermittler („Datenexporteur“) im Geltungsbereich der DS-GVO und Empfänger („Datenimporteur“) von personenbezogenen Daten in einem Drittland miteinander vereinbaren, um ein der DS-GVO angemessenes Datenschutzniveau bei der Verarbeitung der übermittelten Daten zu gewährleisten.

Die bisherigen Standardvertragsklauseln regelten zwei Transferkonstellationen: die Übertragung zwischen zwei Verantwortlichen und die Übertragung von einem Verantwortlichen an einen Auftragsverarbeiter. Die neuen Standardvertragsklauseln sind dagegen modular aufgebaut und bilden folgende Konstellationen ab:

  • Datenübermittlungen zwischen Verantwortlichen (Modul 1),
  • Datenübermittlungen von Verantwortlichen an Auftragsverarbeiter (Modul 2),
  • Neu: Datenübermittlungen von Auftragsverarbeitern an weitere (Unter-)Auftragsverarbeiter (Modul 3),
  • Neu: Datenübermittlungen von Auftragsverarbeitern an einen Verantwortlichen (Modul 4).

Je nach konkreter Ausgestaltung des zugrundeliegenden Datentransfers können Module entsprechend verwendet oder weggelassen und die Klauseln damit flexibel eingesetzt werden.

Darüber hinaus setzen die neuen Standardvertragsklauseln die Anforderungen aus dem Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH) um. Mit diesem Urteil hatte der EuGH den EU-US Privacy-Shield unter anderem wegen der exzessiven Zugriffsmöglichkeiten der US-Behörden auf Daten von EU-Bürgerinnen und -Bürgern gekippt (wir berichteten). Die neuen Klauseln sehen etwa die obligatorische Überprüfung der Drittlandsübermittlung und die Abschätzung des Übermittlungsrisikos vor.

Auch andere Transferinstrumente für Datenübermittlungen in Drittländer sollten im Blick behalten werden. Dazu gehört der am 28.6.2021 von der EU-Kommission erlassene Angemessenheitsbeschluss für den Datentransfer nach Großbritannien (wir berichteten), der zunächst nur für vier Jahre gelten soll. Danach soll die Rechtslage neu bewertet werden und über eine Verlängerung entschieden werden.

Behörden kündigen Überprüfungen internationaler Datentransfers an

Am 1.6.2021 haben zahlreiche Deutsche Aufsichtsbehörden angekündigt, internationale Datentransfers verstärkt unter die Lupe zu nehmen und gegebenenfalls unzulässige Datentransfers zu verbieten oder auszusetzen.

Die Behörden planen, ausgewählte Unternehmen auf Basis eines gemeinsamen Fragenkatalogs anzuschreiben. Dabei wird es unter anderem um den Einsatz von Dienstleistern zum E-Mail-Versand, zum Hosting von Internetseiten, zum Webtracking, zur Verwaltung von Bewerberdaten und um den konzerninternen Austausch von Kundendaten und Daten der Beschäftigten gehen. Regelmäßig greifen Unternehmen auf entsprechende Dienstleister auch in Drittstaaten (außerhalb des EWR) zurück.

Konkreter Handlungsbedarf im Unternehmen

Vor dem Hintergrund dieser Ankündigung sollten Verantwortliche umgehend internationale Transfers personenbezogener Daten im eigenen Unternehmen überprüfen und gegebenenfalls weitere Maßnahmen veranlassen. Dazu gehört jedenfalls, die neuen Standardvertragsklauseln vor Ablauf der Übergangsfrist zu implementieren, soweit Ihr Unternehmen bereits personenbezogene Daten auf Grundlage der bisher geltenden Standardvertragsklauseln in Drittstaaten übermittelt. Für zukünftige Übermittlungen ist darauf zu achten, dass ab dem 27.9.2021 ausschließlich die neuen Standardvertragsklauseln vereinbart werden.

Allerdings müssen Verantwortliche innerhalb des Geltungsbereichs der DS-GVO – insbesondere hinsichtlich Datentransfers in die USA – neben der Vereinbarung der (neuen) Standardvertragsklauseln entsprechend der Schrems-II-Rechtsprechung des EuGH weitere Vorkehrungen treffen, um ein angemessenes Datenschutzniveau sicherzustellen.

Ansprechpartner*innen: Tobias Sengenberger/Alexander Bartsch/Thomas Schmeding/Xaver-Moritz Müller-Hübers

PS: Wenn Sie sich für das Thema interessieren, dann schauen Sie gerne hier.

Folgen Sie uns auf Twitter

Kategorien

Archive

BBH Almanach

Materialien für Praktiker im
Energie-, Infrastruktur- und öffentlichem Sektor aus Wirtschaft, Recht und Steuern

Veranstaltungskalender