Ende Juni 2021 war die Übergangsfrist ausgelaufen, während Großbritannien datenschutzrechtlich wie ein EU-Mitgliedsstaat eingeordnet und behandelt werden konnte. Förmlich in letzter Minute vor Auslaufen der Übergangsfrist, hatte die Europäische Kommission am 28.06.2021 einen entsprechenden Angemessenheitsbeschluss erlassen.
Damit gilt Großbritannien bzw. das Vereinigte Königreich als sicheres Drittland. Dies erleichtert die Übermittlung personenbezogener Daten erheblich und schafft damit eine gültige Rechtsgrundlage für die Datenübertragung. Dies ist umso mehr von Vorteil, da damit zum gegenwärtigen Zeitpunkt kein weiterer Handlungsbedarf von Nöten ist und z. B. damit auch nicht auf Standardvertragsklauseln zurückgegriffen werden muss.
Allerdings gibt es auch einen Wermutstropfen: Der Erlass hat ein Verfallsdatum und ist zunächst lediglich 4 Jahre gültig. Der Angemessenheitsbeschluss erlischt automatisch 4 Jahre nach dem Inkrafttreten und die Prüfung des angemessenen Datenschutzniveaus beginnt dann erneut.
Endlich da! Die neuen DSGVO-Standardvertragsklauseln
Mehr als 20 Jahre war das alte Vertragswerk relevant und ermöglichte es, einen internationalen Datentransfer auch in unsichere Drittstaaten auf vertraglicher Basis zu legitimieren.
Nun lösen diese neuen Dokumente die alten ab. Eine Neuauflage war längst überfällig. Endlich sind die Vorlagen an die nun bereits mehr als 3 Jahre gültige DSGVO angepasst und das Schrems-II-Urteil aus dem letzten Jahr ist ebenfalls berücksichtigt.
Wird nun alles besser? Leider nein!! Es starten bereits rege Diskussionen in Fachkreisen bezüglich deren Auslegung. Zwar wurde an einigen Stellen wirklich nachgebessert, trotzdem bleiben weitere Fragen offen.
Die Standardvertragsklauseln sind modular aufgebaut und decken neben den auch in der alten Version bekannten Konstellationen „Verantwortlicher-Verantwortlicher“ und „Verantwortlicher-Auftragsverarbeiter“ auch die Konstellationen „Auftragsverarbeiter-(Unter-)Auftragsverarbeiter“ ab. Letztere Variante sorgte in der Vergangenheit immer wieder zu Verwirrungen, wenn der Auftragsverarbeiter weitere Subunternehmer/Auftragsverarbeiter in einem Drittland einsetzte.
Für Sie als Unternehmen heißt das nun, dass Sie bis 27.12.2022 Zeit haben, um mit allen Ihren betroffenen Vertragspartnern diese neuen Verträge abzuschließen und die alten zu ersetzen.
Für Neuverträge sind ab 27.09.2021 die neuen Standardvertragsklauseln zwingend vorgeschrieben.
Bitte vergessen Sie dabei nicht, die Risikoabschätzung hinsichtlich des Schutzniveaus im importierenden Drittland ebenfalls durchzuführen und zu dokumentieren! Diese Prüfung und Bewertung wird inkl. der ggf. notwendigen und umzusetzenden technischen und organisatorischen Maßnahmen erfahrungsgemäß mehr Zeit als der eigentliche Abschluss der Standardvertragsklausel in Anspruch nehmen. Diese dürfen auch nur unverändert verwendet werden. Andernfalls verlieren sie ihre Genehmigungsfreiheit. Werden die Standardvertragsklauseln in einem Vertrag mit aufgenommen oder hinzugefügt, so ist darauf zu achten, dass keine weiteren Klauseln im Widerspruch zu ihnen stehen.
Unser Tipp: Starten Sie so bald als möglich mit der Umsetzung sämtlicher Altverträge. Wir sind gerne an Ihrer Seite und unterstützen Sie umfassend bei allen Fragen dazu!
Aufsichtsbehörden prüfen den internationalen Datentransfer – NOYB zählt Cookie-Banner an
Ein Jahr nach Bekanntmachung der Schrems-II-Entscheidung durch den Europäischen Gerichtshof hat eine Großzahl an deutschen Aufsichtsbehörden eine kollektive Prüfungsaktion gestartet. Sie nehmen die datenschutzkonforme Umsetzung des internationalen Datentransfers flächendeckend in den Unternehmen unter die Lupe. Damit demonstrieren und untermauern die Behörden ihre Kontrollaufgabe und -funktion.
Im Fokus liegt dabei der internationale Datentransfer und diesbezüglich insbesondere die Überprüfung des Einsatzes von Dienstleistern zum E-Mail-Versand, zum Hosting von Internetseiten, zum Webtracking, zur Verwaltung von Bewerberdaten und des konzerninternen Austausches von Kundendaten und Daten der Beschäftigten. Es kann jedes Unternehmen treffen.
Sollten Sie zu den ausgewählten Unternehmen gehören, unterstützen wir Sie gerne beim Ausfüllen der Fragebögen, die eine Vielzahl an kritischen und teilweise auch erklärungsbedürftigen Detailfragen aufweisen. Nehmen Sie mit uns Kontakt auf!
Parallel dazu hat die NGO-Organisation (Nichtregierungsorganisation) NOYB begonnen, tausende von Websites hinsichtlich der rechtswidrigen Verwendung von Cookie-Bannern zu überprüfen. Systematisch durchforstet diese Organisation, deren Mitgründer u. a. Max Schrems ist, das Internet nach Cookie-Bannern mit irreführenden Designs. Sollte das betroffene Unternehmen den Warnungen von NOYB nicht nachkommen, reicht die Organisation formale Beschwerden bei den entsprechenden Behörden ein.
In 422 Fällen ist dies vor Kurzem bereits geschehen. Ihr Ziel ist es, binnen Jahresfrist bis zu 10.000 Websites in Europa zu scannen.
Kostenloser Quickcheck Ihrer Website
Entspricht Ihre Website den Anforderungen der DSGVO? Wir von der dhmp datenschutz-plus führen einen kostenlosen ersten rudimentären Quickcheck durch. Bitte nennen Sie uns Ihre Website und Sie erhalten in einem Telefonat (circa 30 Minuten) Hinweise, in welchen Bereichen Sie nachbessern sollten.
Gerne können Sie uns unter der o. g. E-Mail ansprechen, wenn Sie Fragen zum Thema Datenschutz oder Quickcheck haben.
dhmp datenschutz
Alle Informationen und Angaben haben wir nach bestem Wissen zusammengestellt. Sie erfolgen jedoch ohne Gewähr. Diese Information kann eine individuelle Beratung im Einzelfall nicht ersetzen.