Neue Regeln ab 27. Dezember 2022: Wie die EU-Standardvertragsklauseln den Datentransfer in Drittländer beeinflussen.
Ab dem 27. Dezember 2022 werden neue Standardvertragsklauseln für den Datentransfer in Drittländer greifen. Durch die Nichterfüllung des Datenschutzniveaus der DSGVO dieser Länder, darf nur ein Datentransfer auf Basis der Standardvertragsklauseln stattfinden. Nach Ablauf der Deadline ist der Transfer allerdings nur noch mit den neuen Klauseln möglich.
In diesem Beitrag erhalten Sie allgemeine Informationen zum Thema und den Neuerungen, sowie die richtige Vorbereitung des Einsatzes der neuen Standardvertragsklauseln inkl. eines 3-Schritte-Plans für die finale Umstellung – start now!
In den Standardvertragsklauseln werden die Standards für die Datenverarbeitung in Drittländern festgelegt. Sie betreffen den Transfer personenbezogener Daten, also z. B. Kundendaten, Daten von Arbeitnehmern und auch Daten von Werbeempfängern.
Das bedeutet: Wollen Sie personenbezogene Daten in ein sogenanntes Drittland außerhalb der EU bzw. des EWR übertragen, benötigen Sie außer der Rechtsgrundlage für die Datenverarbeitung laut DSGVO zusätzlich eine Vereinbarung, mit der der Empfänger den Datenschutz für den Datentransfer und die transferierten Daten garantiert, die sogenannten Transfer Impact Assessments (TIA). Damit stellen Sie sicher, dass das Datenschutzniveau beim Empfänger im Wesentlichen dem EU-Standard entspricht.
Für diese Garantien hat die Europäische Kommission Standardvertragsklauseln (Standard Contractual Clauses oder kurz SCC) entwickelt, die die rechtlichen Erfordernisse gut abbilden und die Sie als verbindliche Vorlage bzw. Mustertext nutzen können und sollten. Voraussetzung ist allerdings, dass Sie zuvor überprüft haben, ob und wie die darin geschilderten Anforderungen auch tatsächlich erfüllt werden.
Diese Standardvertragsklauseln wurden 2021 aktualisiert und berücksichtigen nun die Vorgaben der DSGVO und die Entscheidung in der Rechtssache Schrems-II zum behördlichen Datenzugriff in den USA.Neue Datentransfervereinbarungen dürfen seit dem 27. September 2021 nur noch auf der Basis der aktuellen Standardvertragsklauseln abgeschlossen werden. Bis zum 27. Dezember 2022 müssen dann auch alle Altvereinbarungen auf die neuen Standardvertragsklauseln umgestellt sein, ansonsten ist ein Datentransfer in Drittländer nicht mehr zulässig.
Sie haben bereits einen externen Datenschutzbeauftragten und möchten einen schnellen Preis-Leistungs-Vergleich? Nutzen Sie unsere Rechner für eine individuelle Preiskonfiguration.
Die neuen Standardvertragsklauseln bestehen aus vier Abschnitten, wobei die Abschnitte 1, 3 und 4 allgemeine Regelungen umfassen, die für alle Konstellationen größtenteils gleich bleiben. Entscheidend und neu ist der Abschnitt 2 mit seinen verschiedenen Konstellationen einer Datenübertragung in Drittländer.
So sieht eine Datenschutzgarantie mit den neuen Standartvertragsklauseln aus. Nach dem neuen Standard muss eine Datenschutzgarantie für den Datentransfer in Drittländer folgende Bestandteile aufweisen:
Modul 1 (C2C = Datenübermittlung zwischen Verantwortlichen) gab es zuvor schon
Modul 2 (C2P = Datenübermittlung von einem Verantwortlichen an einen Auftragsverarbeiter) gab es ebenfalls schon zuvor. Hierbei ist neben den SCC kein weiterer Auftragsverarbeitungsvertrag erforderlich (Art. 28 Abs. 7 DSGVO).
