Frist für Umstellung auf neue Standarddatenschutzklauseln endet bald

Neue SCCerforderlich

Der europäische Gesetzgeber hat vor dem Hintergrund der Ausweitung des internationalen Handels die Übermittlung personenbezogener Daten an Datenempfänger in Drittländern unter besondere datenschutzrechtliche Anforderungen gestellt, um Rechte und Freiheiten von Betroffenen zu schützen. Ziel ist es, das durch die Datenschutz-Grundverordnung (DS-GVO) unionsweit gewährleistete Schutzniveau für natürliche Personen nicht zu untergraben, wenn personenbezogene Daten in ein Drittland transferiert werden. Die Art. 44 ff. aus Kapitel V der DS-GVO geben die Bedingungen vor, nach denen Verantwortliche oder Auftragsverarbeiter, die der DS-GVO unterliegen, personenbezogene Daten in Drittländer übermitteln dürfen.

Adressaten der DS-GVO, die personenbezogene Daten in ein Drittland übermitteln möchten, haben die sog. 2-Stufen-Prüfung zu durchlaufen. Dies ergibt sich aus Art. 44 S. 1 DS-GVO, der von Verantwortlichen oder Auftragsverarbeitern die Einhaltung der Vorgaben von Kapitel V sowie die Einhaltung der „sonstigen Bestimmungen dieser Verordnung“ verlangt.

Der Datenexporteur hat im Zuge der ersten Prüfstufe sicherzustellen, dass die geplante Übermittlung den allgemeinen Anforderungen der DS-GVO bzw. denen des Bundesdatenschutzgesetzes (BDSG) oder einer bereichsspezifischen Norm entspricht.

Im Rahmen der zweiten Prüfstufe sind die spezifischen Anforderungen aus Kapitel V an die Datenübermittlung an den Verantwortlichen oder Auftragsverarbeiter im Drittland zu prüfen. Dies erfolgt anhand der Maßgabe, dass ein angemessenes Schutzniveau für personenbezogene Daten gewährleistet sein muss oder ein solches ausnahmsweise entbehrlich ist. Sollte kein Angemessenheitsbeschluss der Kommission für den Datenexport vorliegen, ist gem. Art. 46 Abs. 1 DS-GVO eine Datenübermittlung in Drittländer zulässig, wenn der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorsehen und wenn den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung gestellt werden. Die Absätze 2 und 3 des Art. 46 DS-GVO führen im Weiteren aus, welche geeigneten Garantien überhaupt in der DS-GVO zur Verfügung stehen. Ohne eine gesonderte Genehmigungspflicht seitens der zuständigen Aufsichtsbehörde für den Datenexport kann dies bspw.
>> Standarddatenschutzklauseln (Art. 46 Abs. 2 lit. c DS-GVO),
>> von einer Aufsichtsbehörde angenommene Standarddatenschutzklauseln (Art. 46 Abs. 2 lit. d DS-GVO),
sein.

Verträge, die noch auf Basis der bisherigen Entscheidungen vereinbart wurden, sind bis zum 27.12.2022 auf die neuen Standarddatenschutzklauseln zu aktualisieren. Hierzu müssen die Verarbeitungsvorgänge jedoch unverändert geblieben sein sowie der Transfer geeigneten Garantien nach Art. 46 Abs. 1 DS-GVO unterliegen. Insbesondere müssen, i.S.d. Rechtsprechung des EuGHs zu Schrems II, die SCC um zusätzliche Maßnahmen ergänzt worden sein.

Ist dies nicht der Fall, müssen seit dem 27.09.2022 die neuen SCC abgeschlossen sein. Diese greifen die Rechtsprechung des EuGHs bereits auf, so dass eine baldige Umstellung auf die neuen Klauseln notwendig wird. Zudem ist zu beachten, dass im Rahmen des Abschlusses der neuen Standarddatenschutzklauseln der Datenexporteur auch ein sog. Transfer Impact Assessment (TIA) im Sinne der Klauseln 14 und 15 der Standarddatenschutzklauseln durchführen muss, um ein angemessenes Datenschutzniveau gem. Kapitel V DSGVO gewährleisten zu können.

GDD-Praxishilfe DS-GVO
Datenschutzrechtliche Anforderungen an internationale Datentransfers

(Foto: VideoFlow – stock.adobe.com)

Letztes Update:25.09.22

  • Keine Schaden bei verspäteter Auskunft

    Unsicherheiten bei der Anwendung der Ausnahmen zum Auskunftsrecht

    Betroffenenrechte sind zugleich Ansprüche und Gestaltungsmöglichkeiten für betroffene Personen. Mit dem Auskunftsrecht gem. Art. 15 DS-GVO hat der Verordnungegeber eine Grundlage dafür geschaffen, dass andere Betroffenenrechte (wie das Recht auf Berichtigung, Löschung, Einschränkung der Verarbeitung, aber auch das Widerspruchsrecht) überhaupt gezielt geltend gemacht werden können. Das Auskunftsrecht ist häufiger Gegenstand gerichtlicher Auseinandersetzung und viele Rechtsfragen

    Mehr erfahren
  • Datenschutz bei Vermietung

    Datenschutz bei Einholung von Selbstauskünften bei Mietinteressenten

    Die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länderhat einen neuen Leitfaden veröffentlicht, der die rechtlichen Aspekte bei der Erhebung persönlicher Daten im Zusammenhang mit der Vermietung von Wohnraum beleuchtet. Vermieter:innen, Makler:innen oder Hausverwaltungen erheben vor der Vermietung von Wohnraum oft persönliche Daten von Mietinteressent:innen, um eine Entscheidung über den

    Mehr erfahren
  • Generative KI im Unternehmen: Welche rechtlichen Fragen stellen sich?

    Ein aktueller Praxisleitfaden des BITKOM mit dem Titel „Generative KI im Unternehmen – rechtliche Fragen zum Einsatz generativer Künstlicher Intelligenz im Unternehmen“ widmet sich den rechtlichen Herausforderungen und Aspekten im Umgang mit generativer Künstlicher Intelligenz (KI). Bevor der Leitfaden in die Tiefe geht, klärt er zunächst, was genau unter „generativer KI“ zu verstehen ist. Generative

    Mehr erfahren