News
Aufgepasst!
Zwingende Umstellung auf neue Standardvertragsklauseln bis zum 27.12.2022
I. Standardvertragsklauseln - Was ist das?
Mit den Standardvertragsklauseln werden europäische Datenschutzstandards vertraglich zwischen Datenexporteuren im Europäischen Wirtschaftsraum und Datenimporteuren in sogenannte unsichere Drittländer vereinbart.
Sichere Drittländer sind solche, denen die Europäische Kommission per Angemessenheitsbeschluss ein angemessenes Datenschutzniveau bestätigt hat. Dort gewährleisten die nationalen Gesetze einen Schutz von personenbezogenen Daten, welche mit dem des EU-Rechts vergleichbar ist.
Existiert für ein Land kein Angemessenheitsbeschluss, schließt dies eine Übermittlung in dieses Land nicht grundsätzlich aus. Der Verarbeiter muss auf andere Weise sicherstellen, dass die personenbezogenen Daten beim Empfänger ausreichend geschützt werden.Durch den Einsatz von Standardvertragsklauseln kann dies sichergestellt werden, bei Datenübertragung innerhalb eines Konzerns durch sog. Binding Corporate Rules, durch eine Verpflichtung zur Einhaltung von Verhaltensregeln, die von der Kommission für allgemein gültig erklärt worden sind, oder durch die Zertifizierung des Verarbeitungsvorganges geschehen.
Die von der Kommission bereit gestellten Muster der Standardvertragsklauseln dienen in der Praxis als Grundlage und werden in einer Vielzahl von Unternehmen verwendet. Damit kann die Übermittlung personenbezogener Daten in Drittländer ohne weitere Genehmigung der Aufsichtsbehörden erfolgen.
Hierbei ist zu beachten, dass eine Offenlegung von personenbezogenen Daten für einen Abruf in einem Drittland (Bspw. für eine Fernwartung) einer Übermittlung gleichsteht.
II. Warum gibt es Anpassungen?
Am 16.07.2020 hat der Europäische Gerichtshof mit seinem Schrems II- Urteil die Anforderungen an die Verwendung von Standardvertragsklauseln verschärft. Nach dem Urteil liegt es in der Verantwortung eines Datenexporteurs, vor der Übermittlung personenbezogener Daten zu prüfen, ob in dem Drittland ein mit der EU gleichwertiges Schutzniveau für personenbezogene Daten besteht. Es sei hier angemerkt, dass es sich bei den USA um ein sogenannten unsicheres Drittland handelt, bei dem kein mit der EU vergleichbares und gleichwertiges Datenschutzniveau vorliegt.
Fraglich ist, ob die Vertragsparteien beim Abschluss der Standardvertragsklauseln unter Berücksichtigung zusätzlicher Maßnahmen Grund zur Annahme haben, dass der Datenimporteur an der Erfüllung seiner Pflichten aus den Standartvertragsklauseln gehindert wird. Hierfür können die im Drittland geltenden Rechtsvorschriften und Gepflogenheiten dagegensprechen.
Wenn Grund zur Annahme hierfür besteht, müssen gegebenenfalls zusätzliche Maßnahmen zur Sicherstellung eines gleichwertigen Schutzniveau, welches im Wesentlichen mit der EU gleichwertig ist durch den Datenexporteur ergriffen werden. Eine Prüfung kann auch zu dem Ergebnis kommen, dass von der Übermittlung ganz abgesehen werden muss.
Der Europäische Datenschutzausschuss hat eine Arbeitshilfe mit Beispielen für zusätzliche Maßnahmen und als Empfehlung veröffentlicht (Version 2.0 vom 18.06.2021).
III. Neue Standardvertragsklauseln 2021
Die Europäische Kommission hat im Juni 2021 neue Standardvertragsklauseln erlassen (Durchführungsbeschluss (EU) 2021/914 der EU-Kommission v. 04.06.2021 – Az. C(2021) 3972, ABl. EU Nr. L 199/31 vom 07.06.2021).
Die neuen Standardvertragsklauseln sind seit dem 27.09.2021 zwingend für Neuverträge zu verwenden. Spätestens bis zum 27.12.2022 muss eine Umstellung sämtlicher Altverträge auf die neuen Standardvertragsklauseln bei allen Datenexporteuren erfolgt sein.
IV. Was muss unternommen werden?
Zunächst sollte jede Unternehmensführung überprüfen, inwieweit Standardvertragsklauseln im Einsatz sind, ob diese noch Ihren Zweck erfüllen, oder aufgehoben werden können.
Wenn alte Versionen noch vorliegen und weiterhin Verwendung finden, sollten diese zeitnah auf die neuen Vorgaben umgestellt werden und zwischen den Parteien abgeschlossen werden. Nur so kann weiterhin ein angemessenes Schutzniveau für den Datenexport aufrechterhalten werden und die durch die EU-Kommission vorgegebene Frist eingehalten werden kann.
Wenden Sie sich an uns
Wenden Sie sich hier gerne an Ihre/n Berater/in des FKC Datenschutz-Teams, um die gesetzlichen Vorgaben weiterhin zu erfüllen, wir helfen Ihnen gerne!