Am 7. Juni wurden im Amtsblatt der Europäischen Union neue Standardvertragsklauseln (SCCs) für die Übermittlung personenbezogener Daten in Drittländer veröffentlicht. Mein Team und ich verfolgen die Entwicklung der Verordnung (EU) 2016/679 (Allgemeine Datenschutzverordnung „DSGVO“) ständig, und hier ist, was wir bisher über die neuesten Änderungen erfahren haben.
Wie die Europäische Kommission betont, sollen die neuen SCCs mit den Anforderungen der Datenschutz-Grundverordnung und dem Urteil des Gerichtshofs der Europäischen Union in der Rechtssache Schrems II in Einklang gebracht werden.
Wichtigste Erkenntnisse
- Datum des Inkrafttretens und Übergangsfrist. Die neuen SCC treten am 27. Juni 2021 in Kraft, und die Unternehmen müssen die neuen SCC bis zum 27. September 2021 übernehmen. Alle bestehenden Verträge für die Verbringung in Drittländer müssen bis zum 27. Dezember 2022 auf die neuen SCC umgestellt werden.
- Einbeziehung der Anforderungen von Artikel 28 DSGVO . Die neuen SCC decken alle in Artikel 28 der DSGVO genannten Anforderungen ab. Sobald die Parteien über die neuen SCC verfügen, besteht daher keine Notwendigkeit mehr, eine separate Datenverarbeitungsvereinbarung zu unterzeichne
- Umsetzung von Schrems II. Vor der Unterzeichnung der neuen SCCs müssen die Parteien das Datenschutzniveau in dem Drittland bewerten und dokumentieren. Im Falle eines Risikos müssen die Parteien sicherstellen, dass zusätzliche Maßnahmen zur Abschwächung dieses Risikos getroffen werden und dass personenbezogene Daten gemäß den in der DSGVO festgelegten Standards geschützt werden.
- Darüber hinaus verpflichten die neuen SCC die Datenimporteure, die Datenexporteure unverzüglich zu benachrichtigen, wenn sie ein Ersuchen einer Behörde um Offenlegung personenbezogener Daten erhalten oder von einem direkten Zugriff einer Behörde auf personenbezogene Daten Kenntnis erlangen. Verbietet die Behörde den Datenimporteuren die Erfüllung ihrer Verpflichtungen, müssen sich die Datenimporteure nach besten Kräften bemühen, eine Ausnahmegenehmigung zu erhalten.
- Datenimporteure müssen den Zugangsantrag von Behörden anfechten, wenn der Antrag nach „den Gesetzen des Bestimmungslandes, den geltenden völkerrechtlichen Verpflichtungen und den Grundsätzen des internationalen Verständnisses“ als unrechtmäßig angesehen werden könnte.
Während das Team und ich weiterhin die Datenschutzgesetze und -vorschriften überwachen, werden wir auch weiterhin Änderungen und Aktualisierungen in Echtzeit an unserer Software, unseren Dienstleistungen, Prozessen und Verfahren vornehmen. Auf diese Weise können wir für uns selbst und für unsere Kunden ein Höchstmaß an Compliance aufrechterhalten. Wir freuen uns darauf, unsere eigenen bestehenden SCCs – mit Anbietern wie Microsoft, Google, Atlassian und ClickDimensions – zeitnah durch die neuen SCCs zu ersetzen.