Am 04.06.2021 hat die Europäische Kommission neue Standarddatenschutzklauseln für den internationalen Datentransfer verabschiedet, um die Übermittlung personenbezogener Daten in Drittländer außerhalb der EU rechtssicherer und flexibler zu gestalten. Die erste Frist für die Umsetzung der neuen Vorgaben ist bereits abgelaufen. Seit dem 27.09.2021 dürfen Neuverträge ausschließlich auf Grundlage der neuen Standarddatenschutzklauseln abgeschlossen werden.
Aber auch die zweite Umsetzungsfrist läuft demnächst ab. Für bestehende Verträge wurde für die Umstellung auf die neuen Standardschutzklauseln eine Frist bis zum 27.12.2022 gewährt. Wir berichteten bereits in unserem Newsletter vom Juli 2021 über die Neuerungen. Wegen der großen Bedeutung dieser Thematik für Unternehmen und des baldigen Fristablaufs haben wir für Sie nochmals die wichtigsten Punkte zusammengefasst:
1. Zusammenfassung der wichtigsten Neuerungen
Die neuen Klauseln sind modular aufgebaut und decken die folgenden Übermittlungskonstellationen ab:
Modul 1: Übermittlung von Verantwortlichen in der EU an Verantwortliche in Drittländern
Modul 2: Übermittlung von Verantwortlichen in der EU an Auftragsverarbeiter in Drittländern
Modul 3: Übermittlung von Auftragsverarbeitern in der EU an weitere (Unter-)Auftragsverarbeiter in Drittländern
Modul 4: Übermittlung von Auftragsverarbeitern in der EU an Verantwortliche in Drittländern
Die neuen Schutzklauseln sehen außerdem die Möglichkeit vor, die Verträge als Mehrparteienverträge zu gestalten.
Zu beachten ist, dass allein die Vereinbarung der neuen Standarddatenschutzklauseln nicht ausreicht, um die Anforderungen an Drittland-Übermittlungen aus dem sog. Schrems-II-Urteil des EuGHs zu erfüllen. Die Klauseln berücksichtigen zwar die Anforderungen aus dem Schrems-II-Urteil, indem sie die Anforderungen hieraus ausdrücklich in Klausel 14 erwähnen. Erfüllt werden die Anforderungen allein durch die Vereinbarung der Klauseln jedoch nicht. Erforderlich ist daher weiterhin die Überprüfung der Rechtslage in den jeweiligen Drittländern und ggf. die Implementierung zusätzlicher Maßnahmen (sog. Transfer Impact Assessment).
2. Handlungsempfehlung
Für Unternehmen, die personenbezogene Daten auf Grundlage der alten Standarddatenschutzklauseln an Drittländer außerhalb der EU übermitteln, besteht schneller Handlungsbedarf.
In weniger als zwei Monaten müssen alle bestehenden Verträge angepasst werden, was einen nicht zu unterschätzenden Organisationsaufwand erfordert. Die bestehenden Verträge müssen nicht nur auf die neuen Standarddatenschutzklauseln umgestellt werden, sondern alle hierauf gestützten Übermittlungen müssen im Einzelfall dahingehend geprüft werden, ob die Gesetze im Empfängerlandes die Einhaltung der in den Klauseln enthaltenen Garantien ermöglichen. Diese Prüfungen sind auch zu dokumentieren, um gegenüber der Aufsichtsbehörde im Einzelfall die Durchführung der Prüfung des Schutzniveaus des Empfängerlandes nachweisen zu können.
Eine fehlende oder unvollständige Umsetzung kann Beanstandungen oder die Verhängung von Bußgeldern durch die zuständigen Aufsichtsbehörden nach sich ziehen. Auch Schadensersatzansprüche Betroffener sind nicht auszuschließen.