Am Montag wurden die neuen Standard Data Protection Clauses (SDPC) im OJ der EU veröffentlicht. In den Klauseln 13 und 14 (alle Module) findet sich die Pflicht für ein mehrstufiges und kontinuierliches Transfer Impact Assessment (TIA) für die Übermittlung von Daten in Drittländer. Da die EUKOM (wohl bewusst) kein Muster für die einhergehende Rechtsgüterabwägung als Anhang zu den SDPC definiert hat werden sich anderweitig Standards etablieren müssen. Bis auf ein Legal Impact Assessment aus der Schweiz infolge des CLOUD-Acts kenne ich keinen Standards, der Klausel 13 und 14 nur im Entferntesten nahe kommt.
Gibt es in euren Organisationen oder von größeren US-Dienstleistern bereits erste Templates, die in Richtung TIA gehen? Und um der Frage vorzubeugen: nein, eine DSFA oder eine LIA sind keine TIA, auch wenn Elemente der TIA bereits in der DSFA verankert sein können.
Weitere Frage: Drittbegünstigungsklauseln
In Klausel 3 (alle Module) werden verschiedene Klausel als drittbegünstigend und neben den in der DSGVO verankerten Betroffenenrechten als durchsetzbar gegenüber den Vertragsparteien deklariert.
Über welche prozessualen Instrumente können diese drittbegünstigten Rechte und Pflichten der Vertragsparteien durch die betroffenen Personen praktisch durchgesetzt werden?
Hier der Link zu den neuen, vom Europäischen Datenschutzausschuss gebilligten und von der Europäischen Kommission genehmigten Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer:
Inhaltlich stellen sich natürlich viele Fragen, speziell nach dem Verhältnis der neuen SCC zu den Vorgaben des Schrems II-Urteils des EuGH. Hat dazu schon jemand eine Meinung?
Nach der ersten Sichtung der SCC kam mir die Tage auch diese Frage.
Klar, nach “…der Anzahl der eingebundenen Akteure (Unterauftragnehmer), etwaige Weiterleitung der Daten an Dritte, das Format der Daten/Datenkategorien oder der betreffende Wirtschaftszweige, die jeweils anwendbaren Gesetze und Vorgaben des Drittlandes, die Feststellung, dass in der Vergangenheit keinerlei Kontrollzugriffe von Seiten der Behörden im Drittstaat erfolgt sind, etc.” kann und sollte gefragt werden aber eine Art Checkliste, ein Template wäre hilfreich. Gerade wenn Aufsichtsbehörden schnell eigene Wünsche kundtun und selbst erstellte Muster wieder angepasst werden müssen.
Auch frage ich mich, wie mit den einzelnen Modulen zu verfahren sein wird. Wenn ich Modul 2 (vermutlich am geläufigsten) verwenden möchte (z.B. die Punkte 8.1 - 8.9), streiche ich dann in dem Vertrag immer alle anderen unrelevanten Passagen 1, 3 und 4 im Vertrag durch? Das wird m.E. am Ende nicht zur Übersichtlichkeit beitragen.
Fragen über Fragen aber das Thema ist ja auch noch neu und vermutlich wird es in der Richtung die nächsten Tage vlt. verwendbare Muster geben. Oder wenn ein Vertrag die Tage auf den Tisch kommt, dann fange ich an selber eins zusammen zu stellen.
Für mich stellt sich insb. die Frage, ob bei Verwendung der neuen SCCs noch zusätzliche Garantien - speziell beim Datentransfers in die USA - gefordert werden und wie diese aussehen könnten.
Auf alle Fälle muss schon mal ein Transfer Impact Assessment jeweils vorab gemacht und dokumentiert sein, scheint es… - Für USA, bin ich mal auf’s EDSA gespannt.
Auch bei den in Art. 3 (2) genannten Stellen (etwa Google, FB) müssen die Anforderungen aus Art. 46 (geeignete Garantien) realisiert werden. Dass SCC hierfür wenig geeignet sind, ergibt sich schon daraus, dass Verträge (mindestens ) zwei Parteien voraussetzen. Google, FB usw. entgehen diesem Dilemma durch Ausgründung von in der EU gelegenen Subunternehmen als Anbieter ggü. europ. Kunden/Nutzern
Allerdings werden für Datenübermittlungen ausschließlich innerhalb der EU keine SCCs gebraucht. Sie sind eines der Instrumente, das den angemessenen Schutz der Daten beim Empfänger in einem Drittstaat gewährleisten soll.
The European Essential Guarantees Guide (“EEGG“) is a global project focusing on Governmental Surveillance and Data Retention laws for assessing the lawfulness of international data transfers under the GDPR, among others. The EEGG is constantly growing and seeks contributions from all over the world!
The EEGG is intended to turn the spotlight on governmental measures, especially on
Surveillance measures,
Situations where data relating to the private life of an individual is stored by public authorities, and
Data retention by providers of electronic or telecommunication services (i.e., storage of call detail records (CDRs) of telephony or internet traffic and transaction data (IPDRs)).
Ich gestehe, dass für mich bisher Transfers in bzw. durch Länder mit Adäquanzentscheid nicht sehr relevant waren. Das wird sich mit der heute veröffentlichten Entscheidung bezüglich UK ändern.
Also, Frage 1: Für den Datentransfer brauche ich dann in Zukunft (wieder) nur einen normalen Auftragsverarbeitungsvertrag bzw. - kann ich auch die neuen inner-Europäischen SMC für den Transfer nach UK nutzen?
Frage 2) Wenn ich Daten nach UK transferiere, und die von meinem Auftragsverarbeiter in den UK dann weiter in ein Drittland transferiert werden, welches vertragliche Konstrukt ist dann zu nutzen? Der UK Information Commissioner hat ja die neuen SMC für UK nicht “freigegeben” (sondern will später eigene UK SMC herausgeben).