Neues zum Datenschutzrecht
21.12.2022
Neue Standarddatenschutzklauseln (SCC): Fristablauf für Altverträge
Am 27.12.2022 läuft die Übergangsfrist für den Einsatz von alten Standarddatenschutzklauseln für eine Datenverarbeitung in Drittländern ab. Bis zu diesem Tag müssen noch bestehende Alt-Verträge an die Mitte 2021 in Kraft getretenen neuen Standarddatenschutzklauseln für die Datenübermittlung in Drittländer angepasst werden. Über die von der EU-Kommission beschlossenen neuen Standardvertragsklauseln hatte ich in den Datenschutz-News v. 9.7.2021 informiert. Während für neue Vereinbarungen bereits seit dem 27. Juni 2021 die neuen Standarddatenschutzklauseln genutzt werden müssen, gab es für Bestandsvereinbarungen eine 18-monatige Übergangsfrist, die nunmehr abläuft.
Hintergrund
Eine Datenübermittlung in ein Drittland ist gemäß Art. 45 Abs. 1 DSGVO zulässig, wenn die EU-Kommission für dieses Drittland, für ein Gebiet dieses Drittlands oder für die in Frage stehenden Branchen bzw. Tätigkeitsfelder in diesem Drittland ein angemessenes Datenschutzniveau festgestellt hat. Liegt kein Angemessenheitsbeschluss der EU-Kommission gemäß Art. 45 DSGVO vor, ist eine Datenübermittlung in Drittländer nach Art. 46 Abs. 1 DSGVO zulässig, wenn Verantwortliche oder Auftragsverarbeiter geeignete Garantien hinsichtlich des auf die konkrete Datenübermittlung bezogenen Datenschutzniveaus vorsehen und den betroffenen Personen durchsetzbare Rechte sowie effektive Rechtsmittel zur Verfügung stehen. Diese Garantien können gemäß Art. 46 Abs. 2 DSGVO unter anderem in Standarddatenschutzklauseln bestehen.
Die bis Ende Juni 2021 verfügbaren Standarddatenschutzklauseln aus den Jahren 2001, 2004 und 2010 wurden den tatsächlichen Gegebenheiten und Anforderungen nicht mehr gerecht. Das gilt umso mehr mit Blick auf das „Schrems II“-Urteil Europäischen Gerichtshofs vom 16.7.2020 (dazu s. Datenschutz-News v. 17.7.2020), das in den neuen Klauseln berücksichtigt wurde.
Details zum Inhalt und Aufbau der neuen Standarddatenschutzklauseln sowie Informationen dazu, welche Standdatenschutzklauseln („Standardvertragsklauseln“) abgelöst worden sind, finden Sie in den Datenschutz-News v. 9.7.2021.
Praxishinweise
Sollten Sie noch alte Standarddatenschutzklauseln ("Standardvertragsklauseln") nutzen, ist es höchste Zeit, diese durch die neuen Klauseln zu ersetzen. Ab dem 27.12.2022 genügt eine Übermittlung und sonstige Verarbeitung in Drittländern auf Grundlage der alten Standarddatenschutzklauseln nicht mehr den datenschutzgesetzlichen Anforderungen und ist damit rechtswidrig.
Allerdings ist beim Einsatz der neuen Standarddatenschutzklauseln zu beachten, dass deren Einsatz auch in Zukunft nicht von der datenschutzrechtlichen Verantwortlichkeit für das Vorliegen ausreichender Garantien für den Schutz der personenbezogenen Daten in dem konkreten Drittland entbindet. Mit den neuen Standarddatenschutzklauseln wurde lediglich festgelegt, dass diese Klauseln bei der Übermittlung personenbezogener Daten aus EU-Staaten in Drittländer grundsätzlich ausreichende Garantien für den Schutz des Persönlichkeitsrechts und die damit verbundenen Rechte bieten können. Ob das tatsächlich der Fall ist, muss der in der EU ansässige Verantwortliche in Bezug auf das in Frage stehende Drittland selbst prüfen und entscheiden, sofern wie z.B. aktuell für die USA kein (rechtmäßiger) Angemessenheitsbeschluss der EU-Kommission gem. Art. 45 DSGVO vorliegt (s. dazu Datenschutz-News v. 17.7.2020).
Für Datenübermittlungen in entsprechende Drittländer sind neben den aktuellen Standarddatenschutzklauseln zusätzliche Maßnahmen erforderlich, um einen angemessenen Schutz der personenbezogenen Daten zu gewährleisten. Diese ergänzenden Sicherungsinstrumente können laut EuGH neben besonderen technischen Zugangssicherungen wie eine Datenverschlüsselung auch Regelungen mit zusätzlichen Garantien sein (s. Datenschutz-News v. 17.7.2020). Dieser Punkt wurde in den neuen Standarddatenschutzklauseln zwar aufgegriffen und es wurden zusätzliche Garantie-Aspekte aufgenommen. Allerdings bleibt es bei der Risikoprüfung (sog. TIA, Transfer Impact Assessment) und der Entscheidung des Verantwortlichen. Dabei sollten Sie beachten, dass Regelungen in Standarddatenschutzklauseln als alleinige zusätzliche Garantien gerade nicht ausreichen können, wenn hoheitliche Zugriffe und Zugriffsrechte auf die übermittelten personenbezogenen Daten zur Diskussion stehen. Eine Bindung von Behörden und anderen staatlichen Institutionen oder eine Beschränkung des Rechts des Drittlandes ist gerade nicht möglich.
Sollten Sie Fragen zu Standarddatenschutzklauseln, Datenübermittlungen in Drittländer wie die USA oder sonstigen datenschutzrechtlichen Themen haben oder insoweit Unterstützung benötigen, können Sie mich gerne kontaktieren.
Zurück zur Übersicht