Dienstleister außerhalb der EU: Unternehmen müssen Neuerungen im internationalen Datentransfer umsetzen

Die Europäische Kommission hat eine neue Version der sogenannten Standardvertragsklauseln veröffentlicht. Dieses Update müssen fast alle Unternehmen beachten, da es vor allem den Einsatz von US-Dienstleistern, wie z.B. Microsoft, Google, Facebook oder Amazon Web Service als Dienstleister oder als Subdienstleister betrifft.

Darüber hinaus verabschiedete die EU-Kommission am 28.06.2021 den Angemessenheitsbeschluss für Datentransfers nach Großbritannien. Damit gilt Großbritannien datenschutzrechtlich auch nach dem Brexit für 5 Jahre als „sicheres Drittland“.

Gern unterstützen Sie Ihre Datenschutzexperten von ECOIVS bei der Umsetzung der weiter nötigen Schritte, wenn dies bisher noch nicht erfolgt ist.

EU-USA: neue Standardvertragsklauseln veröffentlicht

Die neuen Standardvertragsklauseln sind endlich an die DSGVO angepasst, berücksichtigen die EuGH-Rechtsprechung zum Privacy Shield und sind modular aufgebaut. Allerdings müssen alle bereits abgeschlossenen Standardvertragsklauseln, insbesondere mit US-Anbietern, spätestens innerhalb von 18 Monaten aktualisiert werden.

Eine wesentliche Änderung ist der neue modularen Aufbau der Standardvertragsklauseln. So können die für alle Fälle geltenden Klauseln beibehalten werden, während die flexiblen Module entsprechend dem Verhältnis der Parteien zueinander ausgewählt werden:
In der Praxis werden die Standardvertragsklauseln in der Regel von den Dienstleistern in diesen Formen bereitgestellt:

• Individueller Vertrag – vor allem bei Vertragsschlüssen mit Unternehmen, die nicht im großen Umfang für EU-Kunden tätig sind, werden die Standardvertragsklauseln in Form eines Vertrages vorgelegt (meistens als PDF-Datei), der dann der individuell unterschrieben oder signiert wird oder als
• Bestandteil von AGB – große US-Anbieter bieten Standardvertragsklauseln als Teile oder Anhänge zu ihren AGB an, so dass die Standardvertragsklauseln automatisch mit dem Vertragsschluss abgeschlossen werden.

Beide Arten des Abschlusses der Standardvertragsklauseln sind zulässig.

Handlungsbedarf: Unternehmen müssen aktiv werden

Aufgrund ihrer Natur als Vertragsklauseln können auch die neuen Standarddatenschutzklauseln etwaige Konflikte mit nationalem Recht von Drittstaaten in letzter Konsequenz nicht abschließend lösen. Die EU-Kommission weist in ihrem Beschluss zu den Standarddatenschutzklauseln (Rn. 19) sogar ausdrücklich darauf hin, dass der Transfer personenbezogener Daten auf Basis der Standarddatenschutzklauseln nicht stattfinden sollte, wenn das Recht und die Rechtspraxis in Drittstaaten den Datenimporteur daran hindern, die vertraglichen Verpflichtungen einzuhalten. Deshalb sollte eine entsprechende Erklärung von Dienstleister eingeholt werden. Rechtssicherheit besteht also weiterhin nicht wirklich.

Für die Unternehmen gelten folgende Umsetzungsfristen ab dem 15.06.2021:

• 27.06.2021: Inkrafttreten (20 Tage nach Veröffentlichung im Amtsblatt der EU). Die neuen Standardvertragsklauseln können verwendet werden.
• Bis 27.09.2021: Drei Monate lang dürfen noch die bisherigen Standardvertragsklauseln vereinbart werden.
• Ab 27.09.2021: Ab diesem Zeitpunkt dürfen bei Vertragsabschlüssen ausschließlich noch die neuen Standardvertragsklauseln abgeschlossen werden.
• 27.12.2022: Spätestens bis zu diesem Zeitpunkt müssen die bisherigen Standardvertragsklauseln auf die neuen umgestellt werden.

EU-UK: Ab dem 01.07.2021 gilt Großbritannien als datenschutzrechtliches sicheres Drittland

Anlässlich des zum 30.12.2020 vollzogenen Brexit war Großbritannien eine Übergangsfrist bis zum 01.07.2021 eingeräumt worden, unter der es datenschutzrechtlich noch als Teil der EU gilt. Bis zum Fristablauf sollte ein Angemessenheitsbeschluss für den Inselstaat verabschiedet werden, um für das Vereinigte Königreich die hohen datenschutzrechtlichen Anforderungen an Drittstaatentransfers abzuwenden. Nachdem am 20.05.2021 die Beschlussfassung zunächst im EU-Parlament scheiterte, ist nun am 28.06.2021 ein Angemessenheitsbeschluss von der EU gebilligt worden. Damit gilt Großbritannien ab sofort datenschutzrechtlich weitestgehend als „sicheres Drittland“.

Für die meisten Unternehmen mit Handelsbeziehungen zu Großbritannien ist diese Adäquanzentscheidung ein Grund zum Aufatmen. Immerhin befreit sie von der Pflicht, eigenständig geeignete Datensicherheitsgarantien einzurichten und anzuwenden. Allerdings läuft der Beschluss nach 5 Jahren automatisch ab und muss erneuert werden. Auch dies ist sicherlich keine gute Basis für langfristige IT-Infrastrukturentscheidungen in Unternehmen.