Modul 3 (P2P = Datenübermittlung von einem Auftragsverarbeiter an einen weiteren Auftragsverarbeiter oder Unterauftragsverarbeiter) behandelt die neu aufgenommene Konstellation zwischen Auftragsverarbeitern und (Unter-)Auftragsverarbeitern in Drittländern. Auch hier ist neben den SCC kein weiterer Auftragsverarbeitungsvertrag erforderlich (Art. 28 Abs. 7 DSGVO).
Modul 4 (P2C = Datenübermittlung von einem Auftragsverarbeiter an einen Verantwortlichen) beschäftigt sich mit Auftragsverarbeitungen von Daten aus Drittländern.
Eine neue Kopplungsklausel macht es möglich, diese Vereinbarungen zwischen mehr als zwei Vertragsparteien zu schließen. Außerdem dürfen Vertragsparteien nun auch später noch den Standardvertragsvereinbarungen beitreten.
Die Schrems-II-Entscheidung verpflichtet Unternehmen, den rechtlichen und tatsächlichen Schutz für personenbezogene Daten beim Transfer sowie während und nach der Verarbeitung im Empfängerland genau zu analysieren und darauf zu reagieren.
Diese Analyse muss dokumentiert und auf Anfrage der Aufsichtsbehörde vorgelegt werden. Umgekehrt muss der Empfänger der Daten den Datenexporteur und wenn möglich die betroffenen Personen darüber informieren, wenn z. B. Behörden Zugang zu den Daten verlangen, und auch die Berechtigung dieses Behördenersuchens prüfen.
Können die Standardklauseln real nicht (mehr) eingehalten werden, muss der Exporteur der Datentransfer sowie die Datenverarbeitung im Drittland sofort einstellen. Art. 46 DS‐GVO verlangt nämlich für die betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe.
Überprüfung, ob personenbezogene Daten bisher in Drittländer übermittelt wurden. Dies betrifft nicht nur die Verarbeitung durch Dienstleister, sondern auch die Datentransfers innerhalb internationaler Konzerne, deren Muttergesellschaft ihren Sitz außerhalb der EU hat.
Kontaktieren Sie umgehend den Datenempfänger (Ermittlung der Übermittlungsumstände und Rechtslage im Empfängerland). Eventuelle Erweitertungen von Datenschutzmaßnahmen, um das Niveau der DSGVO zu erreichen. Die Analyse und Dokumention der Ergebnisse ist verpflichtend, aber zeitintensiv. Daher ist ein baldiger Beginn empfehlenswert.
Treffen Sie bis zum 27. Dezember 2022 neue Vereinbarungen auf der Basis der aktuellen SCC, die Sie hier in englischer Sprache herunterladen können. Ihr/e Datenschutzbeauftragte/r hilft Ihnen gern dabei.
Einhaltung und Kontrolle des Datenschutzes im Unternehmen durch Cortina Consult.
Wir helfen Unternehmen dabei, die Anforderungen der DSGVO im Unternehmen umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen. Als Beratungsdienstleister und externer Datenschutzbeauftragter sorgen wir für die Einhaltung der DSGVO-Vorgaben bei der Verarbeitung von personenbezogenen Daten in Ihrem Unternehmen.
Registrieren Sie sich für unseren kostenlosen Newsletter mit lesenswerten Neuigkeiten zum Datenschutz und Best-Practices zur Umsetzung.
* Pflichtfeld. Mit der Registrierung erklären Sie Ihr Einverständnis zum Erhalt des Cortina Legal-Updates mit Mailchimp sowie zur Interessen-Analyse durch Auswertung individueller Öffnungs- und Klickraten. Zu Ihrer und unserer Sicherheit senden wir Ihnen vorab noch eine E-Mail mit einem Bestätigungs-Link (sog. Double-Opt-In); die Anmeldung wird erst mit Klick auf diesen Link aktiv. Dadurch stellen wir sicher, dass kein Unbefugter Sie in unser Newsletter-System eintragen kann. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft und ohne Angabe von Gründen widerrufen; z. B. durch Klick auf den Abmeldelink am Ende jedes Newsletters. Nähere Informationen zur Verarbeitung Ihrer Daten finden Sie in unserer Datenschutzerklärung.