Hintergrund
Wie bereits im Juni 2021 berichtet, hat die EU-Kommission nach dem Schrems-II-Urteil des Europäischen Gerichtshofes im Juli 2018 die Standardvertragsklauseln („Standard Contractual Clauses“, kurz SCC) als Garantie im Sinne des Art. 44 DSGVO für einen Transfer personenbezogener Daten in ein Drittland überarbeitet und an die Vorgaben der DSGVO angepasst. Seit dem 27. September 2021 sind sie in Kraft und stehen jedermann zur Verfügung.
Was hat sich geändert?
- Es gibt nun vier verschiedene Module, die alle denkbaren Vertragskonstellationen abbilden (Verantwortlicher-Verantwortlicher, Verantwortlicher-Auftragsverarbeiter, Auftragsverarbeiter-Subauftragnehmer, Auftragsverarbeiter-Verantwortlicher).
- Es gibt eine Koppelungsklausel, wonach weitere Unternehmen den Verträgen beitreten können.
- Stellt eine nationale Behörde ein Auskunftsersuchen an den Datenimporteur, muss dieser das Ersuchen auf Rechtmäßigkeit prüfen und gegebenenfalls dagegen vorgehen. Auch verpflichtet er sich, den Datenexporteur sowie die Betroffenen von dem behördlichen Vorgehen zu informieren.
- Die Vertragsparteien müssen eine umfangreiche Datentransfer-Folgenabschätzung durchführen (sog. TIA, Transfer-Impact-Assessment). Sie müssen das Datenschutzniveau im Drittland bewerten und dürfen keinen Grund zur Annahme haben, dass Gesetze aus dem Drittland das geforderte Schutzniveau unterlaufen oder konterkarieren.
Selbstverständlich muss das alles auch sorgfältig dokumentiert werden.
Und warum erzählen wir Ihnen das?
Die alten SCC dürfen seit dem 27. September 2021 bei neuen Vertragsabschlüssen nicht mehr verwendet werden. Für Altverträge, d.h. Verträge, die vor dem 27. September 2021 geschlossen worden sind, hat die EU-Kommission eine Übergangsfrist bis zum 27.12.2022 eingeräumt. Bis dahin haben die Unternehmen Zeit, ihre Verträge auf die neuen Standardvertragsklauseln umzustellen.
Werden personenbezogene Daten auf Grundlage der alten SCC über den 27.12.2022 hinaus übermittelt, ist das eine unzulässige Datenverarbeitung und kann mit einem Bußgeld nach der DSGVO belegt werden. Das gilt auch für den Fall, wenn die neuen SCC bereits verwendet werden, aber noch nicht vollständig implementiert sind, also, wenn z.B. keine Risikoabschätzung durchgeführt wurde. Gerade die Risikoabschätzung kann durchaus umfangreich ausfallen, denn es ist jede Datenübermittlung einzeln zu prüfen und zu bewerten. Im Anschluss an die Bewertung muss geprüft werden, ob und inwiefern die implementierten technisch-organisatorischen Maßnahmen ausreichen bzw. ob weitere Maßnahmen ergriffen werden müssen. Die Prüfung und die anschließende Dokumentation nehmen viel Zeit und Kapazitäten in Anspruch.
Das bedeutet für Sie:
1. Prüfen Sie, ob in Ihrem Unternehmen personenbezogene Daten außerhalb der EU/des EWR übermittelt werden.
2. Erfolgt die Datenübermittlung auf Grundlage von SCC? Wenn ja, werden die alten oder die neuen SCC verwendet?
- Wenn die neuen SCC bereits verwendet werden, sind Sie schon einen Schritt weiter. Wenn dann auch noch die Risikoabschätzung durchgeführt wurde und die weiteren An-forderungen erfüllt sind, sind Sie am Ziel.
- Wenn die alten SCC verwendet werden, wird es höchste Zeit, aktiv zu werden.
Gerne beraten und unterstützen wir Sie bei der Aktualisierung Ihrer Verträge und der Durchführung einer Risikoanalyse Ihrer Datentransfers in ein Drittland.