Außereuropäische Datentransfers via SDPC : TIA & Drittbegünstigung

TIA nach SDPC

Am Montag wurden die neuen Standard Data Protection Clauses (SDPC) im OJ der EU veröffentlicht. In den Klauseln 13 und 14 (alle Module) findet sich die Pflicht für ein mehrstufiges und kontinuierliches Transfer Impact Assessment (TIA) für die Übermittlung von Daten in Drittländer. Da die EUKOM (wohl bewusst) kein Muster für die einhergehende Rechtsgüterabwägung als Anhang zu den SDPC definiert hat werden sich anderweitig Standards etablieren müssen. Bis auf ein Legal Impact Assessment aus der Schweiz infolge des CLOUD-Acts kenne ich keinen Standards, der Klausel 13 und 14 nur im Entferntesten nahe kommt.

Gibt es in euren Organisationen oder von größeren US-Dienstleistern bereits erste Templates, die in Richtung TIA gehen? Und um der Frage vorzubeugen: nein, eine DSFA oder eine LIA sind keine TIA, auch wenn Elemente der TIA bereits in der DSFA verankert sein können.

Weitere Frage: Drittbegünstigungsklauseln

In Klausel 3 (alle Module) werden verschiedene Klausel als drittbegünstigend und neben den in der DSGVO verankerten Betroffenenrechten als durchsetzbar gegenüber den Vertragsparteien deklariert.

Über welche prozessualen Instrumente können diese drittbegünstigten Rechte und Pflichten der Vertragsparteien durch die betroffenen Personen praktisch durchgesetzt werden?

5 Likes

Hier der Link zu den neuen, vom Europäischen Datenschutzausschuss gebilligten und von der Europäischen Kommission genehmigten Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer:

Sprachversionen - darunter deutsch - unter:
https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX%3A32021D0914&locale=en

1 Like

Inhaltlich stellen sich natürlich viele Fragen, speziell nach dem Verhältnis der neuen SCC zu den Vorgaben des Schrems II-Urteils des EuGH. Hat dazu schon jemand eine Meinung?

1 Like

Ich meine gehört zu haben, dass die neuen SSC sich an den Vorgaben des EuGH zu Schrems II orientieren.

Aber ob das zu 100% stimmt ist die nächste Frage

Ja, sehr interessante Frage.

Nach der ersten Sichtung der SCC kam mir die Tage auch diese Frage.

Klar, nach “…der Anzahl der eingebundenen Akteure (Unterauftragnehmer), etwaige Weiterleitung der Daten an Dritte, das Format der Daten/Datenkategorien oder der betreffende Wirtschaftszweige, die jeweils anwendbaren Gesetze und Vorgaben des Drittlandes, die Feststellung, dass in der Vergangenheit keinerlei Kontrollzugriffe von Seiten der Behörden im Drittstaat erfolgt sind, etc.” kann und sollte gefragt werden aber eine Art Checkliste, ein Template wäre hilfreich. Gerade wenn Aufsichtsbehörden schnell eigene Wünsche kundtun und selbst erstellte Muster wieder angepasst werden müssen.

Auch frage ich mich, wie mit den einzelnen Modulen zu verfahren sein wird. Wenn ich Modul 2 (vermutlich am geläufigsten) verwenden möchte (z.B. die Punkte 8.1 - 8.9), streiche ich dann in dem Vertrag immer alle anderen unrelevanten Passagen 1, 3 und 4 im Vertrag durch? Das wird m.E. am Ende nicht zur Übersichtlichkeit beitragen.
Fragen über Fragen aber das Thema ist ja auch noch neu und vermutlich wird es in der Richtung die nächsten Tage vlt. verwendbare Muster geben. Oder wenn ein Vertrag die Tage auf den Tisch kommt, dann fange ich an selber eins zusammen zu stellen.

Auf Input und Antworten bin ich gespannt…

Für mich stellt sich insb. die Frage, ob bei Verwendung der neuen SCCs noch zusätzliche Garantien - speziell beim Datentransfers in die USA - gefordert werden und wie diese aussehen könnten.

1 Like

Auf alle Fälle muss schon mal ein Transfer Impact Assessment jeweils vorab gemacht und dokumentiert sein, scheint es… - Für USA, bin ich mal auf’s EDSA gespannt.

Was ist eigentlich mit den Entitäten für die die SCC nicht zur Anwendung kommen dürfen - weil aus DSGVO Art 3 (2) bereits direkt im Scope?

Auch bei den in Art. 3 (2) genannten Stellen (etwa Google, FB) müssen die Anforderungen aus Art. 46 (geeignete Garantien) realisiert werden. Dass SCC hierfür wenig geeignet sind, ergibt sich schon daraus, dass Verträge (mindestens ) zwei Parteien voraussetzen. Google, FB usw. entgehen diesem Dilemma durch Ausgründung von in der EU gelegenen Subunternehmen als Anbieter ggü. europ. Kunden/Nutzern

Sprachliche Gegenüberstellungen der Standardvertragsklauseln bei Drittlandstransfer (also die Module 1-4).
Sprachliche Gegenüberstellungen der Standardvertragsklausel innerhalb der EU
Hier - Deutsch vs. Englisch

1 Like

Allerdings werden für Datenübermittlungen ausschließlich innerhalb der EU keine SCCs gebraucht. Sie sind eines der Instrumente, das den angemessenen Schutz der Daten beim Empfänger in einem Drittstaat gewährleisten soll.

…ausschliesslich innerhalb der EU und mit Staaten für die ein Angemessenheitsbeschluss existiert? [+ ggf. evt. adäqu. internale Organisationen)? :wink:

1 Like

SCC Generator von der Kanzlei TaylorWessing

2 Likes

PRESSEMITTEILUNG
der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 21. Juni 2021

Datenschutz-Aufsichtsbehörden: Ergänzende Prüfungen und Maßnahmen trotz neuer EU-Standardvertragsklauseln für Datenexporte nötig. :thinking:

Interessante Übersicht, die bei der Einschätzung (Drittlandstransfer) helfen kann.

https://www.essentialguarantees.com/

The European Essential Guarantees Guide (“EEGG“) is a global project focusing on Governmental Surveillance and Data Retention laws for assessing the lawfulness of international data transfers under the GDPR, among others. The EEGG is constantly growing and seeks contributions from all over the world!
The EEGG is intended to turn the spotlight on governmental measures, especially on

  • Surveillance measures,
  • Situations where data relating to the private life of an individual is stored by public authorities, and
  • Data retention by providers of electronic or telecommunication services (i.e., storage of call detail records (CDRs) of telephony or internet traffic and transaction data (IPDRs)).

UK Adäquanz

Ich gestehe, dass für mich bisher Transfers in bzw. durch Länder mit Adäquanzentscheid nicht sehr relevant waren. Das wird sich mit der heute veröffentlichten Entscheidung bezüglich UK ändern.

Also, Frage 1: Für den Datentransfer brauche ich dann in Zukunft (wieder) nur einen normalen Auftragsverarbeitungsvertrag bzw. - kann ich auch die neuen inner-Europäischen SMC für den Transfer nach UK nutzen?

Frage 2) Wenn ich Daten nach UK transferiere, und die von meinem Auftragsverarbeiter in den UK dann weiter in ein Drittland transferiert werden, welches vertragliche Konstrukt ist dann zu nutzen? Der UK Information Commissioner hat ja die neuen SMC für UK nicht “freigegeben” (sondern will später eigene UK SMC herausgeben).