Die EU-DSGVO ist seit drei Jahren in Kraft. Jetzt hat die EU-Kommission die Standardvertragsklauseln an die Verordnung angepasst und dabei auch das Urteil des EUGH vom Juni 2020 einbezogen. Auf Unternehmen, die personenbezogene Daten in Drittländer übertragen, kommen nun einige Änderungen zu.

Eine globale und vernetzte Welt lebt von sicherem Datentransfer. Innerhalb der Länder der Europäischen Union beziehungsweise des Europäischen Wirtschaftsraums regelt die DSGVO seit 2018 den Umgang mit personenbezogenen Daten. Die meisten Unternehmen pflegen allerdings weltweite Geschäftsbeziehungen und nutzen Cloud-Angebote aus den USA. Um mit Geschäftspartnern aus Drittstaaten, etwa den USA, einen sicheren Datenaustausch zu gewährleisten, dienen vorwiegend die Standardvertragsklauseln. Diese wurden nun von der EU-Kommission an die DSGVO angepasst.

EUGH kippt Privacy Shield

Um Daten aus der EU in andere Länder zu übermitteln, bedarf es einer Rechtsgrundlage in der DSGVO. Das angemessene Sicherheitsniveau in dem entsprechenden Drittstaat muss gewährleistet sein. Der Angemessenheitsbeschluss kann von der EU-Kommission ganz oder zum Teil für ein Land erfolgen. Sofern dieser Beschluss nicht vorliegt, müssen andere Garantien, z.B. Standardvertragsklauseln, vorliegen.

Der EUGH hat in seinem Urteil aus dem Jahre 2020 im Fall Schrems II festgestellt, dass der bisherige Angemessenheitsbeschluss in Bezug auf die USA (Privacy Shield) keine Gültigkeit besitzt. Unternehmen müssen sich seitdem für den Austausch von personenbezogenen Daten mit den USA, oder die Nutzung von USA-basierten Cloud Dienstleistungen, auf andere Rechtsmittel stützen.

Was sind Standardvertragsklauseln?

Standardvertragsklauseln sind Musterverträge, die zwischen zwei Partnern, einem EU-Unternehmen und einem Unternehmen aus einem Drittland, in welchem die DSGVO keine Anwendung findet, geschlossen werden. Sie dienen als Garantie für den sicheren Transfer von Daten zwischen den Partnern, die beide Seiten zur Einhaltung eines DSGVO-konformen Sicherheitsniveaus verpflichten.

Die bisher von der EU-Kommission bereitgestellten Standardvertragsklauseln berücksichtigen dieses Urteil und die unterschiedlichen Rollen der Zusammenarbeit nicht in ausreichender Weise.

Unternehmen müssten also im Einzelfall prüfen, ob das Sicherheitsniveau auf der Gegenseite angemessen ist.

Die nun neuformulierten Klauseln sind modular aufgebaut und damit für Unternehmen flexibel auf ihre jeweiligen Erfordernisse anpassbar. Sie enthalten darüber hinaus detaillierte Haftungsregeln und juristische Vorgaben. Diese neuen Vertragsmuster gehen allerdings mit einer höheren Komplexität einher. Zusätzlich sind neue Regeln zur Dokumentation aufgenommen worden.

Das Urteil des EUGH hat Einfluss auf die neuen Klauseln genommen. So ist beispielsweise künftig der Umgang mit widersprechenden gesetzlichen Regelungen des Drittlandes geregelt. So sind Datenimporteure etwa verpflichtet, vor der Herausgabe von Daten alle Rechtsmittel auszuschöpfen.

Was Unternehmen jetzt beachten müssen

Am 27. Dezember 2022 endet die Übergangsfrist, die der EUGH nach seinem Urteil eingeräumt hat. Bis dahin müssen Unternehmen die neuen Standardvertragsklauseln übernommen haben. Zunächst sollten sie sich daher einen Überblick über ihren Datentransfer in Drittländer verschaffen, auch um ihrer Dokumentationspflicht nachzukommen, und ihre dortigen Partner schnellstmöglich zum Abschluss der neuen Klauseln auffordern. Denn die Umsetzung der neuen Regeln wird einiges an Zeit in Anspruch nehmen.

Sie haben offene Fragen zur Übermittlung von Daten in Drittländer? Gerne stehen wir Ihnen mit unserem Netzwerk auch als Partner im Bereich EU-Datenschutz zur Verfügung. Sie erreichen uns unter info@msecure.de.

Quelle Titelbild: Adobe Stock / immimagery