Datenschutz: Neue Standard-Vertragsklauseln für Datenaustausch
Schon seit Ende Juni gelten neue Standard-Vertragsklauseln der EU für den Datenaustausch mit Staaten außerhalb der EU, wenn diese keinen angemessenen Datenschutz gewährleisten.
Diese Musterklauseln machen es möglich, dass EU-Unternehmen (also auch deutsche) personenbezogene Daten in Drittstaaten verarbeiten, dorthin transferieren oder dort speichern lassen. Und zwar auch in solchen Drittstaaten, deren Datenschutzrecht weniger streng ist als die in der EU gültige Datenschutzgrundverordnung (DSGVO). Das gilt zum Beispiel für die USA. Die Klauseln sollen gewährleisten, dass EU-Bürger auch dort ihre Datenschutzrechte wahrnehmen können.
Wenn ein Unternehmen einen Online-Service nutzt, bei dem personenbezogene Daten auf einem US-Server gespeichert werden können, muss der Vertrag mit dem Geschäftspartner Datenschutzbestimmungen gemäß EU-Standardvertragsklauseln enthalten. Sonst liegt ein DSGVO-Verstoß vor. Und die sind teuer.
Welcher Zeitrahmen gilt für die Übernahme der neuen Standard-Vertragsklauseln?
Die alten Versionen der Standard-Vertragsklauseln dürfen nur noch eine Weile verwendet werden. Spätestens am September 2021 müssen bei neu abgeschlossenen Verträgen über Datenaustausch oder Datenspeicherung die neuen Standardklauseln eingesetzt werden. Und ab dem 27. Dezember 2022 müssen alle Verträge, die bislang die alten Klauseln enthalten, auf die neuen Versionen umgestellt sein.
Was bedeutet das praktisch?
Unternehmer, die einen Cloud-Provider, einen Newsletter-Versender, ein Online-Marketing-Tool oder ähnliche Online-Services nutzen, sollten genau hinschauen. Speichert der Anbieter alle Daten in einem EU-Staat? Dann ist die Sache problemlos. Das Gleiche gilt für Länder, deren Datenschutz-Vorschriften dem Schutzniveau der DSGVO „angemessen“ sind. Aktuell sind etwa Südkorea, Kanada, Großbritannien, Japan und die Schweiz auf dieser Liste.
Für andere Länder sollten die Standard-Datenschutzklauseln der EU Teil des Vertrags werden. Das ist allerdings auch kein Allheilmittel: Das Unternehmen muss trotzdem sichergehen, dass der Datenschutz auch in der Realität gewährleistet wird. Es muss eine Risikoprüfung durchführen. Und es darf selbstverständlich nur personenbezogene Daten verarbeiten, speichern oder weitergeben, wenn die betreffende Person eingewilligt hat oder sonst eine Rechtsgrundlage besteht. Das gilt aber generell, nicht nur beim Datentransfer aus der EU heraus.
Das Risiko
Ein Problem ergibt sich, wenn das Datenschutzniveau dort, wo der Server steht, niedriger liegt als bei der DSGVO. Das ist auch in den USA der Fall. Dort haben beispielsweise staatliche Dienste sehr weitgehende Zugriffsmöglichkeiten. Mit den Standard-Vertragsbedingungen garantiert der Geschäftspartner, dass er trotzdem für angemessenen Datenschutz sorgt.
Datenschutzrecht ist eine komplexe Sache. Für internationales Datenschutzrecht gilt das erst recht. Ein Verstoß kann hohe Kosten verursachen. Allein die Bußgelder können bis zu zwei Prozent vom Jahresumsatz ausmachen. Dazu kommen aufwändige Hinweispflichten. Man muss alle Betroffenen informieren. Und jeder von Ihnen kann Schadenersatz verlangen.
Das Risiko ist keine Theorie. Es muss auch nicht erst zu einer Datenschutzverletzung kommen, damit man das Unternehmen in die Bredouille gerät. Schon jetzt verschicken die Landesdatenschutzbehörden Fragebögen an Unternehmen. Darin verlangen sie konkrete Auskunft darüber, welche Dienstleister man nutzt und wo diese die Daten speichern. Das berichtet die Anwaltskanzlei FPS, die zudem eine Checkliste zu den EU-Standardvertragsklauseln vorbereitet hat.
Abhilfe: Verträge prüfen lassen – und sich vor allem versichern!
Geht es bei Geschäftsbeziehungen mit Firmen im Nicht-EU-Ausland in irgendeiner Form um den Transfer personenbezogener Daten? Dann kann es ratsam sein, selbst bei kleineren Aufträgen die vorgelegten Standard-Verträge mit Blick auf den Datenschutz prüfen zu lassen. Grundsätzlich gilt: Anbieter, die die Speicherung und Verarbeitung innerhalb der EU garantieren, vermindern das Datenschutzrisiko enorm.
Ein zweiter, wichtiger Punkt sind geeignete Haftpflichtversicherungen. Die Gewährleistung des Datenschutzes ist eine Rechtspflicht. Damit ist die Haftpflicht gedeckt, wenn das Unternehmen in Haftung genommen wird. Voraussetzung ist natürlich, dass es seine Haftpflicht versichert hat, und dass der Datenschutzverstoß nicht vorsätzlich oder grob fahrlässig erfolgt ist. Eine Cyber-Versicherung und eine Rechtsschutzversicherung können zusätzliche Kosten auffangen: Eigenschäden beispielsweise und Anwalts- bzw. Gerichtskosten. Gleiches gilt für eine Manager-Haftpflichtversicherung.
Decken Ihre betriebliche Versicherungen die Datenschutz-Risiken ab?
Wie steht es um den Versicherungsschutz Ihres Unternehmens in Sachen Datenschutzverletzung? acant prüft Ihre Versicherungsverträge und kontrolliert, wie weit die Deckungen reichen.
Das ist selbstverständlich kostenlos. Haben Sie Interesse? Nehmen Sie Kontakt auf!