Aus für Privacy Shield: Frist für Wechsel auf neue Datenschutzklauseln endet
Die Datenschutzbehörde Niedersachsen weist darauf hin, dass Firmen und Behörden bis kurz vor Jahreswechsel bei Standardvertragsklauseln tätig werden müssen.
(Bild: Ivan Marc/Shutterstock.com)
Wer personenbezogene Daten aus der EU etwa in die USA oder andere Drittstaaten übermittelt, hat möglicherweise dringenden Handlungsbedarf. Die niedersächsische Landesdatenschutzbeauftragte Barbara Thiel erinnerte am Donnerstag daran, dass kurz vor dem Jahreswechsel eine wichtige Frist für solche Unternehmen und vergleichbare Stellen ausläuft. Dies gilt für Datenexporteure, die Transfers auf die sogenannten Standardvertragsklauseln (SVK) nach Artikel 46 der Datenschutz-Grundverordnung (DSGVO) stützen.
Rechtliche Grundlage ungültig
Dabei handelt es sich um Vertragsmuster, die die EU-Kommission verabschiedet hat. Auf dieser Basis können europäische Datenschutzstandards vertraglich zwischen Exporteuren und Importeuren persönlicher Informationen vereinbart werden. Kommen SVK zum Einsatz, dürfen personenbezogene Daten in Drittländer oder an internationale Organisationen ohne weitere Genehmigung der Aufsichtsbehörden ausgeführt werden.
Mit dem Schrems-II-Urteil erklärte der Europäische Gerichtshof (EuGH) im Juli 2020 den transatlantischen "Privacy Shield" und damit eine der wichtigsten Grundlagen für den Transfer von Kundendaten in die USA für ungültig. Als alternatives Instrument für Datenübermittlungen blieben so vor allem noch die SVK übrig. Die EU-Kommission bemühte sich daher, diese Regeln an die Rechtsprechung der Luxemburger Richter anzupassen. Eine neue Version veröffentlichte sie im Juni 2021.
Der entsprechende Beschluss sieht eine stufenweise Ablösung der bisherigen Standardvertragsklauseln vor. Schon seit dem 27. September 2021 müssen für Neuverträge zwingend die neuen SVK verwendet werden. Für Altverträge, die vor dem Stichtag abgeschlossen wurden, hat die Kommission einen Übergangszeitraum zur Umstellung auf die neuen Klauseln bis zum 27. Dezember 2022 vorgesehen. Nach diesem Datum gelten die früheren SVK nicht mehr als "geeignete Garantie" für den Export personenbezogener Daten im Sinne der DSGVO.
Bußgelder möglich
Thiel appellierte an Unternehmen und andere verantwortliche Stellen, jetzt mit Blick auf das nahe Fristende zu prüfen, "ob sie noch personenbezogene Daten auf Grundlage der früheren Standardvertragsklauseln übermitteln". Wenn dem so sei, sollten die Verträge unverzüglich auf die neue Variante umgestellt werden. Andernfalls könne eine Aufsichtsbehörde bei einem Export ohne geeignete Garantien anordnen, diese Transfers auszusetzen. Zudem komme "die Verhängung eines Bußgeldes in Betracht".
Was die vom EuGH im Schrems II-Urteil entwickelten zusätzlichen Anforderungen an den SVK-Einsatz betrifft, hat sich laut Thiel aufgrund der neuen Klauseln nichts geändert. Der Datenexporteur müsse also in jedem Fall die Rechtslage und -praxis des Drittlands prüfen, gegebenenfalls zusätzliche Schutzmaßnahmen wie Verschlüsselung ergreifen oder notfalls sogar die Übermittlung einstellen.
Der Wegfall des "Datenschutzschilds" zwischen der EU und den USA hat viele Unternehmen vor Probleme gestellt. 59 Prozent der Firmen, die Daten zwischen beiden Kontinenten teilten, taten dies laut einer Umfrage des IT-Verbands Bitkom auf Basis des Abkommens. Mittlerweile greift die große Mehrheit auf SVK zurück (91 Prozent). Je ein Viertel verwendet Einwilligungen (27 Prozent) oder sogenannte Binding Corporate Rules (26 Prozent). US-Konzerne wie Google und Microsoft haben die neuen SVK bereits etwa für Produkte mit Cloud-Diensten übernommen beziehungsweise verfügbar gemacht.
(mho)
