Privacy Shield, das Schrems II-Urteil und die Standardvertragsklauseln: Es hat sich viel getan im vergangenen Jahr. Das gilt f\u00fcr den Datenschutz im Allgemeinen und f\u00fcr die Drittland\u00fcbermittlung von Daten im Besonderen. Den heutigen Beitrag nutzen wir, um Sie mit der Drittland\u00fcbermittlung und in diesem Zusammenhang mit den Standardvertragsklauseln vertraut zu machen. Au\u00dferdem wird es praktisch: Sie erhalten eine Anleitung zum DSGVO-konformen Drittlandtransfer von Daten.<\/p>\n
<\/p>\n
Der Gesetzgeber verlangt seit Einf\u00fchrung der Datenschutz-Grundverordnung (DSGVO) beim Datentransfer in andere L\u00e4nder, dass dort ein \u00e4hnlich hohes Datenschutzniveau vorherrscht. Da die DSGVO in ganz Europa gilt, ist es europaweit recht unkompliziert, Daten zu \u00fcbermitteln. F\u00fcr Drittl\u00e4nder, also L\u00e4nder au\u00dferhalb der EU und des EWR, gelten die Angemessenheitsbeschl\u00fcsse der EU-Kommission. Diese Angemessenheitsbeschl\u00fcsse liegen f\u00fcr verschiedene L\u00e4nder vor, etwa f\u00fcr Japan, Israel oder Kanada. Eine \u00dcbersicht aller Angemessenheitsbeschl\u00fcsse<\/a> ist beim Hessischen Beauftragten f\u00fcr Datenschutz und Informationsfreiheit zu finden.<\/p>\n Drittland\u00fcbermittlungen in die USA jedoch sind hiervon ausgenommen. Mit dem EU-US-Privacy Shield-Abkommen, umgangssprachlich nur „Privacy Shield“ genannt, sollte eine Art Garantie f\u00fcr ein europ\u00e4isches Datenschutzniveau entstehen, sodass Datentransfers zwischen der EU und den USA leichter m\u00f6glich gemacht werden k\u00f6nnen.<\/p>\n <\/p>\n In der als „Schrems II-Urteil“ bekanntgewordenen und viel beachteten Verhandlung im Juli 2020 entschieden die Richter des Europ\u00e4ischen Gerichtshofs<\/a> (EuGH) jedoch, dass Privacy Shield nicht mit der DSGVO vereinbar ist, da der Datenschutz nicht auf europ\u00e4ischem Niveau liegt. Haupts\u00e4chlich ging es um die fehlenden Interventionsm\u00f6glichkeiten europ\u00e4ischer B\u00fcrger, wenn deren Kommunikation und personenbezogene Daten US-amerikanischen \u00dcberwachungsgesetzen unterlagen.<\/p>\n In der Folge schwammen EU-Unternehmen in einer rechtlichen Grauzone: Entweder wurden Drittland\u00fcbermittlungen auf den Angemessenheitsbeschluss zum Privacy Shield oder auf Abschluss der alten Standardvertragsklauseln gest\u00fctzt. Letztere hatten sich – nicht zuletzt aufgrund des einfach zu handhabenden Mechanismus zur Daten\u00fcbermittlung – bereits bew\u00e4hrt und waren von der EU-Kommission genehmigt.<\/p>\n <\/p>\n Die von der Europ\u00e4ischen Kommission genehmigten Standardvertragsklauseln stammten aus den Jahren 2001 und 2010 – und waren damit schon recht antiquiert, was Probleme in der Praxis mit sich brachte: Mit der DSGVO kam das aktuelle Datenschutzrecht erst im Jahr 2018, sodass das alte Vertragsset schlicht nicht mit der aktuellen Gesetzgebung vereinbar war.<\/p>\n Um Beteiligten an Drittland\u00fcbermittlungen unterst\u00fctzen zu k\u00f6nnen, das europ\u00e4ische Datenschutzniveau auch bei Datentransfers in die USA zu halten, stellte die EU-Kommission im Juni 2021 die neuen Standardvertragsklauseln<\/a> vor.<\/p>\n <\/p>\n Es existieren zwei Versionen der neuen Standardvertragsklauseln (SCC; Standard Contractual Clauses): Eine dient dem EU-Datentransfer (Auftragsverarbeitung), die andere dem Drittlandtransfer, wobei letzterer wohl die gr\u00f6\u00dfere Bedeutung zukommen wird: Gem\u00e4\u00df Art. 46 DSGVO<\/a> werden die SCC Rechtsgrundlage f\u00fcr Unternehmen, die US-Services wie Cloud-Angebote in Anspruch nehmen oder anderweitige Drittland\u00fcbermittlungen vornehmen.<\/p>\n Wichtig f\u00fcr die Praxis ist, dass Datenexporteure den Standardvertragsklauseln nicht blind vertrauen d\u00fcrfen. Es obliegt Datenexporteuren – eventuell auch in Zusammenarbeit mit den Datenempfangenden im Drittland – zu pr\u00fcfen und zu gew\u00e4hrleisten, dass der geforderte Datenschutz im Drittland auch umgesetzt wird. Zu dieser Pr\u00fcfung geh\u00f6rt auch die Beurteilung der Sicherheitsgesetze in Drittl\u00e4ndern. Hier hatte im Fall von Schrems-II in den USA u.a. das Foreign Intelligence Surveillance Act (FISA) f\u00fcr die Probleme gesorgt.