Am 04.06.2021 hat die EU-Kommission finalen Arbeitsdokumente für die neu aufgelegten Standardvertragsklauseln für den internationalen Datentransfer (“Standard Contractual Clauses” – kurz ‚SCC’) herausgegeben. Die offizielle Veröffentlichung wird in Kürze erfolgen. Die SCC’s sind sogenannte „Musterverträge“, die zur Darlegung einer geeignete Garantie nach Art. 46 DSGVO für den Transfer von personenbezogenen Daten in sichere/unsichere Drittland verwendet werden können.
Hier die Änderungen:
Es gibt keine zwei unterschiedlichen SCC-Muster mehr, sondern nur noch ein Dokument, in dem es vier „Module“ gibt, die wie folgt unterteilt sind:
Modul 1:
Übermittlung von personenbezogenen Daten zwischen zwei Verantwortlichen
Modul 2:
Übermittlung von personenbezogenen Daten vom Verantwortlichen an den Auftragsverarbeiter
Modul 3:
Übermittlung von personenbezogenen Daten zwischen zwei Auftragsverarbeitern
Modul 4:
Übermittlung von personenbezogenen Daten vom Auftragsverarbeiter an den Verantwortlichen
Inhaltlich wurde vor allem die gesetzliche Vorgabe der Risikofolgeabschätzung integriert, die sogenannte Pflicht zur Datentransfer-Folgenabschätzung. Dabei handelt es sich um die Pflicht, sich davon zu überzeugen, dass der entsprechende Vertragspartner aus dem Drittland auch in der Lage ist, seinen Pflichten aus den aktuellen SCC nachzukommen.
Weiterhin kam die Pflicht zur Abwehr von Regierungsanfragen hinzu, die den Anforderungen der Standardschutzklauseln widersprechen. Hier kam eine Informationspflicht an die zuständigen Aufsichtsbehörden über eine solche Regierungsanfrage hinzu.
Abschließend ist noch anzumerken, dass trotz der Neuauflage der SCCs, eine Einzelfallprüfung des Datenschutzniveaus notwendig ist. Hier können Sie sich zum Beispiel mit dem Versand eines Fragenkatalogs an den Verarbeiter im Drittstaat absichern und eine Kontrolle der verwendeten TOM des Verarbeiters.
In Kraft treten und Übergangsfristen
Die neuen SCCs treten 20 Tage nach deren Veröffentlichung im Amtsblatt (07.06.2021) in Kraft.
Nach drei weiteren Monaten wird die Gültigkeit der bisherigen SCCs aufgehoben. Abgeschlossene SCCs, die vor diesem Aufhebungsdatum auf Basis der aktuellen (alten) SCCs geschlossen wurden, bekommen eine Übergangsfrist von 15 Monaten, in denen die Unternehmen Zeit haben, den Datentransfer in ein Drittland nach den neuen SCCs zu machen.
Was gibt es noch zu tun, bis zum Ende der Übergangsfrist?
Um bei den länderübergreifenden Kontrollen nicht mit einer Sanktion belegt zu werden, ist es wichtig, folgende Maßnahmen umzusetzen, soweit es nicht schon gemacht wurde:
- Werden bereits neue SCCs verwendet, muss geprüft werden, ob die neuen SCCs schon in das Verarbeitungsverzeichnis aufgenommen wurden.
- Für alte SCCs oder noch nicht vorhandene Verträge müssen folgende Schritte durchgeführt werden:
- Kontrolle, ob Datentransfers personenbezogener Daten in Verarbeitungsprozessen stattfindet und welche von den Datentransfers in Drittländer ohne gültigen Angemessenheitsbeschluss gehen.
- Anhand der bestehenden Verträge muss geprüft werden, welche Konstellationen von Datenübermittlungen personenbezogener Daten vorliegen und welche der vier Module der neuen EU-Standard-Datenschutzklauseln (SCCs) Anwendung finden.
- Die entsprechenden Vertragspartner müssen kontaktiert und die neuen SCCs müssen unterschrieben werden.
- Die neuen unterschriebenen SCCs müssen im Verarbeitungsverzeichnis dokumentiert werden.
- Die Risikobewertung „Transfer Impact Assessment“ (TIA) muss zusätzlich zu den SCCs durchgeführt werden, um sicher zu stellen, dass der Empfänger durch geltendes Recht im Drittland nicht gezwungen sein kann, gegen die Regelungen aus den SCCs zu verstoßen.
- Das Ergebnis des TIA muss wie andere Risikoanalysen dokumentiert werden.
