HinSchG Vorgaben einfach und effizient erfüllen mit Cortina Consult als externer Meldestellenbeauftragter
Cortina Consult Logo

Die neuen Klauseln für den Datentransfer in Drittländer – warum Sie jetzt handeln sollten

Neue Regeln ab 27. Dezember 2022: Wie die EU-Standardvertragsklauseln den Datentransfer in Drittländer beeinflussen.

datentransfer
Inhalt dieser Seite

Ab dem 27. Dezember 2022 werden neue Standardvertragsklauseln für den Datentransfer in Drittländer greifen. Durch die Nichterfüllung des Datenschutzniveaus der DSGVO dieser Länder, darf nur ein Datentransfer auf Basis der Standardvertragsklauseln stattfinden. Nach Ablauf der Deadline ist der Transfer allerdings nur noch mit den neuen Klauseln möglich.

In diesem Beitrag erhalten Sie allgemeine Informationen zum Thema und den Neuerungen, sowie die richtige Vorbereitung des Einsatzes der neuen Standardvertragsklauseln inkl. eines 3-Schritte-Plans für die finale Umstellung – start now!

Was sind die EU-Standardvertragsklauseln?

In den Standardvertragsklauseln werden die Standards für die Datenverarbeitung in Drittländern festgelegt. Sie betreffen den Transfer personenbezogener Daten, also z. B. Kundendaten, Daten von Arbeitnehmern und auch Daten von Werbeempfängern.

Das bedeutet: Wollen Sie personenbezogene Daten in ein sogenanntes Drittland außerhalb der EU bzw. des EWR übertragen, benötigen Sie außer der Rechtsgrundlage für die Datenverarbeitung laut DSGVO zusätzlich eine Vereinbarung, mit der der Empfänger den Datenschutz für den Datentransfer und die transferierten Daten garantiert, die sogenannten Transfer Impact Assessments (TIA). Damit stellen Sie sicher, dass das Datenschutzniveau beim Empfänger im Wesentlichen dem EU-Standard entspricht.

Für diese Garantien hat die Europäische Kommission Standardvertragsklauseln (Standard Contractual Clauses oder kurz SCC) entwickelt, die die rechtlichen Erfordernisse gut abbilden und die Sie als verbindliche Vorlage bzw. Mustertext nutzen können und sollten. Voraussetzung ist allerdings, dass Sie zuvor überprüft haben, ob und wie die darin geschilderten Anforderungen auch tatsächlich erfüllt werden.

Diese Standardvertragsklauseln wurden 2021 aktualisiert und berücksichtigen nun die Vorgaben der DSGVO und die Entscheidung in der Rechtssache Schrems-II zum behördlichen Datenzugriff in den USA.Neue Datentransfervereinbarungen dürfen seit dem 27. September 2021 nur noch auf der Basis der aktuellen Standardvertragsklauseln abgeschlossen werden. Bis zum 27. Dezember 2022 müssen dann auch alle Altvereinbarungen auf die neuen Standardvertragsklauseln umgestellt sein, ansonsten ist ein Datentransfer in Drittländer nicht mehr zulässig.

Was hat sich in den SCC verändert?

Die neuen Standardvertragsklauseln bestehen aus vier Abschnitten, wobei die Abschnitte 1, 3 und 4 allgemeine Regelungen umfassen, die für alle Konstellationen größtenteils gleich bleiben. Entscheidend und neu ist der Abschnitt 2 mit seinen verschiedenen Konstellationen einer Datenübertragung in Drittländer.

So sieht eine Datenschutzgarantie mit den neuen Standartvertragsklauseln aus. Nach dem neuen Standard muss eine Datenschutzgarantie für den Datentransfer in Drittländer folgende Bestandteile aufweisen:

Modul 1 (C2C = Datenübermittlung zwischen Verantwortlichen) gab es zuvor schon

Modul 2 (C2P = Datenübermittlung von einem Verantwortlichen an einen Auftragsverarbeiter) gab es ebenfalls schon zuvor. Hierbei ist neben den SCC kein weiterer Auftragsverarbeitungsvertrag erforderlich (Art. 28 Abs. 7 DSGVO).