<\/p>\n <\/p>\n Relevant f\u00fcr dieses Pr\u00fcfen und Gew\u00e4hrleisten ist das in Klausel 14 der SCC geregelte sogenannte Transfer Impact Assessment (TIA): TIA ist als individuelle Risikobewertung zu verstehen. Jedes in der EU ans\u00e4ssige Unternehmen muss diese Risikobewertung beim \u00dcbermitteln von Daten in Drittl\u00e4nder durchf\u00fchren. Bei einem Transfer Impact Assessment werden verschiedene Aspekte ber\u00fccksichtigt; mitunter die Umst\u00e4nde der Drittland\u00fcbermittlung, die Anzahl beteiligter Akteure oder die Glieder der Verarbeitungskette. Ebenso darf eine Begr\u00fcndung dar\u00fcber nicht fehlen, warum ein Anbieter in dem entsprechenden Drittland weiteren Anbietern aus der EU bzw. dem EWR vorzuziehen ist. Dies ist eine der kritischsten Beurteilungen, da finanzielle Aspekte nicht die alleinige Entscheidungsgrundlage darstellen d\u00fcrfen.<\/p>\n <\/p>\n Mit dem 27. Juni 2021 sind die neuen Standardvertragsklauseln in Kraft getreten. Seither gilt eine \u00dcbergangsfrist, um Unternehmen die M\u00f6glichkeit einzur\u00e4umen, sich mit den neuen Regeln der Drittland\u00fcbermittlung vertraut zu machen. Ab dem 27.12.2022 sind Drittlandtransfers ausschlie\u00dflich auf Basis der neuen Standardvertragsklauseln m\u00f6glich. Das bedeutet f\u00fcr Sie: Bis zu diesem Stichtag m\u00fcssen Sie s\u00e4mtliche Vertr\u00e4ge auf die neuen Standardvertragsklauseln umstellen.<\/p>\n <\/p>\n Als eines der ersten Big-Tech-Unternehmen wird Google Ihre Google Ads Data Processing Terms<\/a> zum 27. September 2021 auf die neuen Standardvertragsklauseln von 2021 umstellen. Google hat dazu Ihre Kunden angeschrieben und auf die \u00c4nderungen hingewiesen. Kunden k\u00f6nnen ab sofort in Ihren Google Accounts auf diese neuen Standardvertragsklauseln umstellen. Dies ist f\u00fcr Verantwortliche jedoch kein „Freibrief“ Google Dienste einfach so einsetzen zu k\u00f6nnen. Daher bedarf es weiterer Schritte, n\u00e4mlich einem Transfer Impact Assessment (TIA).<\/p>\n <\/p>\n Mit einem Vier-Punkte-Plan k\u00f6nnen Sie die Drittland\u00fcbermittlung mit den neuen SCC einschlie\u00dflich TIA vornehmen:<\/p>\n F\u00fcr diejenigen, die es noch genauer wissen m\u00f6chten, hat die IAPP (International Association of Privacy Professionals)<\/a> ein TIA im Excel-Format<\/a> ver\u00f6ffentlicht. Die Datenschutzberater der PSW GROUP sind nach den Kriterien dieses Verbands zertifiziert und k\u00f6nnen die Qualit\u00e4t dieser Unterlagen best\u00e4tigen.<\/p>\n <\/p>\n Sie sehen: Seit dem wegweisenden Schrems II-Urteil des EuGH hat sich im Datenschutz und besonders in der Drittland\u00fcbermittlung einiges getan – es lohnt sich, auf dem Laufenden zu bleiben. Es hat zwar gedauert, aber mit den aktualisierten Standardvertragsklauseln hat die EU den Rahmen zur Drittland\u00fcbermittlung endlich angepasst. Das Transfer Impact Assessment erm\u00f6glicht f\u00fcr den Einzelfall eine angemessene Pr\u00fcfung zum Datenschutzniveau.<\/p>\n Mit den neuen SCC haben Unternehmen nun auch endlich neue M\u00f6glichkeiten, IT-Services aus den USA und anderen Drittstaaten rechtskonform zu nutzen. Unternehmen k\u00f6nnen sich aus der rechtlichen Grauzone heraus man\u00f6vrieren und den Drittlandtransfer erstmals mit Rechtssicherheit angehen. Haben Sie Fragen zur Daten\u00fcbermittlung in Drittl\u00e4nder oder suchen Sie Unterst\u00fctzung beim Gestalten Ihrer Vertr\u00e4ge, haben unsere zertifizierten Experten gerne ein offenes Ohr f\u00fcr Sie. Nehmen Sie einfach Kontakt<\/a> zu uns auf – wir freuen uns auf Sie!<\/p>\n","protected":false},"excerpt":{"rendered":" Privacy Shield, das Schrems II-Urteil und die Standardvertragsklauseln: Es hat sich viel getan im vergangenen Jahr. Das gilt f\u00fcr den Datenschutz im Allgemeinen und f\u00fcr die Drittland\u00fcbermittlung von Daten im Besonderen. Den heutigen Beitrag nutzen wir, um Sie mit der Drittland\u00fcbermittlung und in diesem Zusammenhang mit den Standardvertragsklauseln vertraut zu machen. Au\u00dferdem wird es praktisch: … <\/p>\nEuGH stoppt Privacy Shield<\/h3>\n
Antiquierte Standardvertragsklauseln<\/h3>\n
Drittland\u00fcbermittlung nach den neuen Standardvertragsklauseln<\/h2>\n
TIA: Transfer Impact Assessments<\/h3>\n
Fristen zur Drittland\u00fcbermittlung nach Standardvertragsklauseln<\/h3>\n
Google adoptiert neue Standardvertragsklauseln<\/h3>\n
Praxis: Anleitung zur Drittland\u00fcbermittlung mit Transfer Impact Assessment<\/h2>\n
\n
Drittland\u00fcbermittlung: Schrems II-konforme Umsetzung & Erh\u00f6hung des Datenschutzniveaus<\/h2>\n