Als Übergangsfrist wurde vorgesehen, dass bereits vor dem 27. September 2021 abgeschlossene Standardvertragsklauseln bis zum 27. Dezember 2022 ausgetauscht werden müssen durch die neuen von der EU-Kommission beschlossenen Klauseln.
Die Frist zur Umstellung läuft also zum Jahresende ab. Unternehmen sollten daher die letzten Wochen vor Ablauf der Frist nutzen und die Rechtsgrundlage ihrer Datenexporte überprüfen.
Wenn sie entweder selbst oder ihre Auftragsverarbeiter personenbezogene Daten in unsichere Drittländer auf Basis von EU-Standardvertragsklauseln übermitteln und noch die alten Standardvertragsklauseln, welche vor dem 4. Juni 2021 galten, eingesetzt werden, besteht Handlungsbedarf. Die neuen Klauseln müssen schnell mit dem Vertragspartner verhandelt und abgeschlossen werden. Zu beachten ist, dass das richtige Modul ausgewählt wird. Die Standardvertragsklauseln gibt es in unterschiedlichen Varianten. Es ist demnach die zutreffende zu wählen, je nachdem, welche Vertragspartei die personenbezogenen Daten importiert bzw. exportiert.
Mit dem Abschluss der Standardvertragsklauseln ist es jedoch nicht getan: Seit dem Urteil des EuGH vom 16. Juli 2020 (Rechtssache C-311/18) zum EU-US-Privacy Shield ist deutlich, dass Verantwortliche zusätzlich ein sog. Transfer Impact Assessment (kurz: TIA) durchführen müssen. Die Risikoabschätzung dient dazu, zu bestimmen, ob ggf. weitere Schutzmaßnahmen für die personenbezogenen Daten benötigt werden, weil die Standardvertragsklauseln allein für deren Schutz nicht ausreichen. Dies ist bspw. in Ländern wie den USA der Fall, wo die nationale Gesetzgebung u.a. weitreichende Möglichkeiten für Geheimdienste vorsieht, auf personenbezogene Daten zuzugreifen. Dies entspricht nicht dem Datenschutzniveau der EU. Daher müssen im Fall der USA bei Bedarf zusätzliche Schutzmaßnahmen umgesetzt werden, um den Schutz der übermittelten Daten zu gewährleisten. Das Ergebnis dieser Risikoabschätzung muss dokumentiert werden.
Verantwortliche Unternehmen, die oben beschriebene Maßnahmen noch nicht umgesetzt haben, sollten nun dringend handeln. Sie müssen für alle Verarbeitungstätigkeiten, die eine Übermittlung von personenbezogenen Daten in unsichere Drittländer im Sinne der DSGVO beinhalten, ihre Kooperationspartner, die die Daten im- oder exportieren, kontaktieren und den Status quo überprüfen. Das Ergebnis der Überprüfung sollte dokumentiert werden.
Wird die Rechtsgrundlage nicht auf die neuen Standardvertragsklauseln umgestellt, könnte die Datenübermittlung als unzulässig angesehen werden. Konsequenzen wären nach Art. 58 DSGVO u.a. Bußgelder oder Verbote der jeweiligen Datenübermittlung durch die zuständige Datenschutz-Aufsichtsbehörde.
Es ist gut vorstellbar, dass die Aufsichtsbehörden die Umstellung, ähnlich wie nach dem Urteil des EuGH zum EU-US-Privacy-Shield überprüfen werden.
Wenn Sie nicht sicher sind, ob Sie bereits auf die neuen EU-Standardvertragsklauseln umgestellt haben oder Zweifel bei der Durchführung der TIA haben – wir unterstützen Sie gerne mit unserem Team aus juristischen und technischen Experten. Wir prüfen den Abschluss der Standardvertragsklauseln für Sie und unterstützen Sie bei der Durchführung einer Risikoeinschätzung für den Datentransfer. Gemeinsam entwickeln wir mit Ihnen eine Lösung, damit Sie auch für 2023 gut gerüstet sind!
Falls Sie Fragen zu der zur Umstellung auf die neuen EU-Standardvertragsklauseln oder zu anderen datenschutzrechtlichen Themen haben, kontaktieren Sie uns einfach!
Zentrale Hutthurm: +49 (0) 8505 91927 – 0
Niederlassung München: +49 (0) 89 413 2943 – 0
Oder nutzen Sie unser Kontaktformular.