Prüfung internationaler Datentransfers durch die Datenschutzaufsichtsbehörden - neue Vorgaben nach Schrems II
Standardvertragklauseln (Standard Contractual Clauses SCC), Privacy Shield nicht mehr ausreichend - Schrems-II-Entscheidung des EuGH vom 16.07.2020, neue Module 1-4
Lange galt die Übermittlung von Daten in Drittländer, wie die USA, unter Zugrundelegung des 2016 festgelegten Privacy Shield-Abkommens als das „Maß der Dinge“, was die datenschutzrechtliche Seite der Übermittlungen anbelangt.
Diese lange praktizierten Standardvertragsklauseln nach Privacy Shield wurden am 16.07.2020 vom europäischen Gerichtshof als „nicht mehr ausreichend“ bewertet und für ungültig erklärt. Seitdem gilt die Verwendung zusätzlich wirksamer Maßnahmen, sofern die Prüfung des Verantwortlichen ergeben hat, dass im Empfängerstaat kein EU-gleichwertiges Schutzniveau für personenbezogene Daten gewährleistet werden kann. Das neue Urteil – Schrems II – erfordert somit in vielen Fällen eine grundlegende Umstellung bereits lange praktizierter Geschäftsabläufe.
Nun prüfen die Datenschutzaufsichtsbehörden, inwieweit zusätzliche Maßnahmen gemäß Schrems II-Entscheidung bei Verantwortlichen bereits umgesetzt wurden. Dabei wenden die bei dieser Prüfung teilnehmenden Behörden einen gemeinsamen Fragenkatalog an, der unter anderem den Einsatz von Dienstleistern zum E-Mail-Versand, zum Hosting von Internetseiten, zum Webtracking, zur Verwaltung von Bewerberdaten sowie den konzerninternen Austausch von Kundendaten und Daten der Beschäftigten abfragt. Jede Aufsichtsbehörde entscheidet individuell, welches Themengebiet sie bei der jeweiligen Institution aufgreift und prüft. Ziel ist, die klare Erwartungsvorgabe des europäischen Gerichtshofes umzusetzen, unzulässige Datentransfers auszusetzen oder gänzlich zu verbieten. Dabei können die Aufsichtsbehörden die zur Verfügung stehenden aufsichtsrechtlichen Maßnahmen / Strafen anwenden, um die vom EuGH erwartete Rechtsprechung durchzusetzen.
Für Hilfe und Umsetzung der neuen Standardvertragsklauseln (Standard Contractual Clauses – SCC), Frist bis : 27.12.2022, mit den jeweiligen Modulen 1-4 stehen wir Ihnen mit Rat und Tat zur Verfügung.
Modul 1: Übermittlung zwischen Verantwortlichen
Modul 2: Übermittlung von einem Verantwortlichen an einen Auftragsverarbeiter
Modul 3: Übermittlung von einem Auftragsverarbeiter an einen weiteren (Unter-) Auftragsverarbeiter und
Modul 4: Übermittlung von einem Auftragsverarbeiter an einen Verantwortlichen.
Nehmen Sie gerne Kontakt mit uns auf.