Skip to content

SCC-Fristende am 27.12.2022 - Schon umgestellt?

Standard Contractual Clauses

Alte Standardvertragsklauseln müssen umgestellt werden

Einleitung 

Achtung bei der Datenübermittlung in Drittländer: Verträge, die vor dem 27.09.2021 geschlossen worden sind und die Übermittlung personenbezogener Daten in Länder außerhalb der europäischen Union oder des europäischen Wirtschaftsraums oder an internationale Organisationen zum Gegenstand haben, müssen bis zum 27.12.2022 auf die neuen Standardvertragsklauseln umgestellt werden. So sieht es Art. 4 Abs. 4 des Durchführungsbeschlusses 2021/914 der Europäischen Kommission vom 04.06.2021 vor.

Warum erfolgt die Umstellung?

Nach den Art. 44 ff. Datenschutz-Grundverordnung (DS-GVO) unterliegt die Übermittlung personenbezogener Daten, die an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, besonderen Zuverlässigkeitsforderungen. Auf diese Weise soll die Einhaltung des europäischen Datenschutzstandards gewährleistet werden.

Eine Möglichkeit ist die Verwendung von Standardvertragsklauseln (vgl. Art. 46 Abs. 2 Buchstabe c) DS-GVO) der Europäischen Kommission. Im vergangenen Jahr hat die Kommission ihre Klauseln allerdings erneuert und an das aktuelle Datenschutzniveau angepasst. Die Verwendung der alten Klauseln genügt seitdem nicht mehr, was auch zur Folge hat, dass bei Verträgen, die bereits vor dem 27.09.2021 unter Verwendung der alten Klauseln geschlossen wurden, auf die neuen Standardvertragsklauseln umgestellt werden muss.

Weitere Informationen zu den Hintergründen, dem Inhalt der neuen Standardvertragsklauseln, aber auch ihren Chancen und Risiken finden Sie in unserem Blog-Eintrag von Juni 2021.

Hat sich durch den Erlass der „Executive Order“ zur Umsetzung des „Trans-Atlantic Data Privacy Framework (TADPF)“ etwas für den Datentransfer in die USA geändert?

Am 07.10.2022 hat Präsident Joe Biden eine Durchführungsverordnung (“Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities”) unterschrieben, mit der die angekündigte Grundsatzvereinbarung zum Datentransfer zwischen den USA und der EU (EU-U.S. Data Privacy Framework) in US-amerikanisches Recht umgesetzt werden soll (https://www.whitehouse.gov/briefing-room/statements-releases/2022/10/07/fact-sheet-president-biden-signs-executive-order-to-implement-the-european-union-u-s-data-privacy-framework/).

Diese Durchführungsverordnung hat allerdings keine unmittelbaren Auswirkungen für europäische Unternehmen, die personenbezogene Daten in die USA übermitteln. Sie muss erst noch von der Europäischen Kommission überprüft und datenschutzrechtlich bewertet werden. Solange kein Angemessenheitsbeschluss im Sinne des Art. 45 Abs. 3 DS-GVO vorliegt, bleibt für Unternehmen weiterhin nur die Möglichkeit sich der Standardvertragsklauseln zu bedienen.

Welche Herausforderungen bringt die Umstellung mit sich?

Die neuen Klauseln der Europäischen Kommission sind modular aufgebaut: Zu wählen ist zwischen Bausteinen für vier verschiedene Konstellationen. Ebenso enthalten die neuen Standardvertragsklauseln verschiedene Anhänge, mit denen die konkret vorliegende Situation transparent erfasst werden kann. Diese müssen folglich entsprechend individualisiert werden.

Die Verwendung der Klauseln entbindet außerdem nicht davon, im konkreten Fall eine individuelle Risikoabschätzung vorzunehmen. Sie müssen überprüfen, ob die Rechtslage und die Bearbeitung von etwaigen Auskunftsersuchen einer Behörde im Drittland einen angemessenen Schutz personenbezogener Daten gewährleisten können.

Erforderlich ist daher auch, Ihre Bestandsverträge darauf zu prüfen, ob ggf. dort getroffene Vereinbarungen noch dem aktuellen Datenschutzniveau entsprechen und diese andernfalls ebenfalls erneuern.
Unter Umständen finden in Ihrem Unternehmen auch Datenexporte statt, von denen Sie bislang nichts wussten und die auf eine rechtlich solide Basis gebracht werden müssen.

  • Benötigen Sie Hilfe bei der Umsetzung oder bei der Datentransfer-Folgenabschätzungen?
  • Sind Sie unsicher, ob in Ihren Verträgen Anpassungen vorgenommen werden müssen?
  • Oder haben Sie weiterführende Fragen zum Datentransfer mit Drittländern oder internationalen Organisationen?

Gerne stehen wir Ihnen als spezialisierte Datenschutz- und IT-Kanzlei in diesen Fragen zur Verfügung. Wir begleiten und unterstützen Sie in der Lösungsfindung für einen rechtssicheren Umgang mit personenbezogenen Daten.

Was droht bei Fristversäumnis?

Stellt eine Aufsichtsbehörde eine Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen ohne geeignete Rechtsgrundlage fest, kann sie nach Art. 58 Abs. 2 Buchstabe i) i. V. m. Art. 83 Abs. 5 Buchstabe c) DS-GVO ein Bußgeld verhängen.

Die Höhe des Bußgeldes erreicht dabei bis zu 20.000.000 € oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist. Die Aufsichtsbehörde kann sogar anordnen, dass die Datenübermittlungen ausgesetzt werden (vgl. Art. 58 Abs. 2 Buchstabe j) DS-GVO).

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!