Compliance bei Datenexport: Jetzt handeln.

29.12.2022 von Oliver Strässler

Wer sich für die Übermittlung von Personendaten in ein datenschutzrechtlich unsicheres Drittland noch auf eine Vereinbarung mit alten Standardvertragsklauseln («SCC») abstützt, muss nun handeln. Die alten SCC gelten nicht mehr als geeignete Garantien für den Datenexport – sie müssen jetzt durch die neuen SCC ersetzt werden.

Für den Export von Personendaten in datenschutzrechtlich unsichere Drittländer kann durch die Vereinbarung von SCC ein angemessenes Datenschutzniveau erreicht werden. In Europa hat die Europäische Kommission mit Wirkung ab dem 27. September 2021 die vormals geltenden SCC durch neue SCC ersetzt. Für bereits vereinbarte «alte» SCC wurde eine Übergangsfrist bis am 27. Dezember 2022 gewährt. Betreffend die Schweiz hat der EDÖB die neuen SCC der EU ebenfalls genehmigt. Die Übergangsfrist in der Schweiz dauert bis am 31. Dezember 2022. Nach Ablauf dieser Übergangsfrist gilt die Vereinbarung der alten SCC nicht mehr ohne Weiteres als geeignete Garantien für einen sicheren Datenexport.

Die Übergangsfrist betreffend das europäische Recht ist nun abgelaufen – In der Schweiz läuft sie gerade ab. Wer die Übermittlung von Personendaten in datenschutzrechtlich unsichere Drittländer noch auf Vereinbarungen mit alten SCC stützt, sollte diese Vereinbarung im neuen Jahr rasch anpassen. Gerne helfen wir bei der Analyse und der allfälligen Anpassung deiner Verträge.

Hinweis: Die meisten grossen Anbieter haben die SCC bereits im Rahmen von Anpassungen allgemeiner Vertragsbedingungen resp. Datenschutzbestimmungen erneuert. Als Kunde hast Du diese Änderung wahrscheinlich (unbemerkt) übernommen – ein Beispiel hierfür ist der Anbieter «Mailchimp».

Möchtest Du mehr zum Thema Datenexport erfahren? Lukas Stoller erklärt in seinem Blog-Artikel, was es zu beachten gilt.