Seit dem 27.12.2022 müssen Datenübermittlungen in Drittstaaten ausschließlich auf Grundlage der neuen Standardvertragsklauseln erfolgen, die die Europäische Kommission im Juni 2021 verabschiedet hat. Mit den Standardvertragsklauseln werden europäische Datenschutzstandards zwischen Datenexporteuren im Europäischen Wirtschaftsraum und Datenimporteuren in Drittstaaten vertraglich vereinbart. Bei Nichteinhaltung dieser Vorgaben drohen hohe Bußgelder und Schadensersatzforderungen.
Unternehmen sollten daher dringend ihre bestehenden Verträge daraufhin überprüfen, ob diese noch alte Standardvertragsklauseln enthalten.

Datentransfer mit den USA:
Der Datentransfer insbesondere in die USA ist nach wie vor ein schwieriges Thema, da die Befugnisse der US-Behörden sehr weitreichend sind.
Neue Hoffnung gibt das transatlantische Datenschutzabkommen mit der EU. Am 7.10.2022 unterzeichnete US-Präsident Joe Biden eine Durchführungsverordnung, die sogenannte Executive Order, die einen neuen Rechtsrahmen für den Datentransfer mit den USA schaffen soll.

Inhalt der Executive Order
Die Executive Order „on Enhancing Safeguards for United States Signals Intelligence Activities“ sieht Regelungen vor, mit denen die Vorgaben des Europäischen Gerichtshofs im sogenannten Schrems II-Urteil vom 16. Juli 2020 umgesetzt werden.

Die nachrichtendienstliche Tätigkeit soll auf ein bestimmtes Maß beschränkt werden. Auch der Zugriff auf personenbezogene Daten europäischer Bürgerinnen und Bürger soll nur möglich sein, wenn dies zur Wahrung der nationalen Sicherheit erforderlich ist. Verbindliche Verfahren für die amerikanischen Nachrichtendienste sollen die Einhaltung der neuen Standards sicherstellen.

Die Einführung eines neuen Rechtsbehelfssystems soll sicherstellen, dass EU-Bürger erstmals eine verbindliche und unabhängige Überprüfung ihrer Rechte erhalten. Das zweistufige Verfahren ermöglicht EU-Bürgern auf der ersten Stufe eine Beschwerde beim „Director of National Intelligence“, die auf der zweiten Stufe vom neu eingerichteten Datenschutzgericht, dem „Data Protection Review Court", überprüft werden kann.

Die Europäische Kommission muss nun entscheiden, ob die USA ein angemessenes Datenschutzniveau gemäß der Datenschutz-Grundverordnung bieten.