News
Zwingende Umstellung auf die neuen EU-Standardvertragsklauseln – „SCC-Umstellung – Piltz Legal Support Paket“
Ende Dezember 2022 ist es so weit. Noch bestehende „alte“ EU-Standardvertragsklauseln („SCC“) müssen durch neue Verträge ersetzt werden. Für Unternehmen beinhaltet diese verpflichtende Umstellung auf die neuen SCC auch neue Pflichten. So wird ein Transfer Impact Assessment gemäß Klausel 14 der SCC („TIA“) verpflichtend und es müssen in manchen Fällen technische und organisatorische Maßnahmen zur Sicherung des angemessenen Schutzniveaus getroffen werden. Wenn EU-Unternehmen nicht selbst die SCC abschließen, dann müssen sie sich vergewissern, dass ihr in der EU ansässige Dienstleister mit in Drittländern ansässigen Subunternehmern die SCC in Modul 3 abgeschlossen haben. Egal ob man selbst die SCC abschließt oder sich vergewissert, dass der Dienstleister SCC im Modul 3 abgeschlossen hat, die Umstellung auf die neuen SCC erfordert einen Austausch mit den Dienstleistern. Bei Bedarf können wir Sie mit dem Piltz Legal Support Paket dabei unterstützen.
Für die Neuverträge können die alten SCC schon seit dem 27.9.2021 nicht mehr verwendet werden. Spätestens jetzt sollten sich die Unternehmen auch um die Umstellung der bestehenden Verträge bemühen. Denn der Umstellungsprozess kann vor allem bei Unternehmen, die viele Dienstleister in Drittländern einsetzen, mit großem Zeitaufwand verbunden sein. Die Deadline für die Umstellung sämtlicher Verträge ist der 27.12.2022.
In der Praxis kann der Abschluss der SCC eine Herausforderung für Unternehmen sein. Durch die Vielzahl von Informationen, die von jedem Dienstleister zwingend abgefragt werden müssen, verliert man schnell den Überblick. Damit die Umstellung gelingt und weniger Kopfschmerzen und Aufwand mit sich bringt, haben wir eine Reihe von Dokumenten zur Arbeitserleichterung vorbereitet. Unsere Lösung umfasst u.a. standardisierte Fragebogen und Anschreiben (beides auf Deutsch und Englisch) für alle Kategorien von Dienstleistern sowie Dokumente zur Überprüfung von Antworten und aus Antworten abzuleitende Handlungsempfehlungen.
Im März wurde eine politische Einigung für das „Trans-Atlantic Data Privacy Framework“ verkündet. Bislang scheint es nicht so, als wenn dieser Angemessenheitsbeschluss bis zum Ablauf der Umstellungsfrist in Kraft sein wird. Die Ankündigung allein bringt keinen praktischen Nutzen für EU-Unternehmen, denn aktuell liegt nicht einmal der Text dieses neuen Beschlusses vor. Sobald der Entwurf finalisiert wird, muss die Vereinbarung noch vom EDSA geprüft werden. Der Angemessenheitsbeschluss der Europäischen Kommission ist nach unserer derzeitigen Einschätzung wahrscheinlich nicht vor Anfang/Mitte 2023 zu erwarten. Bis dahin bleiben SCC in der Regel die beste Option für die Rechtfertigung von Datenübermittlungen in die USA. Für Übermittlungen in andere Länder ohne Angemessenheitsbeschluss, sind die SCC wohl der am häufigsten verwendete Transfer-Mechanismus.
Sollten Sie Interesse an unserem Support Paket haben, melden Sie sich gerne! Es ist sowohl möglich, dass wir für Sie die Antworten Ihrer Dienstleister prüfen, als auch dass Sie die Prüfung mithilfe der von uns entworfenen Dokumente vornehmen. Sprechen Sie uns gerne darauf an.
News
Betriebsvereinbarungen müssen auf DSGVO-Konformität geprüft werden
Die Auswirkungen der EuGH-Urteils in der Rechtssache C-34/21 vom 30.3.2023 wurden mit Blick auf § 26 BDSG und das eventuell kommende neuen Beschäftigtendatenschutzgesetzes schon mehrfach thematisiert (hierzu eine aktuelle Handreichung der Hessischen Datenschutzbehörde). Jedoch wird bislang nur selten darauf eingegangen, dass das Urteil auch weitreichende Konsequenzen für Betriebsvereinbarungen haben kann.
Weiterer Fachaufsatz zum geplanten Cyber Resilience Act - Verhältnis des Cyber Resilience Act zur DSGVO
In der aktuellen Ausgabe der Zeitschrift Computer und Recht (CR 05/2023) wurde ein weiterer Aufsatz mit dem Titel „Der Vorschlag für einen Cyber Resilience Act aus Sicht der DSGVO“ von Dr. Carlo Piltz, Alexander Weiß und Johannes Zwerschke veröffentlicht.
Europäisches Gericht entscheidet zur Personenbeziehbarkeit pseudonymisierter Daten
Das Gericht der Europäischen Union (EuG) hat am 26. April 2023 zur Personenbeziehbarkeit pseudonymisierter Daten entschieden. Es urteilte, dass es sich bei übermittelten pseudonymisierten Daten nicht um personenbezogene Daten i. S. v. Art. 3 Nr. 1 Verordnung (EU) 2018/1725 handelt, wenn der Schlüssel zur Depseudonymisierung nicht beim Empfänger vorhanden ist.
Generalanwalt am EuGH: Fahrzeugidentifikationsnummer als personenbezogenes Datum? Es kommt darauf an
In seinen Schlussanträgen vom 4. Mai 2023 beschäftigt sich Generalanwalt Sánchez-Bordona u.a. mit der Frage, ob eine Fahrzeugidentifikationsnummern (FIN) ein personenbezogenes Datum ist. Diese Schlussanträge wurden (soweit ersichtlich) bislang noch nicht in der Datenschutz-Szene diskutiert.
Pflicht zum Einsatz von Systemen zur Angriffserkennung für Betreiber kritischer Infrastruktur gilt seit dem 1. Mai 2023
Seit dem 1. Mai 2023 sind Betreiber von kritischer Infrastruktur und Betreiber von Energieversorgungsnetzen und Energieanlagen, die als Kritische Infrastruktur gelten, gesetzlich gemäß § 8a Abs. 1a BSIG und § 11 Abs. 1e EnWG dazu verpflichtet, Systeme zur Angriffserkennung einzusetzen und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) alle zwei Jahre Nachweise darüber zu liefern (vgl. § 8a Abs. 3 BSIG).
Bericht des Europäischen Datenschutzausschusses zur Prüfung von Datentransfers in Drittländer
Am 19. April 2023 hat der Europäische Datenschutzausschuss (EDSA) den Bericht der Task Force 101 zu den NOYB-Beschwerden veröffentlicht. Thematisch geht es in der Veröffentlichung um die Problematik der Datenübermittlung in Drittländer im Zusammenhang mit dem Einsatz von Website-Tools, wie Google Analytics und Facebook Business Tools.