Wichtige Hinweise für den Transfer personenbezogener Daten in Drittländer
1. Angemessenheitsbeschluss Vereinigtes Königreich
Die EU-Kommission hat mit ihrem Durchführungsbeschluss vom 28. Juni 2021 rechtzeitig vor dem Ende der BREXIT-Übergangsfrist am 30. Juni 2021 gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates die Angemessenheit des Datenschutzniveaus im Vereinigten Königreich festgestellt. Damit ist das Vereinigte Königreich betreffend Datentransfers bis zum Jahr 2025 einem EU-Mitgliedsstaat gleichgestellt und für den Datentransfer kommen die Bestimmungen der Datenschutzgrundverordnung (DSGVO) für Drittländer für vier Jahre nach Inkrafttreten, also bis 27. Juni 2025 nicht zur Anwendung. Dabei wird die Kommission jedoch den Rechtsrahmen im Vereinigten Königreich überwachen und hat sich vorbehalten, den Beschluss auszusetzen, aufzuheben oder abzuändern, falls der Kommission Hinweise darauf vorliegen, dass ein angemessenes Schutzniveau nicht mehr gewährleistet ist.
2. Die Anwendung neuer EU- Standardvertragsklauseln
Die EU-Kommission hat mit Durchführungsbeschluss (EU) 2021/914 vom 4. Juni 2021 für internationale Datentransfers neue Standarddatenschutzklauseln beschlossen, von der Kommission nun als „EU-Standardvertragsklauseln“ bezeichnet. Diese berücksichtigen die Bestimmungen der DSGVO und die Kriterien des Europäischen Gerichtshofs aus seinem Urteil Schrems II. Ohne an dieser Stelle im Detail auf die Unterschiede zu den bisherigen Standarddatenschutzklauseln einzugehen, haben sie einen deutlich breiteren Anwendungsbereich und sind modular aufgebaut. Wichtig ist jedoch, die zeitliche Anwendbarkeit im Auge zu behalten, da diese bei internationalen Datentransfers für neue Verträge ab dem 27. September 2021 verwendet werden müssen. Bei Altverträgen gilt, dass diese bis zum 27. Dezember 2022 auf die neuen EU-Standardvertragsklauseln umgestellt sein müssen oder bereits früher, falls sich der Verarbeitungsvorgang ändert. Für Altverträge ist jedenfalls auch zu beachten, dass nach der herrschenden Rechtslage die Verwendung der alten Standartvertragsklauseln nur dann ausreicht, wenn damit tatsächlich geeignete Garantien zum Schutz personenbezogener Daten gewährleistet sind. Bei Berücksichtigung der konkreten Verarbeitung und des Rechts des Drittlandes können dafür auch zusätzliche Maßnahmen und ergänzende Garantien notwendig sein.
3. Empfehlung des Europäischen Datenschutzausschusses für zusätzliche Maßnahmen bei internationalen Datentransfers
Ausgangspunkt für die Empfehlung war genau diese Überprüfung, ob die Standarddatenschutzklauseln oder die anderen in Art 46 DSGVO genannten Datentransfergrundlagen für einen konkreten Datentransfer in ein Drittland ausreichen, um die geeigneten Garantien sicherzustellen. Insbesondere die Überprüfung der Situation in Drittländern und der Identifizierung allenfalls notwendiger geeigneter zusätzlicher Maßnahmen ist komplex. Der Europäische Datenschutzausschuss hat dazu am 18. Juni 2021 eine Empfehlung in seiner finalen Fassung veröffentlicht, die ein 6-stufiges Prüfverfahren vorschlägt und besonders in Anhang 2 auch eine Reihe von Beispielen für zusätzliche Maßnahmen enthält. Dadurch sollen Verantwortliche oder Auftragsverarbeiter, die personenbezogenen Daten in ein Drittland übermitteln, bei genau dieser Überprüfung unterstützt werden.
Hinweis: Dieser Blog stellt lediglich eine generelle Information und keineswegs eine Rechtsberatung von Binder Grösswang Rechtsanwälte GmbH dar. Der Blog kann eine individuelle Rechtsberatung nicht ersetzen. Binder Grösswang Rechtsanwälte GmbH übernimmt keine Haftung, gleich welcher Art, für Inhalt und Richtigkeit des Blogs.