Sie übermitteln derzeit personenbezogene Daten in Drittstaaten, also in Länder außerhalb des Europäischen Wirtschaftsraumes (EWR) bzw. der Europäischen Union (EU)? Und Sie nutzen dafür noch „alte“ Standardvertragsklauseln (eng. Standard Contractual Clauses – SCC)?
Dann sollten Sie schnell jetzt noch aktiv werden, denn diese verlieren am Stichtag dem 27.12.2022 ihre Gültigkeit.
Die rechtliche Bedeutung von Standardvertragsklauseln:
Standardvertragsklauseln sind von der EU Komission verabschiedete Vertragsmustersets. Bei einer Übertragung personenbezogener Daten in Länder ohne Angemessenheitsbeschluss und ohne einer Ausnahmeregelung nach Art. 49 DSGVO müssen diese zwischen dem Datenexporteur und dem Datenimporteur abgeschlossen werden. Durch die vertragliche Verpflichtung sowie weitere technische und organisatorische Maßnahmen soll ein angemessenes Datenschutzniveau gewährleistet werden. Dies gilt auch für den Datentransfer innerhalb von Konzernen. Mit dem aktuellen Stand der Herausforderung einer Datenübertragung in die USA befasst sich ergänzend unser nächster Artikel.
Wie kommt es dazu, dass alte SCC nun ihre Gültigkeit verlieren?
Im Nachgang von Schrems II – als am 16.07.2020 der Europäsiche Gerichtshof mit seinem Urteil C-311/18 das EU/US Privacy Shield für ungültig erklärte, – hat die Europäische Kommission eine Überarbeitung der bis dahin gültigen Standardvertragsklauseln (2010/87/EU) vorgenommen und eine neue Version bzw. Module von Standardvertragsklauseln (EU 2021/914) veröffentlicht, die per 27.09.2021 bindend bei Abschluss neuer Vertäge sind. Alte SCC behielten dabei zunächst ihre Gültigkeit bis zum 27.12.2022.
Was heißt das nun genau?
Ende des Jahres läuft jetzt also die Frist ab, bestehende Altverträge müssen auf neue SCC umgestellt werden. Folglich erfüllt man nicht mehr die Anforderungen der DSGVO bei der Übermittlung personenbezogner Daten in ein Land außerhalb des Europäischen Wirtschaftsraumes bzw. außerhalb der EU ohne Angemessenheitsbeschluss und ohne Ausnahmeregelungen nach Art 49 DSGVO. Vielmehr besteht die konkrete Gefahr einer Verhängung von Bußgeldern durch die Aufsichtsbehörden.
Was müssen Sie beachten?
Überprüfen Sie zunächst, ob Sie Daten in Drittländer exportieren, für die kein Angemessenheitsbeschluss existiert. Haben Sie dabei ein besonderes Augenmerk auf US Dienstleister. Führen Sie als Datenexporteur ein Transfer Impact Assessment (TIA) durch. Nutzen Sie dafür unsere Vorlage! Stellen Sie fest, welche Module der SCC ggf. erneuert werden müssen. Nehmen Sie Kontakt zu Ihren Vertragspartnern/Dienstleistern auf, wenn Sie noch alte Standardvertragsklauseln vereinbart haben. Stellen Sie gemeinsam auf die neuen Standardvertragsklauseln um oder wechseln Sie ggf. den Dienstleister, falls sich dies als zu schwierig erweisen sollte.
Bezüglich eines Transfers in die USA könnte zwar ein neuer Angemessenheitsbeschluss der EU Kommission den Abschluss der neuen SCC überflüssig machen, jedoch zeichnet es sich aktuell nicht ab, dass ein solcher Beschluss vor dem 27.12. erlassen wird.
Neuigkeiten zum Thema Datentransfer gibt es auch aus den USA, lesen Sie hierzu mehr in unserem nächsten Beitrag.