Erinnerung: Ablauf der Übergangsfrist zur Umstellung auf neue Standardvertragsklauseln

Die Übermittlung personenbezogener Daten wird seit dem Fall des EU-US-Privacy-Shields als sog. Angemessenheitsbeschluss (Art. 45 Abs. 3 DSGVO) überwiegend auf die Standardvertragsklauseln i.S.d. Art. 46 Abs.2 lit. c DSGVO gestützt. Die Europäische Kommission hat im Juni 2021 neue, modular aufgebaute Standardvertragsklauseln erlassen. Diese sind seit dem 27. September 2021 zwingend für alle Neuverträge mit Drittlandsbezug zu verwenden. Für bestehende Altverträge wurde eine Übergangsfrist eingeräumt, in der eine Umstellung auf die neuen Standardvertragsklauseln zu erfolgen hat. Diese neigt sich nun dem Ende zu. Bis spätestens 27. Dezember 2022 müssen alle Verträge, die auf Grundlage der alten Standardvertragsklauseln abgeschlossen wurden, auf die neuen Standardvertragsklauseln umgestellt werden. Auf diesem Wege möchten wir Sie auf die wesentlichen Punkte aufmerksam machen und Ihnen einen kurzen Guide für das weitere Vorgehen an die Hand geben.

Was geschieht nach Ablauf der Umsetzungsfrist?

Die Umsetzungsfrist bis zum 27. Dezember 2022 ist bindend. Eine Verlängerung ist nicht möglich. Mit Ablauf der Umsetzungsfrist werden „alte“ Standardvertragsklauseln unwirksam und stellen somit keine wirksame Rechtsgrundlage für einen Datentransfer in ein Drittland mehr dar.

Was kann passieren?

Es ist naheliegend, dass die Behörden bis Mitte nächsten Jahres eine koordinierte Prüfung zu internationalen Datentransfers durchführen. Sofern eine Aufsichtsbehörde feststellt, dass die Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation ohne geeignete Garantien, bspw. ohne wirksame Standardvertragsklauseln, stattfindet, kann diese das Aussetzen der Übermittlung anordnen. Die wohl schwerwiegendere Folge wohl die Verhängung eines Bußgeldes sein. Vom möglichen Imageschaden bei Bekanntwerden in der Öffentlichkeit ganz zu schweigen.

Was ist zusätzlich erforderlich?

Auch bei Verwendung der neuen Standardvertragsklauseln muss der Datenexporteur die Rechtslage und tatsächliche Praxis des Drittlandes überprüfen und zusätzliche Maßnahmen, wie ein sog. „Transfer Impact Assessment“ – TIA, ergreifen. Die Durchführung des TIA dient der Feststellung, ob die Rechtslage bzw. Praxis des Drittlandes einen negativen Einfluss auf das durch die Standardvertragsklauseln gewährleistete Schutzniveau haben kann bzw. ob der Datenimporteur das durch die Standardvertragsklauseln vereinbarte Schutzniveau auch tatsächlich gewährleisten kann.

Zusammenfassend: Welche Maßnahmen sind bis zum Ablauf der Übergangsfrist zu treffen?

1. Prüfung der Datenübermittlungen und Dienstleistern mit Drittlandsbezug im Unternehmen
2. Prüfung, ob bereits die neuen SCC geschlossen worden sind, falls nein: umgehender Abschluss der neuen SCC mit dem Vertragspartner
3. Prüfung, ob Durchführung eines TIA erforderlich; falls ja und noch nicht geschehen: umgehende Durchführung und Dokumentation der Ergebnisse
4. Aktualisierung des Verarbeitungsverzeichnisses

Gerne unterstützen wir Sie bei jedem Schritt der Umsetzung.