Die neuen Klauseln für den Datentransfer in Drittländer – warum Sie jetzt handeln sollten
Neue Regeln ab 27. Dezember 2022: Wie die EU-Standardvertragsklauseln den Datentransfer in Drittländer beeinflussen.
Ab dem 27. Dezember 2022 werden neue Standardvertragsklauseln für den Datentransfer in Drittländer greifen. Durch die Nichterfüllung des Datenschutzniveaus der DSGVO dieser Länder, darf nur ein Datentransfer auf Basis der Standardvertragsklauseln stattfinden. Nach Ablauf der Deadline ist der Transfer allerdings nur noch mit den neuen Klauseln möglich.
In diesem Beitrag erhalten Sie allgemeine Informationen zum Thema und den Neuerungen, sowie die richtige Vorbereitung des Einsatzes der neuen Standardvertragsklauseln inkl. eines 3-Schritte-Plans für die finale Umstellung – start now!
Was sind die EU-Standardvertragsklauseln?
In den Standardvertragsklauseln werden die Standards für die Datenverarbeitung in Drittländern festgelegt. Sie betreffen den Transfer personenbezogener Daten, also z. B. Kundendaten, Daten von Arbeitnehmern und auch Daten von Werbeempfängern.
Das bedeutet: Wollen Sie personenbezogene Daten in ein sogenanntes Drittland außerhalb der EU bzw. des EWR übertragen, benötigen Sie außer der Rechtsgrundlage für die Datenverarbeitung laut DSGVO zusätzlich eine Vereinbarung, mit der der Empfänger den Datenschutz für den Datentransfer und die transferierten Daten garantiert, die sogenannten Transfer Impact Assessments (TIA). Damit stellen Sie sicher, dass das Datenschutzniveau beim Empfänger im Wesentlichen dem EU-Standard entspricht.
Für diese Garantien hat die Europäische Kommission Standardvertragsklauseln (Standard Contractual Clauses oder kurz SCC) entwickelt, die die rechtlichen Erfordernisse gut abbilden und die Sie als verbindliche Vorlage bzw. Mustertext nutzen können und sollten. Voraussetzung ist allerdings, dass Sie zuvor überprüft haben, ob und wie die darin geschilderten Anforderungen auch tatsächlich erfüllt werden.
Diese Standardvertragsklauseln wurden 2021 aktualisiert und berücksichtigen nun die Vorgaben der DSGVO und die Entscheidung in der Rechtssache Schrems-II zum behördlichen Datenzugriff in den USA.Neue Datentransfervereinbarungen dürfen seit dem 27. September 2021 nur noch auf der Basis der aktuellen Standardvertragsklauseln abgeschlossen werden. Bis zum 27. Dezember 2022 müssen dann auch alle Altvereinbarungen auf die neuen Standardvertragsklauseln umgestellt sein, ansonsten ist ein Datentransfer in Drittländer nicht mehr zulässig.
Was hat sich in den SCC verändert?
Die neuen Standardvertragsklauseln bestehen aus vier Abschnitten, wobei die Abschnitte 1, 3 und 4 allgemeine Regelungen umfassen, die für alle Konstellationen größtenteils gleich bleiben. Entscheidend und neu ist der Abschnitt 2 mit seinen verschiedenen Konstellationen einer Datenübertragung in Drittländer.
So sieht eine Datenschutzgarantie mit den neuen Standartvertragsklauseln aus. Nach dem neuen Standard muss eine Datenschutzgarantie für den Datentransfer in Drittländer folgende Bestandteile aufweisen:
- Abschnitt 1: Wirkung, Drittbegünstigung, Auslegung, Hierarchie und Beitritt
- Abschnitt 2: Beschreibung der jeweiligen Konstellation zwischen Auftragsverarbeiter/n P und Verantwortlichen/n C durch den Datenexporteur in vier Modulen:
Modul 1 (C2C = Datenübermittlung zwischen Verantwortlichen) gab es zuvor schon
Modul 2 (C2P = Datenübermittlung von einem Verantwortlichen an einen Auftragsverarbeiter) gab es ebenfalls schon zuvor. Hierbei ist neben den SCC kein weiterer Auftragsverarbeitungsvertrag erforderlich (Art. 28 Abs. 7 DSGVO).
Modul 3 (P2P = Datenübermittlung von einem Auftragsverarbeiter an einen weiteren Auftragsverarbeiter oder Unterauftragsverarbeiter) behandelt die neu aufgenommene Konstellation zwischen Auftragsverarbeitern und (Unter-)Auftragsverarbeitern in Drittländern. Auch hier ist neben den SCC kein weiterer Auftragsverarbeitungsvertrag erforderlich (Art. 28 Abs. 7 DSGVO).
Modul 4 (P2C = Datenübermittlung von einem Auftragsverarbeiter an einen Verantwortlichen) beschäftigt sich mit Auftragsverarbeitungen von Daten aus Drittländern.
- Abschnitt 3: Schrems-II-Regelungen
- Abschnitt 4: Rechtswahl, Gerichtsstand
- Anhang 1: Bennennung der Parteien der Vereinbarung
- Anhang 2: Beschreibung der Datenverarbeitungsprozesse
- Anhang 3: Dokumentation der technischen und organisatorischen Maßnahmen (TOMs)
Eine neue Kopplungsklausel macht es möglich, diese Vereinbarungen zwischen mehr als zwei Vertragsparteien zu schließen. Außerdem dürfen Vertragsparteien nun auch später noch den Standardvertragsvereinbarungen beitreten.
Die richtige Vorbereitung für den Einsatz der neuen Standardklauseln
Die Schrems-II-Entscheidung verpflichtet Unternehmen, den rechtlichen und tatsächlichen Schutz für personenbezogene Daten beim Transfer sowie während und nach der Verarbeitung im Empfängerland genau zu analysieren und darauf zu reagieren.
Diese Analyse muss dokumentiert und auf Anfrage der Aufsichtsbehörde vorgelegt werden. Umgekehrt muss der Empfänger der Daten den Datenexporteur und wenn möglich die betroffenen Personen darüber informieren, wenn z. B. Behörden Zugang zu den Daten verlangen, und auch die Berechtigung dieses Behördenersuchens prüfen.
Können die Standardklauseln real nicht (mehr) eingehalten werden, muss der Exporteur der Datentransfer sowie die Datenverarbeitung im Drittland sofort einstellen. Art. 46 DS‐GVO verlangt nämlich für die betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe.
Der 3-Schritte-Plan: Wie passe ich die Vereinbarung für den Datentransfer in Drittländer an?
Schritt 1
Schritt 2
Schritt 3
Als externer Datenschutzbeauftragter unterstützen wir Sie aktiv bei der korrekten Umsetzung des 3-Schritte-Plans.
Ihre Vorteile mit Cortina Consult
Cortina Consult hilft Unternehmen dabei, die Anforderungen der DSGVO im Unternehmen umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen.
Als Beratungsdienstleister und externer Datenschutzbeauftragter sorgen wir für die Einhaltung der gesetzlichen Vorgaben bei der Verarbeitung von personenbezogenen Daten in Ihrem Unternehmen.
- Gebündelte Erfahrung aus 10 Jahren in der Branche und 500 erfolgreichen Datenschutzprojekten
- Beratung, Software & Schulung aus einer Hand
- Prozessoptimierung frei nach dem Motto: so viel wie nötig, so wenig wie möglich