Zwingender Abschluss der neuen EU-Standardvertragsklauseln
Die EU-Kommission hatte im Juni 2021 neue Standardvertragsklauseln (SVK) für die Übermittlung von personenbezogenen Daten in Drittländer veröffentlicht. Hierzu informierten wir in unserem Newsletter „Neue Standardvertragsklauseln für den internationalen Datentransfer“ vom 18. August 2021. Für Neuverträge müssen schon seit dem 27. September 2021 die neuen SVK verwendet werden. Bei laufenden Datentransfers auf Grundlage von Verträgen, die vor dem 27. September 2021 abgeschlossen worden sind, sah die Kommission einen Übergangszeitraum zur Umstellung auf die neuen SVK vor, der nun zum 27. Dezember 2022 endet. Bis zu diesem Zeitpunkt müssen alle Bestandsverträge umgestellt werden.
Bei einigen, vor allem größeren Dienstleistern aus dem IT-Bereich (vornehmlich aus den USA) ist die Umstellung auf die neuen SVK recht einfach gestaltet und kann online etwa über eine Bestätigung oder einen Neuabschluss der Verträge in den Nutzerkontoeinstellungen erfolgen. Bei anderen Dienstleistern müssen die entsprechenden Vertragspartner aktiv kontaktiert, der Status quo abgefragt und gegebenenfalls die neuen SVK abgeschlossen werden. Unternehmen, die Daten an Vertragspartner in Drittländer außerhalb der Europäischen Union / des Europäischen Wirtschaftsraums transferieren, für die kein sog. Angemessenheitsbeschluss existiert (wie zum Beispiel in die USA), sind gut beraten, ihre Vertragsbeziehungen auf den Prüfstand zu stellen und die SVK in ihrer aktuellen Fassung zu vereinbaren. Es ist nicht auszuschließen, dass die Aufsichtsbehörden verstärkt die Datentransfers in Drittländer auf den Prüfstand stellen werden.
Risikobewertung
Mit der Vereinbarung der neuen SVK treffen die Vertragspartner weitere Pflichten im Zusammenhang mit dem Datentransfer in Drittländer. Die SVK verlangen nämlich zusätzlich eine Risikoabschätzung, ein sog. Transfer Impact Assessment, in Bezug auf die vertraglich vereinbarte Datenübermittlung und -verarbeitung im jeweiligen Drittland. Die Risikoabschätzung dient dazu, anhand der in den SVK umschriebenen Bewertungskriterien zu bestimmen, ob im Drittland ein angemessener Schutz der personenbezogenen Daten, gegebenenfalls unter Ergreifung weiterer Schutzmaßnahmen, gewährleistet ist. Das Ergebnis dieser Risikoabschätzung muss dokumentiert werden.
Ausblick
Ob und in welchem Ausmaß die Aufsichtsbehörden die Umsetzung der genannten Maßnahmen prüfen und im Falle einer unzureichenden Umsetzung sanktionieren werden, lässt sich nicht vorhersagen. Eine Änderung der Rechtslage schon im Frühjahr 2023 ist zumindest für das relevanteste Drittland, die Vereinigten Staaten, in Aussicht, nachdem die EU-Kommission in dieser Woche dem Europäischen Datenschutzausschuss den Entwurf eines Beschlusses vorlegte, mit dem sich die USA verpflichten, ein angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten, die aus der EU übermittelt werden. Der Beschluss soll im Frühjahr 2023 in eine Entscheidung der EU-Kommission zum angemessenen Datenschutzniveau in den Vereinigten Staaten münden. Über die weiteren Entwicklungen werden wir berichten.
Hinweis
Wir möchten darauf hinweisen, dass die allgemeinen Informationen in diesem Newsletter eine Rechtsberatung im Einzelfall nicht ersetzen.