Übermittlung personenbezogener Daten in Drittländer und die neuen Standardvertragsklauseln Teil I

Rechtmäßige Übermittlung personenbezogener Daten in DrittländerAufgaben von Datenschutzbeauftragten

Für die rechtmäßige Übermittlung von personenbezogenen Daten in Länder außerhalb der EU bzw. des EWR gibt es zwei Prüfschritte:
1. Es wird eine Rechtsgrundlage benötigt. Hier kommt vorwiegend Art. 6 DSGVO (z.B. Abs. 1 a) „Einwilligung“ der betroffenen Person) in Betracht.
2. Es muss ein angemessenes Schutzniveau für den Schutz personenbezogener Daten im Drittland des Empfängers  bestehen.

Ein angemessenes Schutzniveau im Drittland besteht zunächst in Fällen, in denen die EU-Kommission einen Angemessenheitsbeschluss für das jeweilige Drittland erlassen hat.

Liegt ein solcher Angemessenheitsbeschluss nicht vor, muss ein angemessenes Schutzniveau durch geeignete Garantien gem. Art. 46 Abs. 2 DSGVO hergestellt werden.
Hierfür gibt es nun eine neue Hilfestellung der EU-Kommission im Wege von neuen Standardvertragsklauseln im Sinne von Art. 46 Abs. 2 c) DSGVO. Hierbei handelt es sich um Musterverträge, die die Daten-übermittelnde Partei und die Daten-empfangende Partei zur Einhaltung eines mit der EU vergleichbaren Datenschutzniveaus verpflichten.

Wir erinnern uns alle an das Shrems-II Urteil vom 16.07.2020.

Nach diesem Urteil wurde den Unternehmen geraten, mit ihren Vertragspartnern aus den USA, die ja nun nicht mehr zu den sicheren Drittländern gehören (und um ehrlich zu sein, nie wirklich dazu gehört haben), unter anderem Standardvertragsklauseln abzuschließen. Allerdings waren diese Standardverträge teilweise noch mehr als 5 bzw. 10 Jahre alt und basierten noch auf altem Recht. Es wurde insofern dringend Zeit, neue Standardvertragsklauseln zu erlassen. Und diese sind nun endlich da.

Neue Standardvertragsklauseln

Die neuen Standardvertragsklauseln sind modular aufgebaut, das heißt es gibt nur noch ein Vertragswerk, aus dem Sie die für Sie einschlägige Situation auswählen können:

  • Modul 1: Übermittlung zwischen Verantwortlichen
  • Modul 2: Übermittlung von einem Verantwortlichen an einen Auftragsverarbeiter
  • Modul 3: Übermittlung von einem Auftragsverarbeiter an einen weiteren (Unter-) Auftragsverarbeiter
  • Modul 4: Übermittlung von einem Auftragsverarbeiter an einen Verantwortlichen

Beauftragen Sie also z.B. einen nichteuropäischen Auftragsverarbeiter, müssen Sie beim Einsatz der neuen Standardvertragsklauseln nur noch ein Regelwerk abschließen, da die Module 2 und 3 die Anforderungen des Art. 28 DSGVO an einen Auftragsverarbeitungsvertag erfüllen. Mit Modul 3 haben nun auch europäische Auftragsverarbeiter, die nicht europäische Subdienstleister beauftragen, ein datenschutzrechtskonformes Vertragswerk zur Verfügung. Außerdem können die neuen Standardvertragsklauseln zwischen mehr als zwei Parteien geschlossen werden oder weitere Parteien können diesen später (mit Zustimmung der Vertragsparteien) beitreten.

Sie befinden sich gerade in Vertragsverhandlungen und haben die alten Standardvertragsklauseln schon eingebracht?

Bis zum 27.09.2021 dürfen noch die bisherigen Standardvertragsklauseln vereinbart werden. Hiermit soll verhindert werden, dass Unternehmen in bereits laufenden Vertragsverhandlungen hinsichtlich der Standardvertragsklauseln wieder neu in Verhandlungen einsteigen müssen.

Ab dem 27.09.2021  dürfen bei Vertragsabschlüssen ausschließlich die neuen Standardvertragsklauseln abgeschlossen werden.

Sie haben schon Standardvertragsklauseln abgeschlossen. Müssen Sie jetzt noch etwas tun?

Ja. Sie müssen Ihre alten, bereits im Umlauf befindlichen Standardvertragsklauseln auf die neuen Vertragsklauseln umstellen. Sie haben aber Zeit bis zum 27.12.2022.

Mit der Erneuerung der Vertragswerke sollten Sie sich nicht zu viel Zeit lassen, denn die neuen Standardvertragsklauseln setzen eine vorherige Analyse möglicher Risiken im Bestimmungsland voraus. Das bedeutet für Sie, dass Sie sich mit den Rechtsvorschriften des jeweiligen Drittlandes auseinandersetzen müssen und bewerten müssen welche Auswirkung diese auf die Einhaltung der Klauseln haben können und die Übermittlung der Daten. Diese Analyse ist zu dokumentieren und auf Anfrage der Datenschutzbehörde vorzulegen.

Wenn Sie Fragen haben, sprechen Sie uns gerne an.

Weitere Beiträge

Markenanmeldung einfach erklärt

Sie haben ein Produkt und jeder soll wissen, dass es zu Ihrer Firma gehört. Um einen Wiedererkennungswert zu schaffen, denken Sie sich einen passenden Namen für das Produkt aus. Sie betreiben ein kostenintensives Marketing und investieren in die Qualität des

Mehr lesen »
Inge Seher 16. April 2024

AÜG für die IT 2024 Teil II

III. Abgrenzbares/ dem Auftragnehmer als eigene Leistung zurechenbarer Auftrag Wie sollen die Einzelverträge /SOWs/ Aufträge formuliert sein? 1.) Abgrenzbares Werk Nach der Rechtsprechung soll es entscheidend sein, ob ein abgrenzbares, dem Auftragnehmer als eigene Leistung zurechenbares Werk, vertraglich vereinbart ist

Mehr lesen »
Stefan G. Kramer 8. April 2024

Markenschutzfähigkeit bejaht für #darferdas

Die Entscheidung des BGH ist bereits vom 30.01.2020 (Az. I ZB 61/17 (pdf)). Sie zeigt aber, wie schwierig es sein kann, eine Marke anzumelden, die nicht aus reinen Phantasie-Wörtern oder Begriffen besteht und vielleicht auch nicht besonders originell ist. Angemeldet wurde die Marke

Mehr lesen »
Inge Seher 5. April 2024

Rechtliches

Datenschutzhinweis

Pflichtangaben/ Impressum

Kontakt

Kramer & Partner mbB Hamburg
Deichstr. 1
20459 Hamburg
Telefon: 040 – 349 603 0
Telefax: 040 – 349 603 20
E-Mail: info@anwaltskanzlei-online.de

Copyright © 2024 Kramer & Partner Rechtsanwälte mbB
Nach oben scrollen