Dataprotec.me

22/09/2022, posted in Übermittlung in DrittländerNeue Standardvertragsklauseln

Als Reaktion auf die „Schrems II“-Entscheidung des Europäischen Gerichtshofs (EuGH) veröffentlichte die EU-Kommission bereits am 07.06.2021 neue Standardvertragsklauseln (SCC). Während diese für Neuverträge bereits seit vergangenem Jahr verbindlich sind, läuft die Umsetzungsfrist für bestehende Verträge zum 27. Dezember 2022 ab. Unternehmen sollten spätestens jetzt sicherstellen, dass sie mit ihren Dienstleistern neue Verträge abgeschlossen haben. Ansonsten drohen empfindliche Bußgelder und Schadensersatzansprüche von Betroffenen.

Was sind die Standarddatenschutzklauseln?
Die Datenschutz-Grundverordnung (DSGVO) will sicherstellen, dass das von ihr garantierte Schutzniveau für personenbezogene Daten nicht dadurch unterlaufen wird, dass Daten in Drittländer übermittelt werden. Daraus resultierende Rechtsprobleme bei der internationalen Datenübermittlung beschäftigen Unternehmen seit Jahren. Dies gilt insbesondere seitdem der EuGH das EU-US Privacy Shield für ungültig erklärt und den darauf basierenden Angemessenheitsbeschluss der EU-Kommission aufgehoben hat.

Eine Möglichkeit, Daten ohne Angemessenheitsbeschluss datenschutzkonform in Drittstaaten zu übermitteln, stellt die Verwendung von SCC dar. In der „Schrems II“-Entscheidung hatte der EuGH zugleich auch erhöhte Anforderungen an Datenübermittlungen auf Basis der SCC formuliert. In den neuen SCC sind daher entsprechende Garantien und wirksame Rechtsbehelfe vorgesehen, die sicherstellen sollen, dass der Datenimporteur einen ausreichenden Schutz für Daten im Drittland garantiert. Die neuen SSC bringen für Unternehmen auch weitere Pflichten mit sich. Dazu gehört die Durchführung eines Transfer-Impact-Assessments (TIA) und die Versicherung, dass kein Grund zur Annahme besteht, dass „die für die Verarbeitung personenbezogener Daten durch den Datenimporteur geltenden Rechtsvorschriften und Gepflogenheiten den Datenimporteur an der Erfüllung seiner Pflichten gemäß der Standardvertragsklauseln hindern“.

Was tun?
Unternehmen sollten prüfen, ob sie Daten in Drittländer exportieren, für die kein Angemessenheitsbeschluss existiert. Sollten in den entsprechenden Verträgen mit Dienstleistern noch die alten Standardvertragsklauseln enthalten sein, sollten Unternehmen umgehend Kontakt aufnehmen. Wenn noch nicht geschehen, sollte zudem ein TIA durchgeführt werden.
Große Anbieter dürften die neuen SSC jedoch bereits nutzen. Schließlich sind die neuen SSC bereits seit vergangenem Jahr für Neuverträge verpflichtend, sodass seriöse Anbieter sich ohnehin bereits mit dem Thema auseinandersetzen mussten. Erweist sich der Dienstleister als nicht kooperativ, sollte geprüft werden, ob ein Wechsel zu einem anderen Anbieter mit vertretbarem Aufwand möglich ist. Die Zeit bis Ende Dezember ist begrenzt und langwierige Diskussionen mit uneinsichtigen Unternehmen sind nur sinnvoll, wenn deren Dienst nicht ohne Weiteres ersetzt werden kann. Besondere Praxisrelevanz hat dies für die Zusammenarbeit mit US-Dienstleistern. Zwar bereitet die EU-Kommission einen neuen Angemessenheitsbeschluss vor, der den Abschluss der Klauseln überflüssig machen könnte – dass dies bis Ende des Jahres gelingt, ist jedoch keineswegs sicher.

[September 2022]
Quelle: https://www.reuschlaw.de/news/neue-standardvertragsklauseln-der-countdown-laeuft/

written by Ulrich">Ulrich

Unsere letzten Artikel

Neue Standardvertragsklauseln

Als Reaktion auf die „Schrems II“-Entscheidung des Europäischen Gerichtshofs (EuGH) veröffentlichte die EU-Kommission bereits am 07.06.2021 neue Standardvertragsklauseln (SCC). Während diese für Neuverträge bereits seit vergangenem Jahr verbindlich sind, läuft die Umsetzungsfrist für bestehende Verträge zum 27. Dezember 2022 ab. Unternehmen sollten spätestens jetzt sicherstellen, dass sie mit ihren Dienstleistern neue Verträge abgeschlossen haben. Ansonsten…

weiterlesen
Facebook Fanpages

Der Fall „Facebook Fanpages“ geht in die nächste Runde. 1. Runde: Mit Urteil vom 5. Juni 2018 hat der Gerichtshof der Europäischen Union (EuGH), Aktenzeichen C-201/16, entschieden, dass eine gemeinsame Verantwortlichkeit von Facebook-Fanpage-Betreiberinnen und Betreibern und Facebook besteht. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat in ihrer Entschließung vom 6….

weiterlesen
Zulässige Erhebung privater Kontaktdaten von Beschäftigten

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI), Prof. Dr. Dieter Kugelmann, hat Anfang Mai 2022 den 29. Tätigkeitsbericht zum Datenschutz veröffentlicht. Unter Ziffer 6 des Tätigkeitsberichts bespricht der LfDI RLP einige Fragen aus dem Bereich des Beschäftigtendatenschutzes, die sich der Behörde vor dem Hintergrund der Bekämpfung der Corona-Pandemie gestellt haben. Konkret geht es…

weiterlesen
Cookie-Einstellungen