AV mit EU-Unternehmen, trotzdem Drittlandtransfer wegen Subs

Ich bin immer wieder hin- und hergerissen bei der Beurteilung ob ein Drittlandtransfer vorliegt. Wie geht ihr praktisch damit um?

Als Beispiel: Man nimmt eine Dienstleistung eines EU-Unternehmens in Anspruch. Da keine Nicht-EU-Mutter dahinter hängt, finden wir uns voll in der Anwendung der DSGVO (auch beim Dienstleister selbst). Nun setzt dieser Dienstleister wiederum aber die AWS ein. Der Subunternehmer ist also definitiv ein US-Unternehmen.

Nun haben wir aber gelegentlich mal die Konstellation, dass zugesichert wird, dass ausschließlich ein EU-Rechenzentrum zum Einsatz kommt. Ist das in dem AV vertraglich geregelt, sowie, dass Amazon bzw. ein anderer Dritter aus einem Nicht-EU-Land keinen Zugriff auf die Daten hat, sollten wir ja einen ähnlichen Fall wie dieses Patientenentlassungsmanagement aus BaWü vorliegen haben. Ist ein Drittzugriff auf das EU-Rechenzentrum nicht auszuschließen, muss wieder (aufgrund des Subunternehmers) von einem Drittlandtransfern ausgegangen werden.

Dann gibt es Fälle, in denen bekommen wir partout nicht heraus, wo geografisch gehostet wird (was ja auch nur sekundär ist, wenn nicht andere Dinge noch vertraglich geregelt sind).

Daher die ganz profane Frage, wie ihr praktisch damit umgeht, einen Drittlandtransfer zu beurteilen? Muss ich da in jedem Fall vorher eine aufwändige Tiefenprüfung vornehmen, um das beurteilen zu können? Oder stellt ihr AVs grundsätzlich unter Generalverdacht und unterstellt einen Drittlandtransfer?

Ich gehe davon aus, dass dieses Thema dann auch grundsätzlich Consent-pflichtig ist (wenn wir jetzt nicht gerade von einer direkten Cloudflare- oder AWS-Einbindung sprechen, weil die technisch bedingt, nicht eingewilligt werden kann).

Es ist ja gefühlt in 99% der Fälle so, dass Dienstleister selbst irgendeinen Clouddienst im Nicht-EU-Ausland einsetzen. Ich müsste also quasi immer einen Drittlandtransfer in den Datenschutzhinweisen erwähnen (weil ich es im Zweifelsfall nicht anders beweisen kann), selbst wenn der Dienstleister ein reines EU-Unternehmen ist? Oder wie seht ihr das?

Das Thema kommt bei uns auch immer wieder auf.

Wir haben in allen AVVs (auch für innerdeutsche Aufträge) eine Formulierung drin, dass den Dientleister verpflichtet uns a) zu informieren und b) im zweifel ein TIA zu machen bzw. SCC mit entsprechenden Modulen zu nutzen.

Wenn wir dann bei einer Kontrolle “Fehler” feststellen, kann man Abhilfe verlangen und wenn nicht möglich verstößt der Dienstleister gegen die AVV. Aber bisher war immer mit Abhilfe oder schon Diskussion bei Vertragsschließung das gröbste erledigt.

2 „Gefällt mir“

Die vollständige Informationspflicht bei AV bis in ein Drittland durch UAVs liegt beim Verantwortlichen. Ich muss also vollständig informieren. Es reicht m.E. auch nicht aus auf fremde Datenschutz-Informationen zu verlinken, wie man es oft sieht. Und wenn ich nicht vollständig infomieren kann, weil der UAV die Infos dafür nicht ausreichend gibt, dann wäre die AV unzulässig - siehe auch die aktuelle Diskussion zu MS365.
Andererseits kann man Augen und Ohren verschließen und dem AV-Vertrag glauben, sowie den Rest dem AV überlassen, wie auch kürzlich ein Gericht meinte. Aus Sicht des Betroffenen halte ich das aber für “daneben”.

2 „Gefällt mir“