Nach dem Schrems II Urteil ist im Anwendungsbereich der DSGVO umstritten, welche Massnahmen ergriffen werden können, um Personendaten weiterhin legal in Staaten ohne Angemessenheitsbeschluss der EU-Kommission und insbesondere die USA zu übermitteln. Die EU-Kommission hat nun die Standardvertragsklauseln revidiert, die bei solchen Transfers als Garantie vereinbart werden können.
Die neuen SCC müssen ab September 2021 für neue Verträge vereinbart werden, für Altverträge gilt eine Übergangsfrist bis Ende 2022. Die revidierten SCC enthalten zahlreiche Pflichten des Datenimporteurs. Mit Blick auf die Überwachungskompetenzen ausländischer Behörden, der Kernproblematik des Schrems II Entscheids, müssen die Parteien nicht nur umfangreiche Informations- und Dokumentationspflichten vereinbaren, sondern der Datenimporteur muss sich grundsätzlich verpflichten, Offenlegungsanfragen ausländischer Behörden anzufechten.
Wie die Aufsichtsbehörden in der EU bereits klargestellt haben, können Unternehmen die revidierten SCC jedoch nicht einfach ohne nähere Prüfung ihrer Eignung einsetzen. Bevor die SCC vereinbart werden, muss eine sorgfältige Eignungsprüfung (Transfer Impact Assessment) stattfinden und diese dokumentiert werden. Da die revidierten SCC zudem einem modularen Ansatz folgen, bei dem das richtige Modul für den jeweiligen Transfer vereinbart werden muss, und weitere, transferspezifische Anpassungen erfordern, stellt der rechtskonforme Einsatz von SCC hohe Anforderungen an Unternehmen.
Offen ist zum jetzigen Zeitpunkt noch, ob die SCC weiterhin als angemessene Garantie für Datenbekanntgaben ins Ausland unter dem schweizerischem DSG gelten. Es ist aber wahrscheinlich, dass der EDÖB die revidierten SCC als angemessene Garantie qualifizieren wird.
Lesen Sie den ganzenBeitrag auf mll-news.com