Skip to main content
main-content

19.10.2021 | Datenschutz | Im Fokus | Onlineartikel

Im Datenverkehr gelten neue Standardvertragsklauseln

Autor:
Sylvia Meier
3:30 Min. Lesedauer

Wie können Unternehmen beim internationalen Datentransfer sicherstellen, dass datenschutzrechtliche Vorgaben eingehalten werden? Die EU hat neue Standardvertragsklauseln (SCC) veröffentlicht, die Unternehmen nun umsetzen müssen.

Die Beachtung datenschutzrechtlicher Vorschriften ist für Unternehmen mit vielen Fragen und Herausforderungen verbunden. Der Branchenverband Bitkom stellt beispielsweise in einer Analyse fest, dass das Thema Datenschutz Betriebe vor allem dann unter Dauerdruck setzt, wenn diese mit begrenzten Ressourcen arbeiten müssen. Viele Firmen kämpfen daher mit der DSGVO-Umsetzung. Dennoch sind die Gründe, die die Unternehmen hindern, vielfältig:

  • Corona hat andere Prioritäten erzwungen (82 Prozent)
  • DSGVO lässt sich nicht vollständig umsetzen (77 Prozent)
  • Personelle Ressourcen fehlen (61 Prozent)
  • Neue Urteile und Empfehlungen der Aufsicht machen fortlaufende Anpassungen erforderlich (47 Prozent)
  • Datentransfers außerhalb der EU müssen geprüft werden (45 Prozent)

Empfehlung der Redaktion

01.08.2020 | Ausgabe 2/2020

Schrems II: (K)ein Grund zur Freude?

Der EuGH hat - nicht unerwartet - den sogenannten Privacy Shield zerbrochen, der Privaten die Übermittlung von personenbeziehbaren Daten in die USA gestattete. In dem als "Schrems II" bekannten Fall geschah dieses wesentlich mit der Begründung, dass das US-Recht den Schutz personenbezogener Daten von EU-Bürgern gegenüber staatlicher (Massen-)Überwachung in nicht angemessener Weise gewährleisten würde.

Tatsächlich sind Unternehmen vor allem beim internationalen Datentransfer gefordert, besondere Sorgfalt zu zeigen. "Übermittlungen personenbezogener Daten in Drittländer sind nur dann zulässig, wenn diese ein Datenschutzniveau aufweisen, das den europäischen Grundrechten der Sache nach gleichwertig ist". erklärt Maja Smoltczyk, Berliner Beauftragte für Datenschutz und Informationsfreiheit, in dem Beitrag "Nach "Schrems II": Europa braucht digitale Eigenständigkeit". Der EuGH hatte in seinem Urteil vom 16. Juli 2020 ("Schrems II", C-311/18) entschieden, dass das bis dahin gängige Privacy-Shield-Abkommen für den Datenverkehr mit den USA unwirksam ist.

Verschärfte Klauseln geben Unternehmen mehr Sicherheit

Die EU hat sich darauf hin mit der Frage befasst, wie die Datenübermittlung in Drittländer geregelt werden kann. Die Folge: Im Juni 2021 wurden neue Standardvertragsklauseln (auch SCC oder Mustervertrag genannt) veröffentlicht, die auch der Homepage der EU-Kommission zu finden sind. EU-Justiz-Kommissar Didier Reynders betont: 

In unserer modernen digitalen Welt ist es wichtig, dass Daten mit dem nötigen Schutz weitergegeben werden können - innerhalb und außerhalb der EU. Mit diesen verschärften Klauseln geben wir den Unternehmen mehr Sicherheit und Rechtssicherheit für die Datenübermittlung. Nach dem Schrems-II-Urteil war es unsere Pflicht und Priorität, benutzerfreundliche Instrumente zu entwickeln, auf die sich Unternehmen voll und ganz verlassen können. Diese Aufgabe ist erfüllt. Dieses Paket wird Unternehmen maßgeblich dabei helfen, die Datenschutz-Grundverordnung einzuhalten."

Was Unternehmen dabei beachten müssen, zeigt der Beitrag "Ergänzende Prüfungen und Maßnahmen trotz neuer EU-Standardvertragsklauseln für Datenexporte nötig": Betriebe müssen gegenüber der Aufsichtsbehörde nachweisen, dass sie eine Prüfung zum Schutzniveau im Drittland im Einzelfall durchgeführt haben und zu einem positiven Ergebnis gekommen sind. Wer sich mit den neuen Regeln noch nicht befasst hat, sollte dies also dringend nachholen. Denn die neuen Vertragsklauseln finden seit dem 27. September 2021 auf Neuverträge Anwendung. Spätestens zum 27. Dezember 2021 müssen auch Altverträge umgestellt werden. Wer gegen datenschutzrechtliche Bestimmungen verstößt, riskiert Sanktionen in Form hoher Bußgelder. 

Übermittlung nur bei positiver DTIA-Bewertung

Nadia Martini ist Partnerin und Datenschutzbeauftragte bei Rödl & Partner in Italien und verantwortet die Bereiche Datenschutzrecht, Informationstechnologien und geistiges Eigentum. Die Expertin erklärt im Gespräch mit Springer Professional: "Schließt ein Unternehmen einen SCC ab, muss es nach den neuen Modellen der Europäischen Kommission eine spezifische Bewertung durchführen, die üblicherweise als DTIA (Data Transfer Impact Assessment) bezeichnet wird."

Martini weist darauf hin, dass diese Bewertung aus einer Abbildung der tatsächlichen Übermittlung besteht und unter anderem folgende Punkte enthalten muss:

  • Angaben zum Bestimmungsland,
  • Arten der übermittelten Daten,
  • Umfang,
  • Kategorien der betroffenen Personen und
  • besondere Zwecke der Übermittlung.

"Darüber hinaus sind nach erfolgter Gliederung der Verarbeitung Kontrollpunkte vorgesehen, welche darauf abzielen (durch Nachweise des Nicht-EU-Empfängers der Daten) den Compliance-Status seines Umfelds zu dokumentieren. In der durch den Fall Schrems eingeführten umfassenden Sichtweise muss sich die Bewertung des Kontextes notwendigerweise auf das mögliche Vorhandensein eines erzwungenen und absichtlichen Zugangs durch lokale Institutionen erstrecken", so die Fachfrau. Nur, wenn die Bewertung zu einem positiven Ergebnis kommt, dürfe eine Übermittlung erfolgen.

Was Unternehmen nun tun sollten

Welche Schritte sollten Unternehmen vornehmen, um das EuGH-Urteil und die neuen Regelungen der EU umzusetzen? Das Land Niedersachsen empfiehlt folgende Schritte:

  1. Bestandsaufnahme über Datenexporte in Drittländer
  2. Überprüfung der Datenexporte auf der Grundlage von Standardvertragsklauseln
  3. Überprüfung der Datenexporte auf der Grundlage von Binding Corporate Rules
  4. Datenexporte auf der Grundlage von Ausnahmen nach Art. 49 DS-GVO
  5. Überprüfung und ggf. Aktualisierung der Dokumentation und der Informationspflichten
  6. Meldepflicht gegenüber der Aufsichtsbehörde

Weiterführende Themen

Die Hintergründe zu diesem Inhalt

Das könnte Sie auch interessieren

Premium Partner

    Bildnachweise