Global menu

Our global pages

Close

Neue Regeln (nicht nur) für die Cloud

  • Austria

    24-11-2022

    Und schon wieder läuft ein Countdown: Wer Daten in „nicht sichere“ Drittländer übermittelt, muss noch heuer seine Standardverträge an neue EU-Vorgaben anpassen.

    Wien. Die letzten Wochen des Jahres sind ohnehin meist stressig – und heuer dürfte es für etliche Unternehmen noch eine Spur hektischer werden. Denn wieder einmal müssen unionsrechtliche Vorgaben in Sachen Datenschutz umgesetzt werden. Und das noch vor dem Jahreswechsel.

    Es geht um die sogenannten Standardvertragsklauseln der EU. Wichtig sind sie, wenn personenbezogene Daten in bestimmte Länder außerhalb des EWR übermittelt werden sollen - konkret in all jene Staaten, denen die EU-Kommission kein mit den unionsrechtlichen Standards vergleichbares Datenschutzniveau attestiert hat. Für Datenübertragungen dorthin braucht es laut Unionsrecht eine eigene Rechtsgrundlage - und die gängigste sind eben diese auf EU-Vorgaben basierenden, standardisierten Datenschutz Verträge. "Seit dem vorigen Jahr gibt es dafür eine neue Version, und die alte Version verliert mit Ende des Jahres ihre Gültigkeit", sagt Michael Röhsner, Rechtsanwalt bei Eversheds Sutherland, zur "Presse".

    Nur wenige "sichere" Länder

    Die Frist für die Umstellung der Verträge auf die neue Version endet am 27. Dezember - es bleibt dafür also nicht mehr viel Zeit. Versäumt man die Frist, können die Folgen gravierend sein: Ein Datentransfer in Staaten, die nicht als sichere Drittländer gelten, kann rechtswidrig werden. Neben der behördlichen Untersagung drohen dann auch empfindliche Strafen.

    Aber sind Datentransfers in "nicht sichere" Drittländer denn gar so häufig? Ja, durchaus - denn dafür genügt es, wenn ein Unternehmen z. B. Cloud-Speicherdienste oder andere IT-Dienstleistungen eines Anbietern in einem solchen Land in Anspruch nimmt oder wenn innerhalb eines internationalen Konzerns personenbezogene Daten in ein "nicht sicheres" Drittland übertragen werden.

    Zu den Ländern, denen die EU-Kommission ein angemessenes Datenschutzniveau attestiert hat, zählen die Schweiz, Großbritannien, Israel, Uruguay oder Japan - Datentransfers dorthin sind somit unproblematisch. Für einen der wichtigsten Wirtschaftspartner, die USA, gilt das jedoch nicht mehr, seit der EuGH mit dem sogenannten Schrems-II-Urteil das Datenschutzabkommen Privacy Shield gekippt hat. Ebenso gelten China, aber auch das wichtige IT-Land Indien nicht als "sichere" Standorte.

    Was nützen dann aber die Standardvertragsklauseln? "Sie regeln bestimmte Rechte und Pflichten, dadurch soll auch im Drittland ein angemessenes Datenschutzniveau geschaffen werden", erklärt Röhsner. Viele Unternehmen stützen sich allerdings noch auf alte Versionen aus den Jahren 2004 bzw. 2010. Mit der im Vorjahr veröffentlichten Version hat die EU-Kommission die Klauseln an die DSGVO und an die EuGH-Judikatur im Sinne des Schrems-II-Urteils angepasst. "Die neue Version ist detaillierter und bildet mehr Szenarien ab, die Vorgaben werden aber auch strenger", sagt Röhsner.

    Verschlüsselung ist wichtig

    Der Umstieg auf die neuen Klauseln könne komplex sein, zudem müssen die Unternehmen meist zusätzlich ein sogenanntes Transfer Impact Assessment (TIA) durchführen: Die Rechtslage im Drittland muss dahingehend analysiert werden, ob die Klauseln zur Sicherstellung des Datenschutzes ausreichen. Auch technische Maßnahmen wie die Datenverschlüsselung spielen dabei ein Rolle: So geht es etwa bei Datentransfers in die USA vor allem auch darum, einen Datenzugriff durch Behörden zu verhindern. Bestimmte Dienstleister sind dort gesetzlich verpflichtet, einer behördliche Anordnung auf Datenherausgabe zu befolgen. "Aber wenn die Daten verschlüsselt sind und ausschließlich man selbst hat den Schlüssel, dann kann der Dienstleister im Drittland eine solche Anordnung gar nicht befolgen", sagt Röhsner.

    All das betrifft übrigens nicht nur direkte Auftragsverhältnisse. Wer einen Auftragsverarbeiter einsetzt, muss sich vergewissern, dass der Schutzstandard auch bei dessen Subuntemehmern in Drittländern gewährleistet ist.

    Ausdrücklich zum Umstieg auf die neuen Klauseln aufgerufen hat auch die österreichische Datenschutzbehörde. "Es wurde auch gewarnt, dass andernfalls die Datenübertragung in das Drittland mit 28. Dezember 2022 einen DSGVOVerstoß darstellen kann", sagt Röhsner. Kommt es zu einer Unterlassungsanordnung, "muss man schlimmstenfalls gewisse Systeme von heute auf morgen ab schalten", sagt der Anwalt. Zudem können Strafen bis 20 Mio. Euro oder vier Prozent des weltweiten Konzernumsatzes - je nachdem, welcher Betrag höher ist - verhängt werden.



    Autorin: Christine Kary

    DiePresse

    This information is for guidance purposes only and should not be regarded as a substitute for taking legal advice. Please refer to the full terms and conditions on our website.

    < Go back

    Print Friendly and PDF

    © Eversheds Sutherland 2023. All rights reserved. Eversheds Sutherland is a global provider of legal and other services operating through various separate and distinct legal entities.

    Eversheds Sutherland is the name and brand under which the members of Eversheds Sutherland Limited (Eversheds Sutherland (International) LLP and Eversheds Sutherland (US) LLP) and their respective controlled, managed and affiliated firms and the members of Eversheds Sutherland (Europe) Limited (each an "Eversheds Sutherland Entity" and together the "Eversheds Sutherland Entities") provide legal or other services to clients around the world. Eversheds Sutherland Entities are constituted and regulated in accordance with relevant local regulatory and legal requirements and operate in accordance with their locally registered names. The use of the name Eversheds Sutherland, is for description purposes only and does not imply that the Eversheds Sutherland Entities are in a partnership or are part of a global LLP. The responsibility for the provision of services to the client is defined in the terms of engagement between the instructed firm and the client.