Transfer von personenbezogenen Daten in die USA und andere Drittländer
Seit Wegfall des Privacy-Shields stellt der Abschluss von Standardvertragsklauseln (SCC) die einzige Möglichkeit dar, eine Grundlage für die Datenübertragung in die USA und andere unsichere Drittländer zu schaffen. Diese stammten jedoch noch aus der Zeit vor der DSGVO und wurden daher im Juni 2021 erneuert. Was Sie als Unternehmer jetzt beachten müssen, erfahren Sie hier.
Standardvertragsklauseln (SCC)
Die Standardvertragsklauseln der Europäischen Kommission ermöglichen die Übertragung personenbezogener Daten aus der EU in „unsichere Drittländer“ – Länder außerhalb der EU, für die kein Angemessenheitsbeschluss der Kommission vorliegt. Einen solchen kann die Kommission aussprechen, wenn sie ein dem der EU vergleichbares Datenschutzniveau im Zielland feststellt. Bei der Datenübertragung in andere Länder muss dieses Niveau durch vertragliche Verpflichtungen – die SCC – sichergestellt werden.
Erneuerung der Klauseln
Die SCC wurden nun an die DSGVO angepasst und in Module unterteilt. Auch das berühmte „Schrems-II-Urteil“ des EuGH aus 2020 wurde berücksichtigt. Für Datenexporteure – Unternehmen, welche personenbezogene Daten in Drittländer übertragen – bedeutet das, dass diese nun überprüfen müssen, ob derer Vertragspartner aufgrund der im Zielland herrschenden Gesetze überhaupt dazu in der Lage ist, die vertraglich vereinbarten Pflichten einzuhalten. Der Datenimporteur wird im Gegenzug dazu verpflichtet, Behördenanfragen ganz oder teilweise abzulehnen, wenn Sie den vertraglichen Verpflichtungen widersprechen, diese zu melden und ggf. gerichtlich gegen sie vorzugehen.
TIA – Daten-Transfer-Folgenabschätzung
Die Überprüfung, ob ein Vertragspartner zur Einhaltung der vertraglichen Pflichten der SCC in der Lage ist, muss der Datenexporteur – derjenige, der die Daten in das Drittland überträgt – eine Daten-Transfer-Folgenabschätzung (Transfer Impact Assessment) – durchführen. Die IAPP (International Association of Privacy Professionals) bietet hierfür ein englischsprachiges Muster zum Download an. Außerdem können bei einigen Anbietern, wie z.B. Google, die in diesem Zusammenhang getroffenen Maßnahmen angefragt werden.
Was jetzt zu tun ist
Für Neuverträge sind die neuen SCC bereits verpflichtend, bis zum 27. Dezember 2022 müssen auch alle Altverträge umgestellt werden. Große Anbieter wie Google und Co. stellen ihre Verträge (AGB) bereits jetzt um. Nutzen Sie darüber hinaus weitere Anbieter aus unsicheren Drittländern, mit denen Sie bereits zuvor individuelle Verträge geschlossen haben, stellen Sie sicher, dass Sie auch mit diesen Anbietern die neuen SCC abschließen, bevor die Frist am 27. Dezember 2022 abläuft. Dokumentieren Sie zu jedem Anbieter die neuen SCC und die entsprechende TIA, damit sie diese im Fall einer Kontrolle durch die Behörde vorweisen können.