Nachdem das sogenannte „Privacy Shield-Abkommen“ im Sommer 2020 vom europäischen Gerichtshof (EuGH) abgeschafft wurde (auch bekannt als Schrems-II-Urteil), kam es bei Unternehmen und anderen verantwortlichen Stellen zu massiven Rechtsunsicherheiten und Einschränkungen bei dem Transfer von personenbezogenen Daten in das EU-Ausland. Von der zeitweisen Einstellung bestimmter Datentransfers über detaillierte „Transfer Impact Assessments“ in Verbindung mit dem Abschluss von Standardvertragsklauseln (im Folgenden SCC), haben Unternehmen versucht, den Datentransfer rechtssicher zu gestalten.
Insbesondere für die SCC gilt, dass diese bis zum 27. Dezember 2022 aktualisiert und mit dem jeweiligen Dienstleister, der sich im Drittland befindet abgeschlossen werden sollten, denn die „Altverträge“ sind ab diesem Zeitpunkt unwirksam. Es besteht zwar auch die Möglichkeit, die Altverträge zu überarbeiten, dies ist allerdings mit einem höheren zeitlichen Aufwand verbunden, als direkt die neuen Verträge abzuschließen. Wer sich also mit diesem Thema bisher noch nicht ernsthaft beschäftigt hat, dem läuft langsam aber sicher die Zeit ab.
Die SCC sind Vertragsmuster der Europäischen Union, die es ermöglichen eine vertragliche Vereinbarung über die Einhaltung der europäischen Datenschutzstandards zwischen den beteiligten Parteien (Datenexporteur und Datenimporteur).
Außerdem sollte neben der Verwendung der neuen SCC auch die jeweilige Rechtslage des Drittlands geprüft werden, um festzustellen, ob noch weitere Schutzmaßnahmen getroffen werden müssen (Stichwort Transfer Impact Assessment).
Was sollte zunächst festgestellt werden?
Jede Verarbeitungstätigkeit und jeder Datenstrom sollte überprüft werden, ob hierbei personenbezogene Daten in Drittländer übermittelt werden. Dies gilt bereits auch dann, wenn für die Verarbeitung Systeme oder Software verwendet werden, dessen Anbieter/Betreiber aus einem Drittland kommt. Insbesondere sollten auch Unternehmen – die zu international agierenden Unternehmensgruppen gehören – prüfen, welche Datenströme vorliegen.
Aufsichtsbehördliche Prüfungen
Es kann erwartet werden, dass die datenschutzrechtlichen Aufsichtsbehörden in den kommenden Monaten Prüfungen zu internationalen Datentransfer und der Verwendung der SCC in den Unternehmen vornehmen werden. Angekündigt wurde bereits, dass die Aufsichtsbehörden internationale Datentransfers untersagen werden, bei denen keine geeigneten Garantien zum Schutz der personenbezogenen Daten getroffen wurden. Dies kann dann natürlich auch entsprechende Bußgelder für das Unternehmen zur Folge haben.
Fazit
Es ist dringend anzuraten, dass dieses wichtige Thema noch bis zum 27. Dezember 2022 schnellstmöglich bearbeitet wird und die neuen SCC mit den Dienstleistern im Drittland abgeschlossen werden und ggf. weitere Maßnahmen getroffen werden, damit eine möglichst rechtskonforme Übermittlung von personenbezogenen Daten stattfinden kann.
