top of page

Datenübermittlung ins Ausland

Neue Standardvertragsklauseln (SCC) - Umstellungsfrist für Altverträge läuft im Dezember 2022 ab!


Hand, die EU-Standardvertragsklauseln mit einem Stift unterschreibt

​​

Der Wechsel zu den neuen Standardvertragsklauseln (SCC)


Eine sichere Datenübermittlung in Länder außerhalb der EU ist nur unter strengen Voraussetzungen zulässig. Für einige Länder wurde in den vergangenen Jahren mittels eines sogenannten Angemessenheitsbeschlusses der Europäischen Kommission festgestellt, dass das dortige Datenschutzniveau mit dem europäischen Niveau vergleichbar ist. Angemessenheitsbeschlüsse existieren zurzeit unter anderem für Japan, Kanada, das Vereinigte Königreich, die Schweiz und Neuseeland. Eine vollständige Liste finden Sie beim Hessischen Beauftragten für Datenschutz und Informationsfreiheit.


Die Datenübermittlung in sogenannte Drittländer wie beispielsweise die USA, Indien oder China ohne ein vergleichbares Datenschutzniveau muss aber insbesondere nach dem Wegfall des Privacy Shields und der Schrems II Entscheidung des Europäischen Gerichtshofs im Jahr 2020 noch höhere Anforderungen erfüllen, um als DSGVO-konform eingestuft zu werden. Die meisten Unternehmen nutzen bereits seit mehreren Jahren sogenannte Standardvertragsklauseln (SCC), um diesen Anforderungen gerecht zu werden und ein angemessenes Datenschutzniveau beim Datentransfer sicherzustellen.


SCC stellen sicher, dass die Datenschutzrechte der betroffenen Personen auch dann gewahrt bleiben, wenn ihre Daten in Länder übermittelt werden, in denen das EU-Recht nicht gilt. Alle Vertragsparteien werden so zur Einhaltung des europäischen Datenschutzstandards vertraglich verpflichtet.


2021 hat die EU-Kommission in Anlehnung an die Schrems II Entscheidung neue SCC mit einem modularen Aufbau verabschiedet, die die alten Klauseln ersetzen sollen. Wir haben bereits in einem älteren Beitrag ausführlich über die anstehende Veränderung und den Inhalt der neuen modular aufgebauten Klausel-Sets berichtet.


Wer ist betroffen?


Alle Unternehmen, die eigenständig oder durch den Einsatz externer Dienstleister, Kunden-, User- oder Beschäftigtendaten in Drittländer ohne Angemessenheitsbeschluss übermitteln, sind von dieser wichtigen Änderung betroffen.


Wann läuft die Frist ab?


Bereits seit September 2021 müssen für Neuverträge zwingend die neuen SCC verwendet werden. Für sogenannte Altverträge, also solche, die bereits vor September 2021 abgeschlossen wurden, hat die Europäische Kommission einen Übergangszeitraum vorgesehen. Sämtlichen Verantwortlichen wurde für den Wechsel auf die neuen SCC eine Übergangsfrist bis zum 27.12.2022 gesetzt. Altverträge verlieren nach Ablauf dieser Frist ausnahmslos ihre Wirkung und werden ungültig, sodass hier dringender Handlungsbedarf besteht.


Folgen für die Unternehmen bei Nichtumsetzung


Datenschutzexperten rechnen aufgrund des Ablaufs der Übergangsfrist ab 2023 mit vermehrten aufsichtsbehördlichen Prüfungen. Der Fokus der Untersuchungen wird wohl den konzerninternen Austausch von Daten sowie den Einsatz von Dienstleistern zum E-Mail-Versand, zum Hosting von Internetseiten und zum Webtracking betreffen.


Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen weist in einer Pressemitteilung darauf hin, dass Aufsichtsbehörden eine Aussetzung der unrechtmäßigen Datenübermittlung anordnen können, wenn das betroffene Unternehmen die neuen SCC nicht implementiert hat. Zudem drohen Bußgelder von bis zu 20 Mio. Euro bzw. bis zu 4% des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres.


Was Sie tun können


● Im ersten Schritt sollten Sie prüfen, ob Ihr Unternehmen tatsächlich mit allen externen Dienstleistern Auftragsverarbeitungsverträge abgeschlossen hat.

● Im zweiten Schritt muss festgestellt werden, ob die von Ihrem Unternehmen beauftragten Dienstleister Kunden-, User- oder Beschäftigtendaten in ein Drittland weiterleiten und ggf. bzgl. der SCC Umstellungsbedarf besteht. Relevant wird die Frage der internationalen Datenübertragung vor allem bei Ihrer Internetpräsenz. Gerne unterstützen wir Sie bei der Prüfung der Datenflüsse im Rahmen unseres Website-Checks.

● Sollten Ihre SCC nicht auf dem neuesten Stand sein, erneuern Sie am besten umgehend Ihre Verträge! Eine Umformulierung von Altverträgen dürfte aufgrund des unverhältnismäßigen Aufwandes nicht ratsam sein. Vielmehr sollten Sie, sofern dies in Ihrem Unternehmen noch nicht in Angriff genommen wurde, alle Altverträge für Datenübermittlungen in Drittländer durch neue Vertragsdokumente ersetzen. Hierbei muss das passende aus den vier zur Auswahl stehenden Modulen der SCC zur Anwendung kommen.


Beachten Sie zudem, dass zur Absicherung von internationalen Datentransfers zusätzlich weitere Maßnahmen ergriffen werden müssen, um ein angemessenes Schutzniveau zu gewährleisten. Hierzu gehört ggf. auch das sogenannte Transfer Impact Assessment (TIA).

Wie wir Ihnen helfen können?


Gerne unterstützen wir Sie bei dem Thema Standardvertragsklauseln und der Umsetzung. Sie haben weitere Fragen zu Datentransfer in Drittländer, Datenübermittlungen in die USA, SCC oder sehen Handlungsbedarf in einem anderen der genannten Felder? Dann kontaktieren Sie uns mit Ihrem Anliegen unkompliziert per Mail oder wenden sich telefonisch an uns.

Ihr entplexit Datenschutz Team 

E-Mail: datenschutz@entplexit.com

Telefon 06196 973 44 00

コメント


bottom of page