Frist für Umstellung auf neue Standarddatenschutzklauseln endet bald

Neue SCCerforderlich

Der europäische Gesetzgeber hat vor dem Hintergrund der Ausweitung des internationalen Handels die Übermittlung personenbezogener Daten an Datenempfänger in Drittländern unter besondere datenschutzrechtliche Anforderungen gestellt, um Rechte und Freiheiten von Betroffenen zu schützen. Ziel ist es, das durch die Datenschutz-Grundverordnung (DS-GVO) unionsweit gewährleistete Schutzniveau für natürliche Personen nicht zu untergraben, wenn personenbezogene Daten in ein Drittland transferiert werden. Die Art. 44 ff. aus Kapitel V der DS-GVO geben die Bedingungen vor, nach denen Verantwortliche oder Auftragsverarbeiter, die der DS-GVO unterliegen, personenbezogene Daten in Drittländer übermitteln dürfen.

Adressaten der DS-GVO, die personenbezogene Daten in ein Drittland übermitteln möchten, haben die sog. 2-Stufen-Prüfung zu durchlaufen. Dies ergibt sich aus Art. 44 S. 1 DS-GVO, der von Verantwortlichen oder Auftragsverarbeitern die Einhaltung der Vorgaben von Kapitel V sowie die Einhaltung der „sonstigen Bestimmungen dieser Verordnung“ verlangt.

Der Datenexporteur hat im Zuge der ersten Prüfstufe sicherzustellen, dass die geplante Übermittlung den allgemeinen Anforderungen der DS-GVO bzw. denen des Bundesdatenschutzgesetzes (BDSG) oder einer bereichsspezifischen Norm entspricht.

Im Rahmen der zweiten Prüfstufe sind die spezifischen Anforderungen aus Kapitel V an die Datenübermittlung an den Verantwortlichen oder Auftragsverarbeiter im Drittland zu prüfen. Dies erfolgt anhand der Maßgabe, dass ein angemessenes Schutzniveau für personenbezogene Daten gewährleistet sein muss oder ein solches ausnahmsweise entbehrlich ist. Sollte kein Angemessenheitsbeschluss der Kommission für den Datenexport vorliegen, ist gem. Art. 46 Abs. 1 DS-GVO eine Datenübermittlung in Drittländer zulässig, wenn der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorsehen und wenn den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung gestellt werden. Die Absätze 2 und 3 des Art. 46 DS-GVO führen im Weiteren aus, welche geeigneten Garantien überhaupt in der DS-GVO zur Verfügung stehen. Ohne eine gesonderte Genehmigungspflicht seitens der zuständigen Aufsichtsbehörde für den Datenexport kann dies bspw.
>> Standarddatenschutzklauseln (Art. 46 Abs. 2 lit. c DS-GVO),
>> von einer Aufsichtsbehörde angenommene Standarddatenschutzklauseln (Art. 46 Abs. 2 lit. d DS-GVO),
sein.

Verträge, die noch auf Basis der bisherigen Entscheidungen vereinbart wurden, sind bis zum 27.12.2022 auf die neuen Standarddatenschutzklauseln zu aktualisieren. Hierzu müssen die Verarbeitungsvorgänge jedoch unverändert geblieben sein sowie der Transfer geeigneten Garantien nach Art. 46 Abs. 1 DS-GVO unterliegen. Insbesondere müssen, i.S.d. Rechtsprechung des EuGHs zu Schrems II, die SCC um zusätzliche Maßnahmen ergänzt worden sein.

Ist dies nicht der Fall, müssen seit dem 27.09.2022 die neuen SCC abgeschlossen sein. Diese greifen die Rechtsprechung des EuGHs bereits auf, so dass eine baldige Umstellung auf die neuen Klauseln notwendig wird. Zudem ist zu beachten, dass im Rahmen des Abschlusses der neuen Standarddatenschutzklauseln der Datenexporteur auch ein sog. Transfer Impact Assessment (TIA) im Sinne der Klauseln 14 und 15 der Standarddatenschutzklauseln durchführen muss, um ein angemessenes Datenschutzniveau gem. Kapitel V DSGVO gewährleisten zu können.

GDD-Praxishilfe DS-GVO
Datenschutzrechtliche Anforderungen an internationale Datentransfers

(Foto: VideoFlow – stock.adobe.com)

Letztes Update:25.09.22

  • Facebook Fanpages DSFA

    Datenschutz-Folgenabschätzung für Facebook-Fanpages

    Genauso wie die lang anhaltenden Unsicherheiten bzgl. der Verwendung von Office 365 bzw. Microsoft 365, gibt es auch hinsichtlich der datenschutzkonformen Nutzbarkeit der sog. Facebook-Fanpages eine bereits beträchtlich lange Vorgeschichte. Die letzten beiden Episoden in dieser Serie, deren Hauptakteure Facebook selbst (bzw. seit Januar 2022 in Meta Platform Inc.), die Datenschutz-Aufsichtsbehörden (DSK) sowie die Verantwortlichen,

    Mehr erfahren
  • Interne Untersuchungen? – Bitte nur mit Datenschutz!

    Viele Unternehmen bekennen sich zur weltweiten Bekämpfung von Korruption in all ihren Erscheinungsformen, unterstützen nationale und internationale Anstrengungen und lehnen jegliches korruptes Verhalten ab.Wie bei allen anderen im Unternehmen anstehenden Aufgaben kann die Geschäftsleitung den Aufbau und den Betrieb eines Compliance-Management-Systems delegieren. In der Regel übernimmt diese Aufgabe ein Compliance-Officer oder je nach Ausgestaltung und

    Mehr erfahren
  • MS 365

    Microsoft 365: Datenschutzkonform nutzbar oder nicht?

    Die Frage wird, möglicherweise nicht so verwunderlich, momentan sehr unterschiedlich beantwortet. Dabei geht es leider nicht nur um Nuancen.Die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder sagt in ihrer neuesten Veröffentlichung relativ deutlich und klar: “ Die DSK stellt unter Bezugnahme auf die Zusammenfassung des Berichts fest, dass der

    Mehr erfahren