Website Compliance

Die neuen Klauseln für den Datentransfer in Drittländer - warum Sie jetzt handeln sollten

11. Februar 2022

Inhalt der Seite

    Ab dem 27. Dezember 2022 werden neue Standardvertragsklauseln für den Datentransfer in Drittländer greifen. Durch die nicht Erfüllung des Datenschutzniveaus der DSGVO dieser Länder, darf nur ein Datentransfer auf Basis der Standartvertragsklauseln stattfinden. Nach Ablauf der Deadline ist der Transfer allerdings nur noch mit den neuen Klauseln möglich.

    In diesem Beitrag erhalten Sie allgemeine Informationen zum Thema und den Neuerungen, sowie die richtige Vorbereitung des Einsatzes der neuen Standardvertragsklauseln inkl. eines 3-Schritte-Plans für die finale Umstellung - start now!

    Was sind die EU-Standardvertragsklauseln?

    In den Standardvertragsklauseln werden die Standards für die Datenverarbeitung in Drittländern festgelegt. Sie betreffen den Transfer personenbezogener Daten, also z. B. Kundendaten, Daten von Arbeitnehmern und auch Daten von Werbeempfängern.

    Das bedeutet: Wollen Sie personenbezogene Daten in ein sogenanntes Drittland außerhalb der EU bzw. des EWR übertragen, benötigen Sie außer der Rechtsgrundlage für die Datenverarbeitung laut DSGVO zusätzlich eine Vereinbarung, mit der der Empfänger den Datenschutz für den Datentransfer und die transferierten Daten garantiert, die sogenannten Transfer Impact Assessments (TIA). Damit stellen Sie sicher, dass das Datenschutzniveau beim Empfänger im Wesentlichen dem EU-Standard entspricht.

    Für diese Garantien hat die Europäische Kommission Standardvertragsklauseln (Standard Contractual Clauses oder kurz SCC) entwickelt, die die rechtlichen Erfordernisse gut abbilden und die Sie als verbindliche Vorlage bzw. Mustertext nutzen können und sollten. Voraussetzung ist allerdings, dass Sie zuvor überprüft haben, ob und wie die darin geschilderten Anforderungen auch tatsächlich erfüllt werden.

    joerg-ter-beek-datenschutzexperte-mitauszeichnung-in-berlin

    Sprechen Sie uns an.

    Wir beraten Sie gerne

    +49 251 297 947 40

    joerg-ter-beek-datenschutzexperte-mitauszeichnung-in-berlin

    Ihr Ansprechpartner

    Jörg ter Beek
    +49 251 297 947 40
    [email protected]

    Ihr Datenschutzbeauftragter

    Jörg ter Beek

    • zehnjährige Praxiserfahrung
    • TÜV-zertifizierter Datenschutzbeauftragter
    • ISMS-Auditor
    • Expertise in Datenschutzberatung und IT-Security

    Weitere Informationen zu Jörg ter Beek finden Sie auf seinem XING-Profil oder LinkedIn-Profil.

    Diese Standardvertragsklauseln wurden 2021 aktualisiert und berücksichtigen nun die Vorgaben der DSGVO und die Entscheidung in der Rechtssache Schrems-II zum behördlichen Datenzugriff in den USA.Neue Datentransfervereinbarungen dürfen seit dem 27. September 2021 nur noch auf der Basis der aktuellen Standardvertragsklauseln abgeschlossen werden. Bis zum 27. Dezember 2022 müssen dann auch alle Altvereinbarungen auf die neuen Standardvertragsklauseln umgestellt sein, ansonsten ist ein Datentransfer in Drittländer nicht mehr zulässig.

    Was hat sich in den SCC verändert?

    Die neuen Standardvertragsklauseln bestehen aus vier Abschnitten, wobei die Abschnitte 1, 3 und 4 allgemeine Regelungen umfassen, die für alle Konstellationen größtenteils gleich bleiben. Entscheidend und neu ist der Abschnitt 2 mit seinen verschiedenen Konstellationen einer Datenübertragung in Drittländer.

