Daten. Leben.

Aktuellste Entwicklungen beim Drittlandtransfer

Seit dem Aus des Privacy Shield schweben europäische Unternehmen, die Dienste von Microsoft, Google oder Facebook nutzen, rechtlich in der Luft. Nun hat die Europäische Kommission am 04. Juni 2021 zwei neue Sätze der Standardvertragsklauseln (SCC) verabschiedet, um die Rechtssicherheit beim Datentransfer nach Amerika zu erhöhen.

Konkret geht es um die Datenübermittlungen zwischen Verantwortlichen und Auftragsverarbeitern und um die Übermittlung personenbezogener Daten in Drittländer.
Eine wesentliche Änderung ist der neue modulare Aufbau: Damit werden mehr Konstellationen von Datenübermittlungen abgedeckt als zuvor. Für die jeweiligen Einzelfälle können je nach Verhältnis der Parteien flexibel Module ausgewählt werden. Die für alle Fälle geltenden Klauseln werden allerdings immer beibehalten.
Auch inhaltlich erfassen die neuen SCC mehr als vorher – so braucht man künftig keinen zusätzlichen Auftragsverarbeitungsvertrag mehr.
Bestehende Verträge müssen bis zum 27. Dezember 2022 durch die neuen Standardvertragsklauseln ersetzt werden. Neue Verträge hingegen müssen bereits ab dem 29. September 2021 die neuen Regelungen berücksichtigen.  

Die neuen Standardvertragsklauseln sind zwar mehr an die DSGVO angepasst und berücksichtigen das Schrems-II-Urteil, reichen allerdings laut DSK und EDSA nicht aus, um den Anforderungen des Schrems-II-Urteils vollauf nachzukommen. Sie können als Rechtsgrundlage für Drittlandtransfer benutzt werden, dennoch braucht es zusätzliche Maßnahmen. Der Datenexporteur muss auf jeden Fall ergänzend die Rechtslage und -praxis im Drittland überprüfen, inwiefern diese das Datenschutzniveau, welches in den Standvertragsklauseln verabschiedet wurde, beeinträchtigen könnten. Je nachdem müssen weitere zusätzliche Maßnahmen ergriffen oder von Datentransfers abgelassen werden.

So liegt es nun an deutschen Unternehmen, bestehende Datenverarbeitungsprozesse erneut zu überprüfen und an die Neuerungen anzupassen. Und das am besten so zeitnah wie möglich, denn Anfang Juni 2021 starteten mehrere deutsche Aufsichtsbehörden eine landesübergreifende Kontrolle der Drittlandtransfers verschiedener Unternehmen. Mindestens beteiligt sind Bayern, Berlin, Hamburg und Baden-Württemberg. Wenn die Anforderungen des Schrems-II-Urteils nicht eingehalten werden, könnten Untersagungsverfügungen oder Sanktionen wie Bußgelder folgen.

Was auf den ersten Blick als große Aufgabe wirkt, ist mit den folgenden hilfreichen und kostenfreien Checklisten und Mustern schneller und einfacher getan als gedacht:

  

Eine Zukunft, in der Unternehmen ausschließlich mit europäischen Alternativen arbeiten können, ist noch nicht in greifbarer Nähe. Immerhin stellt Microsoft einen Hoffnungsschimmer dar: Künftig sollen die Unternehmensdaten ihrer Kunden ausschließlich in Europa gespeichert und verarbeitet werden. Dies betrifft Unternehmen und die öffentliche Verwaltung, die die Anwendungen Cloud Azure, Microsoft 365 und Dynamics 365 benutzen. Inwiefern dadurch aber das Cloud Act Problem gelöst wird, das US-Geheimdiensten Datenzugriff auch außerhalb der USA ermöglicht, ist umstritten. Es bleibt also spannend und wir werden Sie über weitere Entwicklung gerne informieren!