Frist für Umstellung auf neue Standarddatenschutzklauseln endet bald

Der europäische Gesetzgeber hat vor dem Hintergrund der Ausweitung des internationalen Handels die Übermittlung personenbezogener Daten an Datenempfänger in Drittländern unter besondere datenschutzrechtliche Anforderungen gestellt, um Rechte und Freiheiten von Betroffenen zu schützen. Ziel ist es, das durch die Datenschutz-Grundverordnung (DS-GVO) unionsweit gewährleistete Schutzniveau für natürliche Personen nicht zu untergraben, wenn personenbezogene Daten in ein Drittland transferiert werden. Die Art. 44 ff. aus Kapitel V der DS-GVO geben die Bedingungen vor, nach denen Verantwortliche oder Auftragsverarbeiter, die der DS-GVO unterliegen, personenbezogene Daten in Drittländer übermitteln dürfen.

Adressaten der DS-GVO, die personenbezogene Daten in ein Drittland übermitteln möchten, haben die sog. 2-Stufen-Prüfung zu durchlaufen. Dies ergibt sich aus Art. 44 S. 1 DS-GVO, der von Verantwortlichen oder Auftragsverarbeitern die Einhaltung der Vorgaben von Kapitel V sowie die Einhaltung der „sonstigen Bestimmungen dieser Verordnung“ verlangt.

Der Datenexporteur hat im Zuge der ersten Prüfstufe sicherzustellen, dass die geplante Übermittlung den allgemeinen Anforderungen der DS-GVO bzw. denen des Bundesdatenschutzgesetzes (BDSG) oder einer bereichsspezifischen Norm entspricht.

Im Rahmen der zweiten Prüfstufe sind die spezifischen Anforderungen aus Kapitel V an die Datenübermittlung an den Verantwortlichen oder Auftragsverarbeiter im Drittland zu prüfen. Dies erfolgt anhand der Maßgabe, dass ein angemessenes Schutzniveau für personenbezogene Daten gewährleistet sein muss oder ein solches ausnahmsweise entbehrlich ist. Sollte kein Angemessenheitsbeschluss der Kommission für den Datenexport vorliegen, ist gem. Art. 46 Abs. 1 DS-GVO eine Datenübermittlung in Drittländer zulässig, wenn der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorsehen und wenn den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung gestellt werden. Die Absätze 2 und 3 des Art. 46 DS-GVO führen im Weiteren aus, welche geeigneten Garantien überhaupt in der DS-GVO zur Verfügung stehen. Ohne eine gesonderte Genehmigungspflicht seitens der zuständigen Aufsichtsbehörde für den Datenexport kann dies bspw.
>> Standarddatenschutzklauseln (Art. 46 Abs. 2 lit. c DS-GVO),
>> von einer Aufsichtsbehörde angenommene Standarddatenschutzklauseln (Art. 46 Abs. 2 lit. d DS-GVO),
sein.

Verträge, die noch auf Basis der bisherigen Entscheidungen vereinbart wurden, sind bis zum 27.12.2022 auf die neuen Standarddatenschutzklauseln zu aktualisieren. Hierzu müssen die Verarbeitungsvorgänge jedoch unverändert geblieben sein sowie der Transfer geeigneten Garantien nach Art. 46 Abs. 1 DS-GVO unterliegen. Insbesondere müssen, i.S.d. Rechtsprechung des EuGHs zu Schrems II, die SCC um zusätzliche Maßnahmen ergänzt worden sein.

Ist dies nicht der Fall, müssen seit dem 27.09.2022 die neuen SCC abgeschlossen sein. Diese greifen die Rechtsprechung des EuGHs bereits auf, so dass eine baldige Umstellung auf die neuen Klauseln notwendig wird. Zudem ist zu beachten, dass im Rahmen des Abschlusses der neuen Standarddatenschutzklauseln der Datenexporteur auch ein sog. Transfer Impact Assessment (TIA) im Sinne der Klauseln 14 und 15 der Standarddatenschutzklauseln durchführen muss, um ein angemessenes Datenschutzniveau gem. Kapitel V DSGVO gewährleisten zu können.

GDD-Praxishilfe DS-GVO
Datenschutzrechtliche Anforderungen an internationale Datentransfers

(Foto: VideoFlow – stock.adobe.com)