DS-GVO: 31. Dezember 2022: Die Umstellungsfrist für alle abgeschlossenen Standardvertragsklauseln läuft
Übertragen Sie personenbezogene Daten in Drittstaaten, z. B., indem Sie Dienste von US-Dienstleistern wie Office 365, die AWS-Cloud, Mailchimp oder Videokonferenzsysteme wie Zoom oder MS Teams nutzen oder personenbezogene Daten an Konzernunternehmen mit Sitz in einem Drittstaat übertragen?
Dann sind Sie bei Neuabschluss bereits seit dem 27. September 2021 und bei bereits bestehenden Verträgen ab dem 1. Januar 2023 verpflichtet, die neuen Standardvertragsklauseln der EU-Kommission zu verwenden. Bereits in der August-Ausgabe 2021 unseres Newsletters hatten wir hierüber informiert.
Bei Nichtbeachtung drohen Bußgelder in Höhe von 4 % des weltweit erzielten Jahreskonzernumsatzes oder bis zu 20 Mio. Euro. Die Aufsichtsbehörden haben eine zeitnahe Überprüfung der Umsetzung dieser Pflichten angekündigt.
Doch mit dem Abschluss der neuen Standardvertragsklauseln ist es nicht getan: Darüber hinaus ist die Vornahme einer Risikoabschätzung erforderlich, d. h. in einem ersten Schritt ist das jeweils im Drittstaat anwendbare Recht zu prüfen und zu beurteilen, ob das dort geltende Schutzniveau angemessen ist. Sofern die Risikoanalyse ergibt, dass im Drittstaat kein angemessenes Datenschutzniveau besteht, sind in einem zweiten Schritt zusätzliche Schutzmaßnahmen zu ergreifen. Dies stellt vor allem mittelständische Unternehmen vor nicht unerhebliche Hürden. Gerade bei US-Dienstleistern besteht ein „Graubereich“. Letztendlich obliegt es dem Verantwortlichen eines Unternehmens zu entscheiden, ob US-Dienste genutzt werden sollen. Wenn US-Dienste weiterhin eingesetzt werden sollen, sollte die Nutzung wenigstens weitestgehend „abgesichert“ werden.
Was am Ende des Einsatzes eines US-Dienstes bleibt ist folglich immer das Risiko, der Datenschutzbehörde die Datenübertragung darlegen zu müssen. Dennoch gilt hier trotzdem, dass, wenn sich schon auf die Standardvertragsklauseln berufen wird, natürlich auch die neuen Dokumente vorliegen müssen.
Was gilt es nun also zu tun?
Da das Abändern der Standardvertragsklauseln ein nicht unerheblicher Aufwand ist und bis Ende 2022 alles auf die neuen Vertragswerke umgestellt sein muss, ist es nun höchste Zeit, sich hiermit zu beschäftigen. Insbesondere mehrere Abstimmungsrunden mit dem jeweiligen Vertragspartner sind hierbei einzuplanen. Letztendlich sollte sich hier auch jeder Verantwortliche die „Kosten-Nutzen“-Frage stellen und für sich ergründen, ob der Mehrwert des US-Dienstes den Kosten- und Zeit-Aufwand für eine möglichst datenschutzkonforme Umsetzung oder eben das Risiko für ein Bußgeld durch die Datenschutzbehörde wirklich wert ist.
Gerne unterstützen wir Sie bei einer datenschutzkonformen Umsetzung.
Ausgabe 10/2022
