Fristen zur Umstellung der Vertragswerke
Wenn Sie (oder Ihre Dienstleister) mit solchen Unternehmen zusammenarbeiten, dann müssen Sie die neuen Standardvertragsklauseln vereinbaren. Hierfür haben Sie bei Altverträgen bis zum 27.12.2022 Zeit. Neuverträge dürfen seit dem 29.09.2021 nur nach den neuen Klauseln abgeschlossen werden.
Aufgrund der Fülle der Arbeiten (siehe Handlungsempfehlungen) sollten Sie mit der Umsetzung nicht zu lange warten. Gute Dienstleister sollten sich diesbezüglich auch schon aktiv bei Ihnen gemeldet haben oder derzeit daran arbeiten.
Besonderheit Vereinigtes Königreich (UK)
Nach dem Austritt von UK aus der EU war lange Zeit unklar, wie mit Datenübermittlungen nach UK umzugehen ist. Zwischenzeitlich hat die EU aber für Klarheit gesorgt und einen sogenannten Angemessenheitsbeschluss erlassen. Dieser attestiert UK ein angemessenes Datenschutzniveau und Daten können wie mit einem Land innerhalb der EU ausgetauscht werden.
Aber Vorsicht: Der Beschluss gilt zunächst nur für vier Jahre!
Handlungsempfehlungen
- Bestandsaufnahme: Prüfen Sie, ob Daten Ihrer Kunden, Mitarbeiter oder anderen Personen in Ländern außerhalb der EU verarbeitet werden. Fragen Sie diesbezüglich auch bei Auftragsverarbeitern nach. Dabei ist zu beachten, dass Auftragsverarbeiter ggf. mit Konzerngesellschaften oder anderen Dienstleistern außerhalb der EU zusammenarbeiten, die Zugriff haben können.
- Anfrage nach neuen SCCs: Wenn notwendig, führen Sie bezüglich der neuen Standardvertragsklauseln eine Anfrage bei den betroffenen Partnern an. Wenn diese wiederum Dienstleister einsetzen, fragen Sie nach dem Stand der Verträge hierzu und fordern Sie ggf. eine Kopie der Vereinbarungen zum Nachweis an. Prüfen Sie in jedem Fall auch, ob die gelieferten SCCs die richtigen sind, da es vier verschiedene Module gibt.
- Anfrage nach Sicherheitsmaßnahmen: Der Abschluss von SCCs allein reicht nicht aus. Es müssen eventuell besondere Sicherheitsmaßnahmen (beispielsweise Serverstandort in der EU, Pseudonymisierung oder Verschlüsselung) umgesetzt werden. Fragen Sie diese bei den Dienstleistern an. Prüfen Sie in jedem Fall, ob durch die Sicherheitsmaßnahmen ein angemessenes Datenschutzniveau hergestellt wird.
- Protokollierung: Zum Nachweis protokollieren Sie bitte alle Vorgänge. Die Aufsichtsbehörden prüfen internationalen Datenverkehr derzeit über verschiedene Wege.
Querverweise
Art. 4 DSGVO – Begriffsbestimmung AuftragsverarbeiterArt. 28 DSGVO – Auftragsverarbeiter
Art. 44 DSGVO – Grundsätze der Datenübermittlung
Art. 45 DSGVO – Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses
Art. 46 DSGVO – Datenübermittlung vorbehaltlich geeigneter Garantien
Infothek – Angemessenheitsbeschluss
Infothek – Auftragsverarbeitung
Infothek – Datensicherheit
Infothek – Standardvertragsklauseln