Ich bin immer wieder hin- und hergerissen bei der Beurteilung ob ein Drittlandtransfer vorliegt. Wie geht ihr praktisch damit um?
Als Beispiel: Man nimmt eine Dienstleistung eines EU-Unternehmens in Anspruch. Da keine Nicht-EU-Mutter dahinter hängt, finden wir uns voll in der Anwendung der DSGVO (auch beim Dienstleister selbst). Nun setzt dieser Dienstleister wiederum aber die AWS ein. Der Subunternehmer ist also definitiv ein US-Unternehmen.
Nun haben wir aber gelegentlich mal die Konstellation, dass zugesichert wird, dass ausschließlich ein EU-Rechenzentrum zum Einsatz kommt. Ist das in dem AV vertraglich geregelt, sowie, dass Amazon bzw. ein anderer Dritter aus einem Nicht-EU-Land keinen Zugriff auf die Daten hat, sollten wir ja einen ähnlichen Fall wie dieses Patientenentlassungsmanagement aus BaWü vorliegen haben. Ist ein Drittzugriff auf das EU-Rechenzentrum nicht auszuschließen, muss wieder (aufgrund des Subunternehmers) von einem Drittlandtransfern ausgegangen werden.
Dann gibt es Fälle, in denen bekommen wir partout nicht heraus, wo geografisch gehostet wird (was ja auch nur sekundär ist, wenn nicht andere Dinge noch vertraglich geregelt sind).
Daher die ganz profane Frage, wie ihr praktisch damit umgeht, einen Drittlandtransfer zu beurteilen? Muss ich da in jedem Fall vorher eine aufwändige Tiefenprüfung vornehmen, um das beurteilen zu können? Oder stellt ihr AVs grundsätzlich unter Generalverdacht und unterstellt einen Drittlandtransfer?
Ich gehe davon aus, dass dieses Thema dann auch grundsätzlich Consent-pflichtig ist (wenn wir jetzt nicht gerade von einer direkten Cloudflare- oder AWS-Einbindung sprechen, weil die technisch bedingt, nicht eingewilligt werden kann).
Es ist ja gefühlt in 99% der Fälle so, dass Dienstleister selbst irgendeinen Clouddienst im Nicht-EU-Ausland einsetzen. Ich müsste also quasi immer einen Drittlandtransfer in den Datenschutzhinweisen erwähnen (weil ich es im Zweifelsfall nicht anders beweisen kann), selbst wenn der Dienstleister ein reines EU-Unternehmen ist? Oder wie seht ihr das?