Die Europäische Kommission hat eine neue Version der sogenannten Standardvertragsklauseln veröffentlicht (“Standard Contractual Clauses”, kurz SCC). Dieses Update ist von allen Unternehmen zu beachten, die die Dienste von US-Dienstleistern, wie z.B. Microsoft 365, Google, Facebook oder Amazon nutzen und ggfs. Daten mit Standorten außerhalb der EU austauschen.
Die SCC dienen dazu, den Datentransfer mit sog. (Datenschutz) Drittländern (USA, U.K., China, Indien etc.) zu regeln und insbesondere den Datenaustausch mit USA nach dem Wegfall des EU-US Privacy Shield zulässig zu gestalten. Darüber hinaus wurde Ende Mai auch der Beschluss in der EU gefasst, U.K. als nicht sicheres (Datenschutz) Drittland nach dem Brexit einzustufen. Damit gilt auch die Anforderung zum Abschluss des neuen SCC für Standorte oder Dienstleister in U.K..
Nachtrag zum 30.06.2021: Entgegen dem Beschluss des EU-Parlaments hat die EU-Kommission U.K. abschließend als sicheres Drittland eingestuft. Damit bleiben die Anforderungen zur Datenschutzregelung mit Verantwortlichen in U.K. wie vor dem Brexit, d.h. ein Auftragsverarbeitungsvertrag bzw. data processing agreement ist in der Regel ausreichend.
Die neuen Standardvertragsklauseln wurden in den letzten Monaten (endlich) an die DSGVO angepasst und berücksichtigen die EuGH-Rechtsprechung zum Privacy Shield. Folglich müssen alle bestehenden Verträge durch die neuen Standardvertragsklauseln innerhalb von 18 Monaten aktualisiert werden. Neue Verträge sind ab dem 04.06.2021 nur noch auf Basis der neuen Standardvertragsklauseln abzuschließen.
Was ist nun zu tun?
Für fast alle Organisationen wird ein Handlungsbedarf aufgrund der genutzten Dienste innerhalb der Webseiten und sozialen Medien bestehen.
Alle nicht EU-Dienstleister sind hinsichtlich der Verträge zu prüfen und es ist davon auszugehen, dass die großen Anbieter (Microsoft, Google etc.) innerhalb der nächsten Monate darauf reagieren werden. Somit werden diese Anbieter Updates in geeigneter Form zur Verfügung stellen, die dann in der Liste der Auftragsverarbeiter des Datenschutzmanagementsystems (DSMS) zu hinterlegen sind.
Einige kleinere Anbieter haben sich auch nach dem Wegfall des Privacy Shield (2020) mit der Vertragsanpassung „schwer getan“ bzw. nicht geliefert. Diese sind dann spätestens Ende des Jahres direkt zu kontaktiert.
Alle selbst erstellten Verträge sind innerhalb der nächsten 18 Monate zu aktualisieren.
Schlussfolgerung
Die veranschlagten 18 Monate zur Aktualisierung der bestehenden Verträge werden schnell vergehen und es ist damit zu rechnen, dass die Aufsichtsbehörden Verträge mit US-Anbietern bald als unzulässig erklären werden. Aus diesem Grund ist keine Zeit zu verlieren. Leider entsteht damit nach den großen Veränderungen im Jahr 2020 mit Einführung der Consent Tools und dem Wegfall des Privacy Shields erneut ein großer Aufwand zur Aktualisierung der Verträge.
Interessant wird jedoch das weitere Vorgehen zum Privacy Shield, denn die EU hat eine Neuauflage in Aussicht gestellt. Es ist durchaus denkbar, dass einige Anbieter dies bei der Überarbeitung der Verträge berücksichtigen.