    So sieht eine Datenschutzgarantie mit den neuen Standartvertragsklauseln aus. Nach dem neuen Standard muss eine Datenschutzgarantie für den Datentransfer in Drittländer folgende Bestandteile aufweisen:

    • Abschnitt 1: Wirkung, Drittbegünstigung, Auslegung, Hierarchie und Beitritt
    • Abschnitt 2: Beschreibung der jeweiligen Konstellation zwischen Auftragsverarbeiter/n P und Verantwortlichen/n C durch den Datenexporteur in vier Modulen:

    Modul 1 (C2C = Datenübermittlung zwischen Verantwortlichen) gab es zuvor schon

    Modul 2 (C2P = Datenübermittlung von einem Verantwortlichen an einen Auftragsverarbeiter) gab es ebenfalls schon zuvor. Hierbei ist neben den SCC kein weiterer Auftragsverarbeitungsvertrag erforderlich (Art. 28 Abs. 7 DSGVO).

    Modul 3 (P2P = Datenübermittlung von einem Auftragsverarbeiter an einen weiteren Auftragsverarbeiter oder Unterauftragsverarbeiter) behandelt die neu aufgenommene Konstellation zwischen Auftragsverarbeitern und (Unter-)Auftragsverarbeitern in Drittländern. Auch hier ist neben den SCC kein weiterer Auftragsverarbeitungsvertrag erforderlich (Art. 28 Abs. 7 DSGVO).

    Modul 4 (P2C = Datenübermittlung von einem Auftragsverarbeiter an einen Verantwortlichen) beschäftigt sich mit Auftragsverarbeitungen von Daten aus Drittländern.

    • Abschnitt 3: Schrems-II-Regelungen
    • Abschnitt 4: Rechtswahl, Gerichtsstand
    • Anhang 1: Benennung der Parteien der Vereinbarung
    • Anhang 2: Beschreibung der Datenverarbeitungsprozesse
    • Anhang 3: Dokumentation der technischen und organisatorischen Maßnahmen (TOMs)
    Eine neue Kopplungsklausel macht es möglich, diese Vereinbarungen zwischen mehr als zwei Vertragsparteien zu schließen. Außerdem dürfen Vertragsparteien nun auch später noch den Standardvertragsvereinbarungen beitreten.

    Die richtige Vorbereitung für den Einsatz der neuen Standardklauseln

    Die Schrems-II-Entscheidung verpflichtet Unternehmen, den rechtlichen und tatsächlichen Schutz für personenbezogene Daten beim Transfer sowie während und nach der Verarbeitung im Empfängerland genau zu analysieren und darauf zu reagieren.

    Diese Analyse muss dokumentiert und auf Anfrage der Aufsichtsbehörde vorgelegt werden. Umgekehrt muss der Empfänger der Daten den Datenexporteur und wenn möglich die betroffenen Personen darüber informieren, wenn z. B. Behörden Zugang zu den Daten verlangen, und auch die Berechtigung dieses Behördenersuchens prüfen.

    Können die Standardklauseln real nicht (mehr) eingehalten werden, muss der Exporteur der Datentransfer sowie die Datenverarbeitung im Drittland sofort einstellen. Art. 46 DS‐GVO verlangt nämlich für die betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe.

    Der 3-Schritte-Plan

    Wie passe ich die Vereinbarung für den Datentransfer in Drittländer an?

    1

    Schritt 1

    Übermittlung personenbezogener Daten

    Überprüfung, ob personenbezogene Daten bisher in Drittländer übermittelt wurden.

    Dies betrifft nicht nur die Verarbeitung durch Dienstleister, sondern auch die Datentransfers innerhalb internationaler Konzerne, deren Muttergesellschaft ihren Sitz außerhalb der EU hat.

    2

    Schritt 2

    Erweiterung der Datenschutzmaßnahmen

    Kontaktieren Sie umgehend den Datenempfänger (Ermittlung der Übermittlungsumstände und Rechtslage im
    Empfängerland). Eventuelle Erweitertungen von Datenschutzmaßnahmen, um das Niveau der DSGVO zu erreichen. Die Analyse und Dokumention der Ergebnisse ist verpflichtend, aber zeitintensiv. Daher ist ein baldiger Beginn empfehlenswert.

    3

    Schritt 3

    Neue Vereinbarungen treffen

    Treffen Sie bis zum 27. Dezember 2022 neue Vereinbarungen auf der Basis der aktuellen SCC, die Sie hier in englischer Sprache herunterladen können.

    Ihr/e Datenschutzbeauftragte/r hilft Ihnen gern dabei.

    Titelfoto: Sara Kurfeß @ Unsplash.com

    Sie haben noch Fragen zum Thema oder zum Datenschutz im Allgemeinen?

    Wir helfen Ihnen gerne:

    joerg-ter-beek-datenschutzexperte-mitauszeichnung-in-berlin

    Ihr Ansprechpartner

    Jörg ter Beek
    Datenschutzexperte