Mehr Sicherheit für Unternehmen bei brennenden Datenschutzfragen: Die EU-Kommission hat die Standardvertragsklauseln erneuert und den Datenschutz des Vereinigten Königreiches als gleichwertig mit dem in der Europäischen Union beurteilt.
Im Juli 2020 erklärte der Europäische Gerichtshof nicht nur das EU-US-Privacy Shield in seinem „Schrems II“-Urteil für unzureichend. Er entschied auch, dass die Standardvertragsklauseln (SCC) weiterhin gültig sind, die einen weiteren Mechanismus für die Übermittlung von Daten aus dem Europäischen Wirtschaftsraum (EWR) darstellen. Diese müssen jedoch durch zusätzliche Maßnahmen, zum Beispiel Verschlüsselung, ergänzt werden, wenn sie in dem Land, das die Daten erhält, nicht durchsetzbar sind. Die Standardvertragsklauseln sind nach wie vor die wichtigste Methode der Datenübermittlung.
Standardvertragsklauseln aktualisiert
Am 4. Juni 2021 hat die EU-Kommission zwei neue Sätze von Standardvertragsklauseln veröffentlicht. Diese sollen Unternehmen helfen, einige der heiklen Fragen zu klären, die das "Schrems II"-Urteil aufgeworfen hat.
Ein Satz deckt Datenübermittlungen zwischen für die Verarbeitung Verantwortlichen und Auftragsverarbeitern innerhalb des EWR ab, wodurch eine Art Standard-Datenverarbeitungsvertrag entsteht. Die Verwendung dieser Standardvertragsklauseln ist nicht verpflichtend.
Der andere Satz regelt die möglichen Arten der Übermittlung personenbezogener Daten in ein Drittland. Laut Kommission berücksichtigt er die Anforderungen der Datenschutzgrundverordnung (DSGVO) und das "Schrems II"-Urteil des Europäischen Gerichtshofs und gewährleistet ein hohes Datenschutzniveau. Diese vereinheitlichten Standardvertragsklauseln sollen den Unternehmen eine einfach umzusetzende Vorlage zur Einhaltung der Datenschutzbestimmungen bieten.
Die neuen Klauseln für Datentransfers aus dem EWR folgen einem modularen Ansatz und man wählt die entsprechenden Module aus. Dadurch decken die Klauseln die unterschiedlichen Konstellationen ab: zwischen zwei für die Verarbeitung Verantwortlichen, zwischen für die Verarbeitung Verantwortlichen und Auftragsverarbeitern, zwischen Auftragsverarbeitern und zwischen für die Verarbeitung Verantwortlichen.
Freier Datenfluss auch nach dem Brexit
Darüber hinaus hat der Ende des Jahres vollzogene Brexit für Unsicherheit bei Datenübermittlungen gesorgt. Denn das Vereinigte Königreich wurde gegenüber der EU zu einem Drittland und Datentransfers mussten neu organisiert werden.
Mit ihren jüngsten Entscheidungen hat die Europäische Kommission mehr Klarheit für Unternehmen geschaffen.
In ihrem Angemessenheitsbeschluss vom 28. Juni 2021 hat die EU-Kommission festgestellt: Das im Vereinigten Königreich geltende Datenschutz-Niveau ist gleichwertig mit dem der EU-GDPR. Auch nach dem Brexit können also personenbezogene Daten ungehindert aus der Europäischen Union in das Vereinigte Königreich fließen. Es gibt jedoch eine Verfallsklausel, die den Beschluss nach vier Jahren aufhebt, um die Datenschutzvorschriften des Vereinigten Königreichs neu zu bewerten.
Ein neuer Anhang 21 zum Data Protection Act 2018 des Vereinigten Königreichs regelt: Die Übermittlung personenbezogener Daten von dort in den EWR, die Schweiz und nach Gibraltar ist von den Angemessenheitsregelungen abgedeckt. Daher sind hier keine weiteren Garantien oder Ausnahmeregelungen für solche Übermittlungen erforderlich.
Was bedeutet die jüngste EU-Entscheidung zur Angemessenheit des Datenschutzes im Vereinigten Königreich für Ihr Unternehmen? Was könnte sie für Ihre EU- und Nicht-EU-Kunden heißen? Mögliche Antworten darauf bietet der englischsprachige Leitfaden International Transfers – where are we now? der britischen Anwaltskanzlei Clayden Law.
Lesen Sie auch, wie DocuWare Sie bei der Compliance unterstützt.