Eine Übermittlung personenbezogener Daten in ein Land außerhalb Deutschlands, der EU und des EWR („Drittlandtransfer“) darf ab dem 27.12.2022 nicht mehr auf die „alten“ Standardvertragsklauseln (2010/87/EU) gestützt werden. Stattdessen müssen die im Juni 2021 von der EU-Kommission erlassenen Standardvertragsklauseln (EU 2021/914) verwendet werden.
Voraussetzungen des Drittlandtransfers
Werden personenbezogene Daten an Auftragsverarbeiter bzw. dessen Unterauftragsverarbeiter oder Verantwortliche in ein Drittland übermittelt, für das kein Angemessenheitsbeschluss der EU-Kommission besteht, muss mittels des Abschlusses von Standardvertragsklauseln und gegebenenfalls weiterer technischer und organisatorischer Maßnahmen ein angemessenes Datenschutzniveau hergestellt werden.
Alte Standardvertragsklauseln laufen zum 27.12.2022 aus
Am 4. Juni 2021 hat die EU-Kommission eine neue Version von Standardvertragsklauseln (EU 2021/914) veröffentlicht (abrufbar unter https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32021D0914). Diese sind seit dem 27. September 2021 für den Abschluss neuer Verträge mit Vertragspartnern in Drittländern verpflichtend. Die „alten“ Standardvertragsklauseln behalten noch bis zum 27. Dezember 2022 ihre Gültigkeit. Danach sind Übermittlungen personenbezogener Daten in Drittländer nur noch mit den „neuen“ EU-Standardvertragsklauseln möglich. Werden über diesen Stichtag hinaus weiterhin die „alten“ Standardvertragsklauseln genutzt, bestehen erhebliche datenschutzrechtliche Risiken, insbesondere in Form von aufsichtsbehördlichen Bußgeldern.
Durchführung eines „Transfer Impact Assessment“ bzw. einer „Datentransfer-Folgenabschätzung“
Um ein angemessenes Datenschutzniveau im Sinne der DSGVO gewährleisten zu können, ist gemäß Klausel 14 und 15 der aktuellen EU-Standardvertragsklauseln zudem das Rechts-niveau des Datenschutzes des betreffenden Drittlands zu beurteilen („Transfer Impact Assessment“ bzw. „Datentransfer-Folgenabschätzung“).
Wir raten daher zu folgenden Vorgehen
Überprüfen Sie, ob Sie Dienstleister außerhalb der EU bzw. des EWR nutzen bzw., ob Datenübermittlungen in Drittländer erfolgen. Sollten Sie eine solche kritische Datenübermittlung feststellen, sprechen Sie uns gern an. Wir unterstützen Sie beim Abschluss der neuen EU-Standardvertragsklausen und der Durchführung der geforderten Datentransfer-Folgenabschätzung.