tiero - Fotolia
Datentransfer in Drittstaaten: Frist zur Umstellung endet
Die Frist für die Umstellung auf die neuen Standardvertragsklauseln endet Ende Dezember 2022. Unternehmen müssen handeln, um eine Rechtsgrundlage für Datentransfers zu haben.
Es ist ein Grundprinzip des EU-Datenschutzes: Das Datenschutzniveau muss zu jeder Zeit und an jedem Ort gewährleistet sein und den Vorgaben der Datenschutz-Grundverordnung (DSGVO) entsprechen. Wird ein Datentransfer in einen Drittstaat und damit eine Übermittlung personenbezogener Daten in ein Land außerhalb EU/EWR geplant, muss sichergestellt sein, dass dort ein der DSGVO entsprechendes Datenschutzniveau garantiert ist.
Der Wegfall des Privacy Shields hat viele Unternehmen, die Daten mit den USA austauschen, vor massive Probleme gestellt, so der Digitalverband Bitkom. 59 Prozent von ihnen haben in der Vergangenheit auf Basis des Privacy Shields Daten in die USA transferiert. Heute greift die große Mehrheit auf Standardvertragsklauseln zurück (91 Prozent). Jeweils ein Viertel verwendet Einwilligungen (27 Prozent) oder sogenannte Binding Corporate Rules (26 Prozent).
Mangels Nachfolger für Privacy Shield haben sich Unternehmen aus Deutschland also insbesondere auf die Standardvertragsklauseln der EU als Rechtsgrundlage für eine Datenübermittlung in die USA gestützt, wobei hier grundsätzlich der Bedarf für zusätzliche Schutzmaßnahmen zu prüfen ist.
Standardvertragsklauseln sind von der Europäischen Kommission verabschiedete Vertragsmuster, mit denen europäische Datenschutzstandards vertraglich zwischen Datenexporteuren und -importeuren vereinbart werden.
Nun aber endet die Gültigkeit der bisherigen Standardvertragsklauseln. Wer noch nichts unternommen hat, für den besteht nun dringender Handlungsbedarf.
Neue Standarddatenschutzklauseln: Übermittlung personenbezogener Daten in Drittländer
Bereits seit dem 27. September 2021 sind die neuen Standarddatenschutzklauseln der EU für Neuverträge zu verwenden. Eine Umstellung sämtlicher Altverträge auf die neuen Standarddatenschutzklauseln hat bis zum 27. Dezember 2022 zu erfolgen (PDF), darauf haben Aufsichtsbehörden für den Datenschutz nochmals hingewiesen.
Kurz vor dem Jahreswechsel endet somit eine wichtige Frist für Unternehmen und andere Stellen, die personenbezogene Daten in Länder außerhalb des europäischen Wirtschaftsraums oder an internationale Organisationen übermitteln.
Es sei nochmals betont: Spätestens bis zum 27. Dezember 2022 müssen alle Altverträge umgestellt worden sein. Nach diesem Datum gelten die früheren Standardvertragsklauseln nicht mehr als „geeignete Garantie“ im Sinne der DSGVO für den Export personenbezogener Daten, so die Datenschutzaufsichtsbehörden.
„Unternehmen und andere verantwortliche Stellen müssen mit Blick auf das nahende Fristende prüfen, ob sie noch personenbezogene Daten auf Grundlage der früheren Standardvertragsklauseln übermitteln“, sagte die Landesdatenschutzbeauftragte von Niedersachsen Barbara Thiel. „Ist das so, sollten sie die Verträge unverzüglich auf die neuen Klauseln umstellen.“
Was aber passiert, wenn dies nicht fristgerecht erfolgt? Stellt eine Datenschutzaufsichtsbehörde eine Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen ohne geeignete Garantien fest, kann sie anordnen, dass diese Übermittlungen ausgesetzt werden. Außerdem kommt die Verhängung eines Bußgeldes in Betracht.
Einhalten der Umstellungsfrist reicht aber nicht
Es genügt aber nicht, rechtzeitig die Altverträge von den bisherigen auf die neuen Standardvertragsklauseln der EU umzustellen. Die von dem Europäischen Gerichtshof (EuGH) im Schrems II Urteil genannten zusätzlichen Anforderungen an die Verwendung von Standardvertragsklauseln bleiben bestehen.
Unternehmen müssen also auch dann die Rechtslage und -praxis des Drittlands prüfen, gegebenenfalls zusätzliche Maßnahmen ergreifen oder notfalls sogar die Übermittlung einstellen, wie die Datenschutzaufsicht betont.
Die zusätzlichen Maßnahmen, die Unternehmen erforderlichenfalls einsetzen, müssen von Fall zu Fall unter Berücksichtigung aller Umstände der Übermittlung und nach Prüfung des Rechts des Drittlandes getroffen werden, um festzustellen, ob ein angemessenes Schutzniveau gewährleistet ist, so der Europäische Datenschutzausschuss (EDSA).
Der EuGH betonte, dass es in erster Linie in der Verantwortung des Datenexporteurs und damit des Unternehmens selbst liegt, diese Einschätzung vorzunehmen und die erforderlichen zusätzlichen Maßnahmen zu treffen.
Wer die Maßnahmen in Verbindung mit den bisherigen Standardvertragsklauseln bereits bestimmt hat, sollte diese nochmals aktuell mit Blick auf die Rechtslage im jeweiligen Drittstaat prüfen und dann die bei Bedarf geänderten Maßnahmen zusätzlich zu den neuen Standardvertragsklauseln umsetzen.
Es gibt also unter Umständen noch viel zu tun.