Voraussetzungen des Drittlandtransfers

Werden personenbezogene Daten an Auftragsverarbeiter bzw. dessen Unterauftragsverarbeiter oder Verantwortliche in ein Drittland übermittelt, für das kein Angemessenheitsbeschluss der EU-Kommission besteht, muss mittels des Abschlusses von Standardvertragsklauseln und gegebenenfalls weiterer technischer und organisatorischer Maßnahmen ein angemessenes Datenschutzniveau hergestellt werden.

Alte Standardvertragsklauseln laufen zum 27.12.2022 aus

Am 4. Juni 2021 hat die EU-Kommission eine neue Version von Standardvertragsklauseln (EU 2021/914) veröffentlicht (abrufbar unter https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32021D0914). Diese sind seit dem 27. September 2021 für den Abschluss neuer Verträge mit Vertragspartnern in Drittländern verpflichtend. Die „alten“ Standardvertragsklauseln behalten noch bis zum 27. Dezember 2022 ihre Gültigkeit. Danach sind Übermittlungen personenbezogener Daten in Drittländer nur noch mit den „neuen“ EU-Standardvertragsklauseln möglich. Werden über diesen Stichtag hinaus weiterhin die „alten“ Standardvertragsklauseln genutzt, bestehen erhebliche datenschutzrechtliche Risiken, insbesondere in Form von aufsichtsbehördlichen Bußgeldern.

Durchführung eines „Transfer Impact Assessment“ bzw. einer „Datentransfer-Folgenabschätzung“

Um ein angemessenes Datenschutzniveau im Sinne der DSGVO gewährleisten zu können, ist gemäß Klausel 14 und 15 der aktuellen EU-Standardvertragsklauseln zudem das Rechts-niveau des Datenschutzes des betreffenden Drittlands zu beurteilen („Transfer Impact Assessment“ bzw. „Datentransfer-Folgenabschätzung“).

Wir raten daher zu folgenden Vorgehen

Überprüfen Sie, ob Sie Dienstleister außerhalb der EU bzw. des EWR nutzen bzw., ob Datenübermittlungen in Drittländer erfolgen. Sollten Sie eine solche kritische Datenübermittlung feststellen, sprechen Sie uns gern an. Wir unterstützen Sie beim Abschluss der neuen EU-Standardvertragsklausen und der Durchführung der geforderten Datentransfer-Folgenabschätzung.