EU: Standardvertragsklauseln treten in Kraft
Seit drei Jahren ist die EU-DSGVO in Kraft. Die EU-Kommission hat nun die Standardvertragsklauseln an die Verordnung angepasst und dabei auch das Urteil des EUGH vom Juni 2020 einbezogen. Änderungen kommen Vor allem auf Unternehmen, die personenbezogene Daten in Drittländer senden, zu.
Eine globale und vernetzte Welt lebt von sicherem Datentransfer. Innerhalb der Länder der Europäischen Union beziehungsweise des Europäischen Wirtschaftsraums regelt die DSGVO seit 2018 den Umgang mit personenbezogenen Daten. Die meisten Unternehmen pflegen allerdings weltweite Geschäftsbeziehungen und nutzen Cloud-Angebote aus den USA. Um mit Geschäftspartnern aus Drittstaaten, etwa den USA, einen sicheren Datenaustausch zu gewährleisten, dienen vorwiegend die Standardvertragsklauseln. Diese wurden nun von der EU-Kommission an die DSGVO angepasst.
EUGH kippt Privacy Shield
Standardvertragsklauseln sind Musterverträge, die zwischen zwei Partnern, einem EU-Unternehmen und einem Unternehmen aus einem Drittland, in welchem die DSGVO keine Anwendung findet, geschlossen werden. Sie dienen als Garantie für den sicheren Transfer von Daten zwischen den Partnern, die beide Seiten zur Einhaltung eines DSGVO-konformen Sicherheitsniveaus verpflichten.
Die bisher von der EU-Kommission bereitgestellten Standardvertragsklauseln berücksichtigen dieses Urteil und die unterschiedlichen Rollen der Zusammenarbeit nicht in ausreichender Weise. Unternehmen müssten also im Einzelfall prüfen, ob das Sicherheitsniveau auf der Gegenseite angemessen ist.
Durch die neuen Klauseln von der EU sind flexibler für UnternehmenQuelle: Adobe Stock / Katarzyna
Die neuen DSGVO-konformen Standardvertragsklauseln
Die nun neuformulierten Klauseln sind modular aufgebaut und damit für Unternehmen flexibel auf ihre jeweiligen Erfordernisse anpassbar. Sie enthalten darüber hinaus detaillierte Haftungsregeln und juristische Vorgaben. Diese neuen Vertragsmuster gehen allerdings mit einer höheren Komplexität einher. Zusätzlich sind neue Regeln zur Dokumentation aufgenommen worden.
Das Urteil des EUGH hat Einfluss auf die neuen Klauseln genommen. So ist beispielsweise künftig der Umgang mit widersprechenden gesetzlichen Regelungen des Drittlandes geregelt. So sind Datenimporteure etwa verpflichtet, vor der Herausgabe von Daten alle Rechtsmittel auszuschöpfen.
Was Unternehmen jetzt beachten müssen
Am 27. Dezember 2022 endet die Übergangsfrist, die der EUGH nach seinem Urteil eingeräumt hat. Bis dahin müssen Unternehmen die neuen Standardvertragsklauseln übernommen haben. Zunächst sollten sie sich daher einen Überblick über ihren Datentransfer in Drittländer verschaffen, auch um ihrer Dokumentationspflicht nachzukommen, und ihre dortigen Partner schnellstmöglich zum Abschluss der neuen Klauseln auffordern. Denn die Umsetzung der neuen Regeln wird einiges an Zeit in Anspruch nehmen.
Sie haben offene Fragen zur Übermittlung von Daten in Drittländer? Gerne stehen wir Ihnen mit unserem Netzwerk auch als Partner im Bereich EU-Datenschutz zur Verfügung. Sie erreichen uns unter info@msecure.de.
Key Facts
DSGVO-Umsetzung: Nur 28 Prozent der deutschen Unternehmen sehen sich als vollständig DSGVO-konform.
Höchste Einzelstrafe: 1,2 Milliarden Euro gegen Meta (2023) — die höchste DSGVO-Strafe bisher.
Häufige Fragen
Was sind die häufigsten Cyberbedrohungen für Unternehmen?
Laut BSI-Lagebericht sind Ransomware, Phishing, DDoS-Angriffe und Supply-Chain-Kompromittierungen die häufigsten Bedrohungen. Für deutsche Unternehmen kommen regulatorische Risiken (DSGVO, NIS2) hinzu.
Wie viel sollte ein Unternehmen in Cybersicherheit investieren?
Branchenexperten empfehlen 10 bis 15 Prozent des IT-Budgets für Cybersicherheit. Deutsche Unternehmen liegen laut Bitkom im Durchschnitt bei 14 Prozent. Entscheidend ist nicht nur die Höhe, sondern die strategische Verteilung auf Prävention, Erkennung und Reaktion.
Braucht jedes Unternehmen einen CISO?
Nicht jedes Unternehmen braucht einen Vollzeit-CISO, aber jedes braucht eine klare Verantwortlichkeit für IT-Sicherheit auf Geschäftsführungsebene. KMU können auf einen externen CISO (Virtual CISO) zurückgreifen. Mit NIS2 wird die Management-Verantwortung gesetzlich verankert.
Verwandte Artikel
- Studie: Deutsche Verbraucher gehen bei Logins auf Nummer Sicher
- Gartner Prognose: Anstieg der Ausgaben im Bereich Sicherheit und Risikomanagement
- EU Cyber Solidarity Act: Europa baut gemeinsame Cyberabwehr auf
Mehr aus dem MBF Media Netzwerk
Quelle Titelbild: Adobe Stock / metamorworks
Fakt: Laut BKA entstand deutschen Unternehmen 2024 durch Cyberkriminalität ein Schaden von über 206 Milliarden Euro.
Fakt: 95 Prozent aller Cybersecurity-Vorfälle sind laut IBM auf menschliche Fehler zurückzuführen.
Das Wichtigste in Kürze
- Durch die neuen Klauseln von der EU sind flexibler für UnternehmenQuelle: Adobe Stock / Katarzyna Die neuen DSGVO-konformen S…
- Die EU-Kommission hat nun die Standardvertragsklauseln an die Verordnung angepasst und dabei auch das Urteil des EUGH vom Juni 2020 einbezogen.
- Innerhalb der Länder der Europäischen Union beziehungsweise des Europäischen Wirtschaftsraums regelt die DSGVO seit 2018 den Umgang mit personenbezogenen Daten.
- Die meisten Unternehmen pflegen allerdings weltweite Geschäftsbeziehungen und nutzen Cloud-Angebote aus den USA.
