Die „Gnadenfrist“ der Europäischen Kommission für Datentransfers in Drittstaaten auf Grundlage der „alten“ Standardvertragsklauseln läuft am 27. Dezember 2022 aus. Damit verbleiben nur zwei Monate, um noch auf den alten Standards beruhende Datentransfers auf eine tragfähige rechtliche Grundlage zu bringen.

In Folge der Schrems-II Entscheidung des Europäischen Gerichtshofs (Rs. C-311/18) hat die Europäische Kommission mit ihrem Durchführungsbeschluss vom 04. Juni 2021 neue Standardvertragsklauseln eingeführt. Der Durchführungsbeschluss erlaubt noch bis einschließlich 27. Dezember 2022 die weitere Verwendung der bisherigen Standardvertragsklauseln, sofern die Verarbeitungsvorgänge, die Gegenstand des Vertrags sind, unverändert bleiben und die Anwendung dieser Klauseln gewährleistet, dass die Übermittlung personenbezogener Daten geeigneten Garantien unterliegt.

Welcher Handlungsbedarf besteht?

Neben der Vereinbarung neuer Standardvertragsklauseln mit Datenimporteuren in Drittstaaten bedarf es spätestens jetzt auch der Durchführung eines sog. Transfer-Impact-Assessments (TIA). Mit diesem wird geprüft, ob der Datenimporteur die Verpflichtungen nach den (neuen) Standardvertragsklauseln überhaupt zuverlässig einhalten kann.

Da die Vereinbarung neuer Standardvertragsklauseln und insbesondere die Durchführung eines TIA regelmäßig eine gewisse Zeit in Anspruch nimmt, besteht jetzt dringender Handlungsbedarf. Wenn neue Standardvertragsklauseln und TIA bis zum 27. Dezember 2022 nicht unter Dach und Fach sind, müssen weitere Transfers unterbleiben und im Drittstaat befindliche Daten grundsätzlich zurückgeholt oder gelöscht werden. 

Denn gerade Verstöße in dem Bereich der Datentransfers in (unsichere) Drittstaaten können und werden häufig empfindlich sanktioniert.

Was ist der Impact in der Praxis?

Diese Verpflichtungen bestehen grundsätzlich bei allen Datentransfers auf Grundlage der alten Standardvertragsklauseln. Die großen Digitalunternehmen (Microsoft, Amazon etc.) haben ihre Hausaufgaben bereits gemacht und sind – soweit ersichtlich – schon von sich aus auf ihre Kunden zugegangen. 

In der Praxis häufig weniger im Blick sind jedoch konzerninterne Datentransfers und kleinere Kooperationspartner. Teilweise finden sich auch noch Datentransfers auf Grundlage des – schon unmittelbar mit der Schrems-II Entscheidung verworfenen – Privacy Shields. 

Vor diesem Hintergrund empfiehlt sich – soweit noch nicht erfolgt – entsprechende Vertragsbeziehungen möglichst zeitnah zu prüfen und anzupassen. Wichtig ist hierbei – gerade auch mit Blick auf die Durchführung des TIA – mit ausreichend Vorlauf an die Datenimporteure heranzutreten.

Wie sieht ein effizientes Vorgehen aus?

Um den Prozess möglichst effizient zu gestalten, empfehlen wir unseren Mandanten regelmäßig ein IT-gestütztes Screening, ggf. verbunden mit digitalen Anpassungsprozessen für die Zukunft.