Modul 3 (P2P = Datenübermittlung von einem Auftragsverarbeiter an einen weiteren Auftragsverarbeiter oder Unterauftragsverarbeiter) behandelt die neu aufgenommene Konstellation zwischen Auftragsverarbeitern und (Unter-)Auftragsverarbeitern in Drittländern. Auch hier ist neben den SCC kein weiterer Auftragsverarbeitungsvertrag erforderlich (Art. 28 Abs. 7 DSGVO).

Modul 4 (P2C = Datenübermittlung von einem Auftragsverarbeiter an einen Verantwortlichen) beschäftigt sich mit Auftragsverarbeitungen von Daten aus Drittländern.

Eine neue Kopplungsklausel macht es möglich, diese Vereinbarungen zwischen mehr als zwei Vertragsparteien zu schließen. Außerdem dürfen Vertragsparteien nun auch später noch den Standardvertragsvereinbarungen beitreten.

Die richtige Vorbereitung für den Einsatz der neuen Standardklauseln

Die Schrems-II-Entscheidung verpflichtet Unternehmen, den rechtlichen und tatsächlichen Schutz für personenbezogene Daten beim Transfer sowie während und nach der Verarbeitung im Empfängerland genau zu analysieren und darauf zu reagieren.

Diese Analyse muss dokumentiert und auf Anfrage der Aufsichtsbehörde vorgelegt werden. Umgekehrt muss der Empfänger der Daten den Datenexporteur und wenn möglich die betroffenen Personen darüber informieren, wenn z. B. Behörden Zugang zu den Daten verlangen, und auch die Berechtigung dieses Behördenersuchens prüfen.

Können die Standardklauseln real nicht (mehr) eingehalten werden, muss der Exporteur der Datentransfer sowie die Datenverarbeitung im Drittland sofort einstellen. Art. 46 DS‐GVO verlangt nämlich für die betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe.

Der 3-Schritte-Plan: Wie passe ich die Vereinbarung für den Datentransfer in Drittländer an?

Schritt 1

Übermittlung personenbezogener Daten
Überprüfung, ob personenbezogene Daten bisher in Drittländer übermittelt wurden. Dies betrifft nicht nur die Verarbeitung durch Dienstleister, sondern auch die Datentransfers innerhalb internationaler Konzerne, deren Muttergesellschaft ihren Sitz außerhalb der EU hat.

Schritt 2

Erweiterung der Datenschutzmaßnahmen
Kontaktieren Sie umgehend den Datenempfänger (Ermittlung der Übermittlungsumstände und Rechtslage im Empfängerland). Eventuelle Erweitertungen von Datenschutzmaßnahmen, um das Niveau der DSGVO zu erreichen. Die Analyse und Dokumention der Ergebnisse ist verpflichtend, aber zeitintensiv. Daher ist ein baldiger Beginn empfehlenswert.

Schritt 3

Neue Vereinbarungen treffen
Treffen Sie bis zum 27. Dezember 2022 neue Vereinbarungen auf der Basis der aktuellen SCC, die Sie hier in englischer Sprache herunterladen können. Ihr/e Datenschutzbeauftragte/r hilft Ihnen gern dabei.
Inhalt dieser Seite
Jörg ter Beek externer Datenschutzbeauftragter
Jörg ter Beek
Datenschutzexperte & DSB
Hilfe! Wie kann der 3-Schritte-Plan richtig umgesetzt werden?

Als externer Datenschutzbeauftragter unterstützen wir Sie aktiv bei der korrekten Umsetzung des 3-Schritte-Plans.

Ihre Vorteile mit Cortina Consult

Cortina Consult hilft Unternehmen dabei, die Anforderungen der DSGVO im Unternehmen umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen.

Als Beratungsdienstleister und externer Datenschutzbeauftragter sorgen wir für die Einhaltung der gesetzlichen Vorgaben bei der Verarbeitung von personenbezogenen Daten in Ihrem Unternehmen.

datentransfer
Nach oben scrollen
Sie haben Fragen?
– Wir beraten Sie gerne
Jörg ter Beek externer Datenschutzbeauftragter
Jörg ter Beek
Datenschutzexperte & DSB
Unsere Lösungen
Cortina Consult Logo