Achtung Datenexporteure: Frist für neue Standardvertragsklauseln läuft ab!
Wer seine Datenexporte durch die Verwendung von Standardvertragsklauseln legitimiert muss aufpassen: die von der Europäischen Kommission gestattete Übergangsfrist für die Umstellung auf Nutzung der neuen Standardvertragsklauseln läuft ab. Alle Vereinbarungen über Datenexporte, die aktuell noch die alten Standvertragsklauseln verwenden müssen bis zum 27. Dezember 2022 angepasst werden! Wer diese Frist versäumt, dem drohen empfindliche Sanktionen – Bußgelder und Schadensersatzforderungen drohen.
Worum geht es?
Wer Daten aus der Europäischen Union heraus in ein Drittland exportieren möchte – oder muss – hat besondere Regeln zu beachten: Artikel 44 ff. DSGVO statuieren hohe Anforderungen an einen solchen Datenexport, die zusätzlich zu allen weiteren, die Datenverarbeitung betreffenden Regelungen erfüllt werden müssen. Insbesondere muss eine der Rechtsgrundlagen aus dem Katalog der Art. 45 bis 49 DSGVO erfüllt sein – ist dies nicht der Fall, ist der Datenexport nicht rechtmäßig, empfindliche Sanktionen drohen.
Die Standardvertragsklauseln der Europäischen Kommission
Der wahrscheinlich gängigste Weg, Datenexporte zu legitimieren ist die Nutzung der sogenannten „Standarddatenschutzklauseln“ (auch „Standard Contractual Clauses“ = “SCC“ genannt) gemäß Art. 46 Abs. 2 c DSGVO. Diese werden von der Europäischen Kommission erlassen und stellen ein hinreichendes Datenschutzniveau für die exportierten Daten her. Die SCC müssen zwischen den Parteien eines Datenexports – also dem Datenexporteur in der EU und dem Datenimporteur im Drittland verbindlich vereinbart werden.
Die SCC haben im Zuge der „SCHREMS II“ Entscheidung des Europäischen Gerichtshofs vom 16.Juli 2020 stark an Bedeutung gewonnen: sie sind nach aktueller Rechtslage (wir berichteten) wenn nicht der einzige, so doch zumindest der pragmatischste und einfachste Weg, Datenexporte aus der Europäischen Union in die USA zu legitimieren. Entsprechend oft wurden und werden SCC in diesem Zusammenhang verwendet.
Die Europäische Kommission hat am 4. Juni 2021 eine neue Fassung der SCC verabschiedet. Seither dürfen die alten SCC nicht mehr genutzt werden – nur die Verwendung der neuen SCC erfüllt die Anforderungen des Art. 46 Abs. 2 c DSGVO.
Sind noch die alten Standardvertragsklauseln vereinbart?
Zum Zeitpunkt der Veröffentlichung der neuen Standardvertragsklauseln waren bei vielen Datenexporteuren viele Verträge in Kraft, welche die alten Standardvertragsklauseln genutzt haben. Diese Verträge sind mit Erlass der neuen SCC nicht unwirksam geworden – vielmehr hat die Europäische Kommission für diese Verträge eine Karenzzeit bis zum 27. Dezember 2022 eingeräumt.
Zwar sind also nicht schon mit Erlass der neuen SCC am 4. Juni 2021 die alten SCC unwirksam geworden. Ihr Verfallsdatum rückt aber nun in greifbare Nähe: Für alle unter Verwendung der alten SCC abgeschlossenen Verträge entfällt am 27. Dezember 2022 die Rechtsgrundlage und damit die Legitimation für den Datenexport. Werden nicht zuvor die neuen SCC zwischen den Parteien wirksam vereinbart wird der Datenexport damit mit Fristablauf illegal – mit der Konsequenz, dass Bußgelder und Schadensersatzforderungen drohen.
Wer muss handeln? Und was ist zu tun?
Jedes Unternehmen sollte seine Datenflüsse prüfen und dabei untersuchen, ob Datenexporte in Drittländer und insbesondere in die USA stattfinden. Das ist häufiger der Fall als ein nicht im Datenschutz versierter Beobachter denken mag: sehr viele Unternehmen nutzen die Dienste von US-amerikanischen Technologieanbietern und entsprechen häufig finden dabei auch Datenexporte statt! Ebenso werden europäische Unternehmen und ihre US-amerikanischen Konzernmütter oder -töchter regelmäßig Daten austauschen, etwa zur Personalverwaltung.
Finden solche Datenexporte statt, ist zu prüfen, auf Basis welcher Legitimationsgrundlage diese erfolgen. Werden SCC genutzt (oder gar auf das seit 2020 unwirksame „Privacy Shield“-Abkommen verwiesen?)? Wenn SCC genutzt werden: sind diese in der aktuell gültigen Fassung vereinbart? Wenn nicht müssen umgehend, spätestens jedoch bis zum 27. Dezember 2022 die neuen SCC vereinbart werden.
Vorsicht: „Transfer Impact Assessment“ erforderlich!
Wer nun denkt, dass bis dahin noch viel Zeit bleibt oder dass die Anwendung der neuen SCC nur eine „copy/paste“ Aufgabe ist … der irrt: die korrekte Anwendung der neuen SCC erfordert einen nicht unerheblichen Prüfungs- und Verwaltungsaufwand! Insbesondere erfordern sie gemäß Klausel 14 d SCC (neu) ein „Transfer Impact Assessment“ („TIA“), also eine Risikoanalyse und Risikobewertung des Datenexports. Das TIA muss schriftlich dokumentiert werden und ist den zuständigen Aufsichtsbehörden auf Anfrage jederzeit vorzulegen – wer sich also bei Abschluss der SCC das TIA spart, wird im Ernstfall kaum Zeit haben, das TIA nachzurüsten.
Jedes Unternehmen ist im Rahmen einer sachgerechten Compliance gut beraten, dieses Thema umgehend zu prüfen und bei Bedarf rasch zu handeln. Wir unterstützen Sie dabei gerne.