14.07.2022 10:35
Wie gehen wir derzeit mit der gesetzlichen Regelung der Übermittlung personenbezogener Daten in Drittländer um? Lesen Sie den Artikel von Dozenten Moravek hier:
Wahrscheinlich wurden Sie in letzter Zeit von Internetanbietern mit Infrastruktur außerhalb der EU angesprochen und gebeten, einer Änderung der Vertragsunterlagen zuzustimmen. Wenn dies noch nicht geschehen ist und auch in nächster Zeit nicht geschehen wird, aus den nachstehend genannten Gründen, empfehlen wir Ihnen, den Anbieter aufzufordern, die Vertragsunterlagen zu ändern. Ohne entsprechende Änderungen besteht die Gefahr von Sanktionen durch die Datenschutzbehörde. Die Gründe dafür sind wie folgt.
Die Datenschutzgesetzgebung unterscheidet (Artikel 44 an. GDPR) zwischen Ländern, die ein angemessenes Schutzniveau für personenbezogene Daten bieten, das mit dem Standard der europäischen Gesetzgebung vergleichbar ist. Bei diesen Ländern handelt es sich um die EU- und EWG-Mitgliedstaaten sowie um Länder, die von der Europäischen Kommission in ihrem Angemessenheitsbeschluss als sicher eingestuft wurden (Anmerkung: Derzeit gelten Länder, die das Übereinkommen des Europarats zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten von 1981 ratifiziert haben, nicht mehr ohne weiteres als sicher). In anderen Fällen, wenn die Daten an einen für die Verarbeitung Verantwortlichen oder einen Auftragsverarbeiter außerhalb eines sicheren Landes im soeben erwähnten Sinne übermittelt werden sollen, sind geeignete Garantien erforderlich (Artikel 46 GDPR). Nur wenn die Annahme angemessener Garantien nicht möglich ist, kann die Übermittlung personenbezogener Daten auf der Grundlage einer der in Artikel 49 GDPR formulierten Ausnahmen erfolgen.
Die Mittel zur Gewährleistung eines angemessenen Schutzniveaus bei der Übermittlung personenbezogener Daten in Drittländer sind (vereinfacht ausgedrückt) sowohl (Artikel 47 GDPR) verbindliche unternehmensinterne Vorschriften, die in erster Linie für Unternehmensgruppen gedacht sind, als auch die in der Kommissionsentscheidung enthaltenen Standardvertragsklauseln.
Die Standardvertragsklauseln gelten sowohl für Verwalter – Bearbeiter als auch für Verwalter – Verwalter-Beziehungen.
Ihre Funktionsweise ist einfach. Sie müssen nur in den vertraglichen Beziehungen der betroffenen Parteien umgesetzt werden.
In der Vergangenheit gab es mehrere Entscheidungen der Kommission zu Standardvertragsklauseln. Im Anschluss an die GDPR, und dies ist für die oben genannte Mitteilung relevant, insbesondere für Anbieter von Internet- und anderen ähnlichen Diensten, wurden diese durch den Beschluss Nr. 2021/914 der Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates ersetzt, der einen universellen Satz modularer Standardvertragsklauseln enthält, die für alle derartigen Beziehungen gelten.
Somit können seit dem 27. September 2021 die bisherigen Standardvertragsklauseln nicht mehr verwendet werden und der Beschluss Nr. 2021/914 muss in allen Fällen befolgt werden.
Darüber hinaus ist vorgesehen, dass bis zum 27. Dezember 2022 alle vor dem 27. September 2021 geschlossenen Verträge, bei denen der frühere Beschluss der Kommission über Standardvertragsklauseln als Schutzmittel verwendet wurde, durch den Beschluss Nr. 2021/914 der Kommission oder durch Standardvertragsklauseln im Einklang mit diesem Beschluss ersetzt werden müssen.
In diesem Zusammenhang sei daran erinnert, dass nach der Entscheidung des EU-Gerichtshofes in der Rechtssache Schrems II (C-311/18) Standardvertragsklauseln nicht ohne weiteres als Mittel zur Gewährleistung eines angemessenen Schutzniveaus bei der Übermittlung personenbezogener Daten angesehen werden können. Es ist stets im Voraus zu prüfen, ob die Vertragsklauseln unter Berücksichtigung der Rechtsvorschriften, des Niveaus der Rechtsstaatlichkeit und der Anwendung ihrer Grundsätze sowie anderer relevanter Umstände ein ausreichendes Schutzniveau für den Datenempfänger in dem Drittland bieten. Die Bewertung dieser Aspekte sollte in Zusammenarbeit mit einer zuständigen Person (oder Staatsbehörde) im Drittland erfolgen. Im Falle eines positiven Abschlusses können die Standardvertragsklauseln ohne zusätzliche Garantien verwendet werden. Andernfalls sollten zusätzliche (technische, vertragliche, organisatorische) Garantien ergriffen werden, um den Schutz der übermittelten Daten zu verstärken. Hinsichtlich zusätzlicher Garantien kann auf die Empfehlung Nr. 1/2020 des Europäischen Datenschutzausschusses vom 10. November 2020 über Maßnahmen zur Ergänzung von Übermittlungsinstrumenten zur Gewährleistung der Einhaltung des Schutzniveaus personenbezogener Daten in der EU verwiesen werden.
Wir sind uns bewusst, dass die Problematik und die rechtliche Regelung des Schutzes personenbezogener Daten relativ kompliziert ist und die rechtliche Regelung der Weitergabe personenbezogener Daten an Drittländer besonders kompliziert ist. Wenn Sie also Fragen haben, zögern Sie bitte nicht, uns zu kontaktieren. Wir sind bereit, Ihnen umgehend Unterstützung und Hilfe zu leisten.
Diese Nachricht wurde für Sie von Dozenten JUDr. Jakub Morávek, Ph.D., Rechtsanwalt und Partner vom Anwaltsbüro Felix a spol., GmbH, vorbereitet.