Der Beitrag wurde verfasst von unseren Experten Dr. Florian Scheriau und Sebastian Barg.
Kurz vor dem Jahreswechsel endete eine wichtige Frist für Unternehmen, die personenbezogene Daten in Länder außerhalb des europäischen Wirtschaftsraums übermitteln. Nachdem der Europäische Gerichtshof in seinem Urteil vom 16. Juli 2020 (Rechtssache Schrems II) das EU-US Privacy Shield für ungültig erklärt hatte, überarbeitete die EU-Kommission die „alten“ Standardvertragsklauseln und veröffentlichte am 4. Juni 2021 eine neue Version sowie verschiedene Module von Standarddatenschutzklauseln. Dabei handelt es sich um von der EU-Kommission verabschiedete Vertragsmuster, mit denen europäische Datenschutzstandards vertraglich zwischen Datenexporteuren und -importeuren vereinbart werden. Entsprechend dem Durchführungsbeschluss ist seit dem 27. September 2021 für den Abschluss neuer Verträge die Nutzung der neuen Standardvertragsklauseln (EU 2021/914) verpflichtend. Bereits unterzeichnete „alte“ Standardvertragsklauseln durften noch bis zum 27. Dezember 2022 für den Datentransfer in oder aus Drittländern verwendet werden. Inhaltlich neu in den Standardertragsklauseln ist zum Beispiel die Pflicht zur Datentransferfolgenabschätzung oder die Pflicht zur Abwehr von möglichen (widersprechenden) Regierungsanfragen.
Werden personenbezogene Daten von Unternehmen ohne die Einhaltung dieser Anforderungen in ein Drittland übermittelt, drohen grundsätzlich empfindliche Bußgelder. Die EU-DSGVO sieht für Datenschutzverstöße Bußgelder von bis zu 20 Millionen Euro oder von bis zu vier Prozent des weltweiten Jahresumsatzes vor. Ausgenommen davon sind Datenübertragungen in Drittländer, die gemäß dem sogenannten Angemessenheitsbeschluss als „sicher“ gelten. Die EU-Kommission hat bislang für folgende Länder Angemessenheitsbeschlüsse erlassen: Andorra, Argentinien, Kanada, Färöer, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland, Republik Korea, Schweiz, Uruguay und Vereinigtes Königreich.
Konkret bedeutet dies: Für Unternehmen, die bisher noch keine interne Prüfung der Drittlandtransfers vorgenommen haben, ist es umso wichtiger, sich mit der Thematik zu befassen. Zu prüfen sind alle Auftragsverarbeitungsverträge, die Unternehmen mit Dienstleistern und eigenen Tochtergesellschaften beziehungsweise verbundenen Gesellschaften in Drittländern – also Staaten außerhalb der EU – abgeschlossen haben und in denen die Datenübermittlung auf Artikel 46 Absatz 2 Buchstabe c EU-DSGVO (Standardvertragsklauseln) beruht.
Unternehmen, die sich mit der Umstellung noch nicht beschäftigt haben, empfehlen wir folgende erste Handlungsschritte:
Ausblick: Eine Erleichterung des Datentransfers in die USA ist ab März 2023 in Sicht: US-Präsident Joe Biden unterzeichnete am 7. Oktober 2022 ein Dekret zur Vorbereitung des Abschlusses eines Datenschutzabkommens zwischen den USA und der EU. Auf EU-Ebene kann nun das Verfahren für einen Angemessenheitsbeschluss starten, der die USA wieder zum "sicheren Drittland" erklären kann. Für die Übergangsphase bis dahin gelten allerdings weiterhin die oben genannten Regeln.
Sie haben Fragen oder Handlungsbedarf? Wir unterstützen Sie gerne in allen Angelegenheiten rund um das Thema Datenschutz – gerne übernehmen wir auch die Funktion des externen Datenschutzbeauftragten für Sie. Sprechen Sie uns an!
