Internationale Datenübermittlungen - Handlungsbedarf bei der Verwendung alter Standardvertragsklauseln
Nach Veröffentlichung der neuen Standardvertragsklauseln läuft die Übergangszeit für die Verwendung der alten Standardvertragsklauseln am 27. Dezember 2022 aus. Die Verwendung der alten Standardvertragsklauseln zur Übermittlung personenbezogener Daten in Drittländer außerhalb des europäischen Wirtschaftsraums (EWR) ist ab dann nicht mehr datenschutzrechtskonform. Das bedeutet, dass die Übermittlung von personenbezogenen Daten eine Verletzung des Datenschutzrechts darstellen kann und daher bestehende Verträge angepasst werden müssen.
Einführung der neuen Standardvertragsklauseln
Die von der EU-Kommission erlassenen Standardvertragsklauseln (SCC) können eine geeignete Garantie für eine der Datenschutzgrundverordnung (DSGVO) entsprechende Übermittlung von personenbezogenen Daten in ein Drittland oder an eine internationale Organisation ohne Angemessenheitsbeschluss der EU-Kommission darstellen.
Die neuen und modernisierten Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer wurden von der EU-Kommission am 4. Juni 2021 veröffentlicht. Grund dafür war, dass die alten SCC an die neuen Anforderungen der DSGVO und insbesondere an die Rechtsprechung des Europäischen Gerichtshofs im sogenannten Schrems II-Urteil angepasst werden mussten.
Am 27. Juni 2021 traten die neuen SCC in Kraft. Nach diesem Stichtag war es noch drei Monate lang gestattet, die alten Standardvertragsklauseln (neu) abzuschließen. Seit dem 27. September 2021 besteht die Verpflichtung, nur noch die neuen SCC zu verwenden. Bis 27. Dezember 2022 dürfen die alten SCC noch genutzt werden.
Was beinhalten die neuen Standardvertragsklauseln?
Die neuen SCC beinhalten vier verschiedene Module für Vertragskonstellationen für die Übermittlung personenbezogener Daten in Drittländer, nämlich (i) Verantwortlicher - Verantwortlicher, (ii) Verantwortlicher - Auftragsverarbeiter, (iii) Auftragsverarbeiter - Auftragsverarbeiter und (iv) Auftragsverarbeiter - Verantwortlicher. Je nach Beziehung zwischen Datenexporteur und Datenimporteur müssen die entsprechenden Klauseln aus dem richtigen Modul angewandt werden.
Zusätzlich zu den umfassenden Haftungsregelungen und Dokumentationspflichten hinsichtlich der Einhaltung der Verpflichtungen aus den Klauseln enthalten die neuen SCC auch Regelungen zur verpflichtenden Durchführung einer Übermittlungs‑Folgenabschätzung ("Transfer Impact Assessment"). Auf der Grundlage eines risikobasierten Ansatzes müssen die Parteien prüfen, ob das geltende Recht oder die Praktiken im Bestimmungsdrittland den Datenimporteur daran hindern könnten, die SCC einzuhalten.
Empfehlung
Da das Ende des Übergangszeitraums näher rückt, sollten Verantwortliche und Auftragsverarbeiter rechtzeitig ihre bestehenden Verträge im Zusammenhang mit der Übermittlung personenbezogener Daten in ein Drittland daraufhin überprüfen, ob überhaupt SCC (bzw. andere angemessene Garantien), und falls ja, ob noch die alten SCC verwendet werden. Erforderlichenfalls sollten geeignete Schritte für die Anpassung bestehender Verträge und den Abschluss neuer SCC unternommen werden, um das Risiko empfindlicher Bußgelder der Datenschutzbehörde oder Schadensersatzforderungen der betroffenen Personen aus diesem Grund zu verhindern.
Hinweis: Dieser Blog stellt lediglich eine generelle Information und keineswegs eine Rechtsberatung von Binder Grösswang Rechtsanwälte GmbH dar. Der Blog kann eine individuelle Rechtsberatung nicht ersetzen. Binder Grösswang Rechtsanwälte GmbH übernimmt keine Haftung, gleich welcher Art, für Inhalt und Richtigkeit des Blogs.