Implementation of the new EU standard contractual clauses and obligation to undertake a "TIA" - are you prepared?

The new EU standard contractual clauses (New EU SCCs) came into force on 27 September 2021 for the transfer of personal data from the EEA to third countries under the EU General Data Protection Regulation (EU 2016/679) (GDPR). The European Commission Implementing Decisions ((2001/497/EC) and (2010/87/EU)) which incorporated the previous standard contractual clauses (Old EU SCCs), were repealed on that day. The New EU SCCs have been implemented to take account of the GDPR coming into force, seek to deal with the practicalities currently faced by organisations and provide greater flexibility for more complicated processing supply chains (by implementing a "modular" approach).

This milestone comprises the large task for organisations to update their international data transfer agreements accordingly and to undertake a mandatory risk assessment, the "Transfer Impact Assessment" - TIA. According to the New EU SCCs, both parties must assure that "they have no reason to believe" that the third country is not in compliance with European data protection standards. The assurance is to take into account, among other things, in particular relevant legislation and practices of the third country of destination - including those requiring disclosure of data to public authorities or allowing access to such data by public authorities. If the legal situation or practice in the respective third country could have a negative impact on the level of protection guaranteed by the New EU SCCs, the data controllers must take additional measures before the data transfer to the third country in order to ensure a level of protection again that is equivalent in substance to the level guaranteed in the EU. If this is not possible, the transfers must cease. The TIA shall be documented and presented to the supervisory authorities upon request.

Key points to note:

New agreements (entered into on or after 27 September 2021)

• New EU SCCs must be used for any new agreements entered into that rely on model EU data transfer clauses to legitimise the transfer of personal data from the EEA to third countries under the GDPR.

• Old EU SCCs cannot be used as a valid transfer mechanism for new agreements entered into that rely on model EU data transfer clauses to legitimise the transfer of personal data from the EEA to third countries under the EU GDPR.

Existing Agreements (entered into before 27 September 2021)

• Existing Agreements incorporating Old EU SCCs remain valid and provide appropriate safeguards until 27 December 2022.
• Organisations therefore have 15 months to "re-paper" agreements relying on the old EU SCCs and replace them with the new EU SCCs.
• This is provided that the processing operations that are the subject matter of the agreement remain unchanged and subject to appropriate safeguards – any such change can trigger an earlier "re-papering" deadline at the date of the change if the parties still wish to rely on model EU data transfer clauses.

TIA

• A TIA is a very complex examination which comprises the difficulty to determine concretely in the likelihood of unlawful access under EU law (and lawful access under the law of the third country).
• Criteria for the TIA can be found in clauses 14 and 15 of the New EU SCC and further guidance is available in the EPDB's guidance on supplementary tools resulting from the Schrems II judgment from the ECJ.

Umsetzung der neuen EU-Standardvertragsklauseln und Verpflichtung zur Durchführung einer Datentransfer-Folgenabschätzung – Sind Sie gut vorbereitet?

Am 27. September 2021 traten die neuen EU-Standardvertragsklauseln (Neue EU SCCs) für die Übermittlung personenbezogener Daten aus der EU/dem EWR in Drittländer gemäß der EU-Datenschutzgrundverordnung (EU 2016/679) (DSGVO) in Kraft. Die Durchführungsbeschlüsse der Europäischen Kommission ((2001/497/EG) und (2010/87/EU)), die die bisherigen Standardvertragsklauseln (Alte EU SCCs) enthielten, wurden an diesem Tag aufgehoben. Die neuen EU-Standardvertragsklauseln wurden eingeführt, um dem Inkrafttreten der DSGVO Rechnung zu tragen, die praktischen Probleme zu lösen, mit denen die Unternehmen derzeit konfrontiert sind, und mehr Flexibilität für kompliziertere Verarbeitungslieferketten zu bieten (durch die Einführung eines "modularen" Ansatzes).

Dieser Meilenstein beinhaltet die große Aufgabe für Organisationen, ihre internationalen Datenübermittlungsvereinbarungen entsprechend zu aktualisieren und eine obligatorische Risikobewertung, die Datentransfer-Folgenabschätzung, vorzunehmen. Nach den Neuen EU SCCs müssen beide Parteien versichern, dass sie "keinen Grund zu der Annahme haben", dass das Drittland die europäischen Datenschutzstandards nicht einhält. Bei dieser Zusicherung sind unter anderem die einschlägigen Rechtsvorschriften und Praktiken des Bestimmungsdrittlandes zu berücksichtigen, einschließlich derjenigen, die eine Weitergabe von Daten an Behörden vorschreiben oder Behörden den Zugang zu solchen Daten ermöglichen. Wenn die Rechtslage oder die Praxis in dem jeweiligen Drittland negative Auswirkungen auf das von den Neuen EU-SCCs garantierte Schutzniveau haben könnte, müssen die für die Datenverarbeitung Verantwortlichen vor der Datenübermittlung in das Drittland zusätzliche Maßnahmen ergreifen, um wieder ein Schutzniveau zu gewährleisten, das dem in der EU garantierten Niveau im Wesentlichen entspricht. Ist dies nicht möglich, müssen die Übermittlungen eingestellt werden. Die Datentransfer-Folgenabschätzung ist zu dokumentieren und den Aufsichtsbehörden auf Verlangen vorzulegen.

Zu beachtende Punkte:

Neue Vereinbarungen (die am oder nach dem 27. September 2021 abgeschlossen werden)

• Neue EU-SCCs müssen für alle neu abgeschlossenen Vereinbarungen verwendet werden, die sich auf EU-Standardvertragsklauseln stützen, um die Übermittlung personenbezogener Daten aus der EU/ dem EWR in Drittländer gemäß der DSGVO zu rechtfertigen.
• Alte EU-SCCs können nicht als gültiger Übermittlungsmechanismus für neu abgeschlossene Vereinbarungen verwendet werden, die sich auf EU-Standardvertragsklauseln stützen, um die Übermittlung personenbezogener Daten aus der EU/ dem EWR in Drittländer gemäß der DSGVO zu rechtfertigen.

Bestehende Vereinbarungen (die vor dem 27. September 2021 geschlossen wurden)

• Bestehende Vereinbarungen, die Alte EU-SCCs enthalten, bleiben bis zum 27. Dezember 2022 gültig.
• Organisationen haben daher 15 Monate Zeit, um Vereinbarungen, die sich auf die Alten EU-SCCs stützen durch die neuen EU-SCCs zu ersetzen.
• Dies gilt unter der Voraussetzung, dass die Verarbeitungen, die Gegenstand der Vereinbarung sind, unverändert bleiben.

Datentransfer-Folgenabschätzung

• Eine Datentransfer-Folgenabschätzung ist eine sehr komplexe Prüfung, bei der es darum geht, die Wahrscheinlichkeit eines unrechtmäßigen Zugangs nach EU-Recht (und eines rechtmäßigen Zugangs nach dem Recht des Drittlandes) konkret zu bestimmen.
• Die Kriterien für die Datentransfer-Folgenabschätzung finden sich in den Klauseln 14 und 15 der Neuen EU-SCC und weitere Anleitungen finden sich in den EPDB-Leitlinien, die sich aus dem Schrems-II-Urteil des EuGH ergeben.

Key contacts