Neue EU Standartvertragsklauseln für Datenverarbeitung im Ausland: Was ändert sich 2022 und was sollten Sie wissen?
Am 06.04.21 hat die EU den Umgang mit personenbezogenen Daten aller Kunden und Leistungen von Anbietern außerhalb der EU mit sogenannten Standardvertragsklauseln grundlegend überarbeitet. Auf was Sie unbedingt achten sollten, was verändert werden muss und inwiefern Sie betroffen sind, erfahren Sie auf in diesem Beitrag.
Die neuen Standardvertragsklauseln der EU
Nach der Entscheidung des EuGHs vom 16. Juli 2020 darf eine Übermittlung in die USA nicht länger auf Basis des sogenannten Privacy Shield erfolgen. Die wichtigste Grundlage für die Datenverarbeitung in den USA war somit ohne Frist und Karenzzeit weggefallen.
Der alternative Einsatz der Standardvertragsklauseln (SSC) für Datenübermittlungen in Drittstaaten war zwar noch möglich aber nur noch unter Verwendung wirksamer zusätzlicher Maßnahmen ausreichend. Das auch nur dann, wenn die Prüfung des Verantwortlichen ergeben hat, dass im Empfängerstaat über diese Maßnahmen ein gleichwertiges Schutzniveau für die personenbezogenen Daten gewährleistet werden kann.
Mit diesen wenig genauen Vorgaben war die Datenverarbeitung bei allen US Anbietern und darunter fallen nahezu alle großen Cloudanbieter wie Microsoft, Google, Amazon, Salesforce und viele mehr, rechtlich fraglich. Viele Datenschutzbehörden haben die Verarbeitungen in Frage gestellt gleichwohl aber kaum Maßnahmen gegen Unternehmen ergriffen die ihre Daten bei den genannten Dienstleistern verarbeiten.
Am 06.04.21 hat die EU dann endlich mit neuen Standardvertragsklauseln reagiert. Diese neuen SCCs sollen den erweiterten Anforderungen des „Schrems II“ Urteils Rechnung tragen und bei vollständiger Anwendung auch wieder eine Datenverarbeitung bei US Anbietern rechtlich begründen.
Diese allerdings nur unter Berücksichtigung bestimmter Voraussetzung und einer individuellen Risikobewertung der Verarbeitung. Die neuen SCCs stellen vor Aufnahme einer Verarbeitung einige Anforderungen an die Unternehmen die wir im folgenden näher erläutern wollen.
Wann brauchen Sie die neuen Vertragsklauseln?
Sofern sie personenbezogene Daten nur innerhalb der EU übermitteln, benötigen Sie keine Standardvertragsklauseln. Sobald Sie die Daten an Anbieter übermitteln, die in einem Drittland sitzen, sollten Sie nun Standardvertragsklauseln abschließen.
- Sie nutzen Tools eines Anbieters mit Sitz außerhalb der EU / EWR und übermitteln personenbezogene Daten z.B. an:
- Google Analytics
- Microsoft Zoom
- Mailchimp
- YouTube
2. Sie bieten selbst ein Tool oder eine Dienstleistung an, hierfür bedienen Sie sich selbst weiterer Partner, die nicht in der EU sitzen.
- Sie bieten eine App an. Ihr Kunde nutzt diese und übermittelt Ihnen personenbezogene Daten seiner Kunden.
- Die Programmierung einzelner Bestandteile übernimmt ein Freelancer mit Sitz in Indien, der die personenbezogenen Daten verarbeitet.
- Den telefonischen Kundenservice Ihres Unternehmens führt ein Callcenter durch, das in Pakistan sitzt.
3.Sie sind für die personenbezogenen Daten verantwortlich und Ihr Vertragspartner im nicht-europäischen Drittland ist 3 ebenfalls Verantwortlicher.
4. Sie sind für die personenbezogenen Daten verantwortlich und Ihr Vertragspartner ist für Sie im Auftrag tätig, verarbeitet also in Ihrem Auftrag die Daten und hat im nicht-europäischen Drittland seinen Sitz.
5. Sie und Ihr Vertragspartner handeln als Auftragsverarbeiter, also jemand anders ist Verantwortlicher.
6. Sie sind Auftragsverarbeiter und übermitteln die Daten an den Verantwortlichen, der in einem Drittstaat sitzt.
Bis wann muss die Umsetzung fertig sein?
Ab dem 28.09.2021 müssen Sie für neue Verträge mit Vertragspartnern in Drittländern, die neuen Standardvertragsklauseln verwenden.
Achtung!
Bis zum 27.12.2022 müssen Sie alle alten Versionen der Standardvertragsklauseln gegen die neuen austauschen.
Wer überprüft die richtige Umsetzung?
Zahlreiche Datenschutzbehörden (Berlin, Hamburg, Brandenburg, Bremen,
Niedersachsen, Rheinland-Pfalz, Baden-Württemberg, Bayern und das Saarland)
verschicken seit dem 1. Juni 2021 Fragebögen an Unternehmen, wie diese mit dem
Thema internationaler Datentransfers und der Schrems-II-Entscheidung des EuGHs
umgehen. Es gibt unterschiedliche Fragebögen für nahezu alle relevanten
Dienstleistungen:
- Zum Einsatz von Dienstleistern zum E-Mail-Versand
- Zum Einsatz von Dienstleistern zur Verwaltung von Bewerberdaten
- Zum konzerninternen Austausch von Kundendaten und Daten der Beschäftigten
- Zum Einsatz von Webtracking
- Zum Einsatz von Dienstleistern zum Hosting von Internetseiten
{Hier werden Links hinterlegt}
Sicherheitsbehörden ist dabei wichtig zu sehen, dass die Unternehmen sich mit dem Thema befasst haben und möglichst sensibel damit umgehen.
Was sie jetzt unbedingt prüfen sollten…
Es müssen sämtliche, auch auf Grundlage der neuen Vertragsklauseln, auf Standardvertragsklauseln gestützte Übermittlungen in Drittländer im Einzelnen geprüft werden. Hierzu ist es unabdingbar, die konkreten Datentransfers im Einzelnen zu analysieren. Eine solche zu dokumentierende Risikoeinschätzung sollte mindestens folgende Punkte umfassen:
- Bestandsaufnahme zu in Anspruch genommenen Dienstleistern und Sub-Dienstleistern
- Vereinbarung der Standardvertragsklausel
- Prüfung möglicher technischer Schutzmaßnahmen (Verschlüsselung, Pseudonymisierung, Anonymisierung, Serverstandort in der EU usw.)
- Prüfung des Datenschutzniveaus im Drittstaat („Welchen Gesetzen unterliegt der jeweilige Datenimporteur im Drittland?“)
- Prüfung von europäischen Alternativen
- und Dokumentation (die auf Verlangen der Aufsichtsbehörde vorzulegen ist).
Sie wünschen noch mehr Informationen ?
Kontaktieren Sie uns, wenn Sie noch mehr rund um das Thema Datenschutz erfahren möchten. Wir beantworten Ihre Fragen und stehen Ihnen zur Seite.