EU: Standardvertragsklauseln treten in Kraft
Seit drei Jahren ist die EU-DSGVO in Kraft. Die EU-Kommission hat nun die Standardvertragsklauseln an die Verordnung angepasst und dabei auch das Urteil des EUGH vom Juni 2020 einbezogen. Änderungen kommen Vor allem auf Unternehmen, die personenbezogene Daten in Drittländer senden, zu.
Eine globale und vernetzte Welt lebt von sicherem Datentransfer. Innerhalb der Länder der Europäischen Union beziehungsweise des Europäischen Wirtschaftsraums regelt die DSGVO seit 2018 den Umgang mit personenbezogenen Daten. Die meisten Unternehmen pflegen allerdings weltweite Geschäftsbeziehungen und nutzen Cloud-Angebote aus den USA. Um mit Geschäftspartnern aus Drittstaaten, etwa den USA, einen sicheren Datenaustausch zu gewährleisten, dienen vorwiegend die Standardvertragsklauseln. Diese wurden nun von der EU-Kommission an die DSGVO angepasst.
EUGH kippt Privacy Shield
Standardvertragsklauseln sind Musterverträge, die zwischen zwei Partnern, einem EU-Unternehmen und einem Unternehmen aus einem Drittland, in welchem die DSGVO keine Anwendung findet, geschlossen werden. Sie dienen als Garantie für den sicheren Transfer von Daten zwischen den Partnern, die beide Seiten zur Einhaltung eines DSGVO-konformen Sicherheitsniveaus verpflichten.
Die bisher von der EU-Kommission bereitgestellten Standardvertragsklauseln berücksichtigen dieses Urteil und die unterschiedlichen Rollen der Zusammenarbeit nicht in ausreichender Weise. Unternehmen müssten also im Einzelfall prüfen, ob das Sicherheitsniveau auf der Gegenseite angemessen ist.
Durch die neuen Klauseln von der EU sind flexibler für UnternehmenQuelle: Adobe Stock / Katarzyna
Die neuen DSGVO-konformen Standardvertragsklauseln
Die nun neuformulierten Klauseln sind modular aufgebaut und damit für Unternehmen flexibel auf ihre jeweiligen Erfordernisse anpassbar. Sie enthalten darüber hinaus detaillierte Haftungsregeln und juristische Vorgaben. Diese neuen Vertragsmuster gehen allerdings mit einer höheren Komplexität einher. Zusätzlich sind neue Regeln zur Dokumentation aufgenommen worden.
Das Urteil des EUGH hat Einfluss auf die neuen Klauseln genommen. So ist beispielsweise künftig der Umgang mit widersprechenden gesetzlichen Regelungen des Drittlandes geregelt. So sind Datenimporteure etwa verpflichtet, vor der Herausgabe von Daten alle Rechtsmittel auszuschöpfen.
Was Unternehmen jetzt beachten müssen
Am 27. Dezember 2022 endet die Übergangsfrist, die der EUGH nach seinem Urteil eingeräumt hat. Bis dahin müssen Unternehmen die neuen Standardvertragsklauseln übernommen haben. Zunächst sollten sie sich daher einen Überblick über ihren Datentransfer in Drittländer verschaffen, auch um ihrer Dokumentationspflicht nachzukommen, und ihre dortigen Partner schnellstmöglich zum Abschluss der neuen Klauseln auffordern. Denn die Umsetzung der neuen Regeln wird einiges an Zeit in Anspruch nehmen.
Sie haben offene Fragen zur Übermittlung von Daten in Drittländer? Gerne stehen wir Ihnen mit unserem Netzwerk auch als Partner im Bereich EU-Datenschutz zur Verfügung. Sie erreichen uns unter info@msecure.de.
Quelle Titelbild: Adobe Stock / metamorworks
