1. Vereinigtes Königreich wird sicheres Drittland
Nach dem Austritt aus der EU wurde das Vereinigte Königreich zum Drittland. Bisher galt jedoch noch die Übergangsfrist, während derer die Briten noch wie ein EU-Staat betrachtet wurden.
Kurz vor dem Ablauf dieser Übergangsfrist hat nun die Europäische Kommission am 28. Juni 2021 den Angemessenheitsbeschluss zum Vereinigten Königreich verabschiedet. Damit wird dem Vereinigten Königreich ein vergleichbar hoher Standard in Sachen Datenschutz bescheinigt und eine ausreichend sichere Grundlage für Datentransfers europäischer Unternehmen in das Vereinigte Königreich geschaffen.
Dank dieses Beschlusses ist auch weiterhin ein ungehinderter Datentransfer mit dem Vereinigten Königreich möglich.
Im Gegensatz zum Angemessenheitsbeschluss der Schweiz ist dieser jedoch vorerst auf vier Jahre befristet, was bedeutet, dass eine erneute Überprüfung des Datenschutzniveaus stattfinden wird.
Zudem bleibt abzuwarten, ob der Beschluss den EuGH auf den Plan ruft. Hat dieser doch erst vor knapp einem Jahr die Befugnisse der britischen Geheimdienste hinsichtlich der umfassenden Nutzung der Massen-Telekommunikationsdaten verurteilt.
2. Neue EU-Standard-Vertragsklauseln für den Datentransfer in die USA
Standard-Vertragsklauseln (SCCs) sind das am häufigsten verwendete Instrument für internationale Datentransfers – auch für transatlantische Datenflüsse.
Die EU-Kommission hat am 04. Juni 2021 neue Standard-Vertragsklauseln für den internationalen Datentransfer verabschiedet und veröffentlicht.
Die bisherigen Klauseln können noch bis September diesen Jahres genutzt werden. Da jedoch ALLE Datentransfers in Drittländer ohne Angemessenheitsbeschluss der EU bis Ende 2022 auf die Neuen Vertragsklauseln umgestellt werden müssen, empfiehlt es sich, diese bereits jetzt zu nutzen.
Die Tatsache, dass Datentransfers in ALLE Drittstaaten, für die es seitens der EU keinen Angemessenheitsbeschluss gibt (u.a. China und Russland), gesondert geprüft und auf Basis der EU-Standard-Vertragsklauseln vereinbart werden müssen, rückte nach dem „Schrems II – Urteil“ letzten Jahres etwas in den Hintergrund.
Im Fokus standen die USA und alle dort ansässigen Telekommunikations- und Softwareunternehmen, die auch in der EU geschäftlich aktiv sind.
Neu ist, dass sich die verschiedenen Arten von Datenflüssen jetzt in einem Dokument in Form von vier verschiedenen Modulen wiederfinden:
- Übermittlung zwischen zwei Verantwortlichen
- Übermittlung vom Verantwortlichen an den Auftragsverarbeiter
- Übermittlung zwischen zwei Auftragsverarbeitern
- Übermittlung vom Auftragsverarbeiter an den Verantwortlichen.
Für die Praxis von wesentlicher Bedeutung ist die PFLICHT zur Datenschutz-Folgeabschätzung. Man muss sich also dokumentiert davon überzeugen, dass der Vertragspartner im Drittland tatsächlich in der Lage ist, die Auflagen der SCC zu erfüllen.
Es reicht demnach nicht aus, die SCC einfach den Verträgen beizufügen, sondern als Verantwortlicher aktiv und dokumentiert die Einhaltung der SCC zu überprüfen.
Ebenfalls neu ist die Pflicht, Regierungsanfragen abzuwehren, wenn sie den Regelungen der SCC widersprechen und die zuständigen Aufsichtsbehörden hierüber zu informieren.
