Global menu

Our global pages

Close

Neue Regeln für Datenübermittlungen außerhalb der EU

  • Czech Republic
  • Privacy, data protection and cybersecurity

21-09-2021

Die Europäische Kommission hat neue Standardvertragsklauseln („SVK“) für die Übermittlung personenbezogener Daten außerhalb der EU/des EWR erlassen, die ab dem 27.09.2021 anzuwenden sind.

Was genau sind die SVK eigentlich und warum sind sie wichtig?

Datenübermittlungen in die Länder außerhalb der EU (bzw. des EWR) sind ohne Weiteres nur in Länder zulässig, bei denen die EU durch einen besonderen Beschluss ein angemessenes Schutzniveau anerkannt hat. In jüngster Zeit ist dies beispielsweise bei Datenübermittlungen nach Großbritannien oder Japan der Fall.

Datenübermittlungen in andere Länder außerhalb der EU sind grundsätzlich nur möglich, wenn angemessene Garantien für den Datenschutz durch den Datenexporteur und Datenimporteur geschaffen sind. Und gerade die SVK sind das grundlegende und in der Praxis mit Abstand am weitesten verbreitete Instrument, mit dem solche angemessenen Garantien gemäß der DSGVO geschaffen werden können.

Die SVK stellen ein verbindliches Muster eines Vertrags zwischen dem Datenexporteur aus der EU (Verantwortlichen bzw. neu auch dem Auftragsverarbeiter) und dem Datenempfänger aus einem Drittland (Verantwortlicher oder Auftragsverarbeiter) dar, dessen Wortlaut von der Europäischen Kommission veröffentlicht wird.

Was hat sich eigentlich geändert?

Im Juni 2021 hat die Europäische Kommission als Ersatz für die ursprünglichen SVK (zuletzt aktualisiert im Jahr 2010) neue SVK erlassen, sowohl im Lichte der neuen DSGVO-Anforderungen, als auch insbesondere als Reaktion auf europäische Gerichtsentscheidungen zur Datenübermittlung in die USA (schrittweise Abschaffung der Übermittlungsmechanismen Safe Harbour und anschließend schließlich auch Privacy Shield).

Eine grundlegende konzeptionelle Änderung ist die Erweiterung des Anwendungsbereichs der neuen SVK basierend auf einem modularen Ansatz. Die neuen SVK regeln in einem Set vier verschiedene Klauselmodule, die neben den Standardbeziehungen zwischen dem Datenexporteur und Datenimporteur (Verantwortlicher – Verantwortlicher und Verantwortlicher – Auftragsverarbeiter) nun ganz neu auch die Beziehungen Auftragsverarbeiter – Auftragsverarbeiter und Auftragsverarbeiter – Verantwortlicher regeln. Der Datenexporteur und der Datenimporteur müssen entsprechend ihrer Beziehung das passende Modul und die relevanten Bestimmungen auswählen, Klausel und deren Anhänge ausfüllen und schließen.

Darüber hinaus bringen die neuen SVK detaillierte und einige ganz neue Pflichten für den Datenexporteur und den Datenimporteur, und stärken die Rechte der Betroffenen in Bezug auf Datenübermittlungen und deren Durchsetzung, ermöglichen den Beitritt von weiteren Parteien oder regeln detailliertere Sicherheits- oder Kontrollpflichten.

Was und wann müssen Sie tun?

Insbesondere müssen alle Verantwortlichen und Auftragsverarbeiter unverzüglich prüfen, ob und ggf. auf welcher Rechtsgrundlage sie personenbezogene Daten (z.B. ihrer Mitarbeiter und Webbesucher) außerhalb der EU übermitteln oder teilen.

Wenn sie für solche Übermittlungen die ursprünglichen SVK nutzen, müssen sie als Datenexporteure folgende Schritte durchführen:

  • Nur noch bis zum 27.09.2021 kann auch die alte ursprüngliche Fassung der SVK genutzt werden. Ab dem 27.09.2021 dürfen für neu geschlossene Beziehungen im Zusammenhang mit der Datenübermittlung außerhalb der EU nur noch die neuen SVK genutzt werden
  • Spätestens bis zum 27.12.2021 müssen Sie die ursprünglichen geschlossenen alten SVK ersetzen und mit den Datenimporteuren neue SVK schließen.

Welche Sanktionen gibt es?

Wenn Sie nicht spätestens zu den oben genannten Terminen mit der Nutzung der neuen SVK beginnen oder die ursprünglichen SVK ersetzen, sind weitere Datenübermittlungen auf Grundlage der ursprünglichen SVK rechtswidrig. In einem solchen Falle drohen Ihnen nicht nur hohe Bußgelder von den zuständigen (auch ausländischen) Aufsichtsbehörden, sondern Sie haften auch direkt für (auf Seiten des Datenimporteurs verursachte) Schäden gegenüber den direkt betroffenen natürlichen Personen.