Am 16. Juli 2020 kippte der Europäische Gerichtshof (EuGH) das Abkommen zum Transfer personenbezogener Daten aus der EU in die USA (Privacy Shield, Schrems-II Urteil). Damit ist der Angemessenheitsbeschluss für ungültig erklärt worden, wodurch ab sofort keine Datenübermittlung in die USA mehr auf den Privacy Shield gestützt werden. Alle Vertragsänderungen mussten bis zum 27. Dezember 2022 angepasst werden! Welche Folgen hat das für Ihr Unternehmen und was für Handlungspflichten ergeben sich für Sie? Informieren Sie sich jetzt.
„Privacy Shield Abkommen“ für ungültig erklärt – Was bedeutet das nun für Sie?
Ihr Unternehmen sollte überprüfen, welche Ihrer Dienstleister personenbezogene Daten in Drittländern verarbeiten. Sobald Sie diese Dienstleister identifiziert haben, müssen Sie kontrollieren, welche datenschutzrechtlichen Garantien zur Verarbeitung von personenbezogenen Daten (siehe Auftragsverarbeitungsvertrag AVV) genutzt werden und diese gegebenenfalls durch andere geeignete Garantien ersetzen und nachweisen.
Eine alternative Garantie, die durch die EuGH als zulässig erachtet wurde, ist die Datenübermittlung auf der Basis der sogenannten EU-Standartvertragsklauseln (EU-Contractual Clauses, EU-SCC). Diese bereits seit 2016 bestehenden Vertragsgrundlagen wurden daraufhin durch die Europäische Kommission aktualisiert und am 04. Juni 2021 veröffentlicht. Durch die neuen Standardvertragsklauseln, die eine Reihe von Veränderungen gegenüber der Vorgängerversion beinhalten, werden die bestehenden Standardvertragsklauseln für Auftragsverarbeiter sowie die Standardvertragsklauseln für Verantwortliche nunmehr abgelöst.
Wie können Sie konkret vorgehen?
Für Unternehmen als Verantwortliche, die Daten in die USA übermitteln, ergeben sich durch die neuen Standardvertragsklauseln Handlungsverpflichtungen.
- Die bestehenden Auftragsverarbeitungsverträge (AVV) sind zu überprüfen und ggf. hinsichtlich der zugrunde liegenden EU-SCC dahingehend anzupassen, dass die aktuellen Bedingungen uneingeschränkt und unabgeändert zur Anwendung gelangen.
- Falls ein Auftragsverarbeiter nicht selbst personenbezogene Daten in den USA verarbeitet, er aber Subunternehmer einbindet (die der Verantwortliche zuvor auch genehmigt hat), dann müssen ebenfalls die aktuellen EU-SCC zur Anwendung gebracht werden.
Die Schwierigkeit im Fall 2: Die EU-SCC können nur durch den Verantwortlichen direkt mit einem Dienstleister abgeschlossen werden; der Auftragsverarbeiter kann das also nicht selbst tun. Abhilfe für das Dilemma schafft das Konstrukt, in dem vertraglich zwischen Auftragsverarbeiter und Verantwortlichem geregelt ist, dass ersterer durch den Verantwortlichen bevollmächtigt wird, die EU-SCC mit seinem Subunternehmer für den Verantwortlichen abzuschließen. Dies kann im Auftragsverarbeitungsvertrag zwischen dem Verantwortlichen und dem Auftragsverarbeiter in der ersten Ebene so vereinbart werden.
Machen wir ein Beispiel: Sie beschäftigen einen IT-Dienstleister, der Ihre Hardware und Software betreut. Einen entsprechenden Auftragsverarbeitungsvertrag haben Sie nach DS-GVO abgeschlossen. Im Vertrag ist vereinbart, dass Ihr Dienstleister Datensicherungen in einer Cloud eines Subunternehmers (Serverfarm) erstellt, der wiederum dazu auch Server in den USA unterhält. Eine Weiterleitung Ihrer personenbezogenen Daten kann nicht ausgeschlossen werden. Der Vertrag legt keine (oder veraltete) EU-SCC zugrunde. Jetzt ist der o. g. Handlungsbedarf gegeben:
- Sie fordern einen neuen AVV an; darin legen Sie die aktuellen EU-SCC in unabgeänderter Form zugrunde.
- Sie verpflichten und autorisieren Ihren Dienstleister ebenfalls im neuen AVV, die EU-SCC in Ihrem Namen mit dem Subunternehmer vertraglich zu vereinbaren.
Dieses Beispiel ist nur eines von vielen Möglichkeiten von Datenübermittlungen an Auftragsverarbeiter in die USA; letztlich ist es erforderlich, dass Sie sämtliche AVVs dementsprechend überprüfen.
Gibt es eine Frist für Verantwortliche?
Beim Abschluss von Neuverträgen ab dem 29. September 2021 mussten die neuen Standardvertragsklauseln in die Verträge oder die AGBs aufgenommen werden. Bestehende Verträge mussten innerhalb von 18 Monaten, also bis spätestens zum 27. Dezember 2022 dahingehend geändert werden, dass die bestehenden Standardvertragsklauseln durch die neuen Standardvertragsklauseln ersetzt werden.
Die kraussakademie bietet passende Aus- und Weiterbildungsmaßnahmen zum Thema Datenschutz und für allen weiteren relevanten Themen ein vollumfängliches Rahmenprogramm mit praxiserfahrenen Referenten.
Wir helfen Ihnen weiter! Kontaktieren Sie uns gerne unter Tel.: 08294 511 48 21 oder per E-Mail unter info@kraussakademie.de.