kann mir jemand zur Auftragsverarbeitung und Drittlandstransfer helfen?
Wir müssen in unsere Prozesse zwei Auftragsverarbeiter einbinden, einer ist ein spanisches Unternehmen, einer ein französisches. Der Spanier schreibt in seinen eigenen Datenschutzhinweisen, dass er die AWS nutzt. Der Franzose hat zwar eine Niederlassung, gehört aber zu einem US-Konzern.
Folgende Fragestellungen sind mir noch nicht klar:
Kann ich mit den jeweils europäischen Standorten (wenn sie es ermöglichen) einen “normalen” AVV abschließen, oder muss ich zumindest beim Franzosen auf jeden Fall auf Grundlage der SCC mit dem Mutterkonzern arbeiten?
Wenn ich inner-europäisch mit AVVs arbeiten kann, muss ich in meinen eigenen Datenschutzhinweisen angeben, dass bspw. aufgrund der AWS des Unterauftragverarbeiters ein Drittlandstransfer stattfindet? Oder erübrigt sich der Hinweis auf meiner Seite, weil im Rahmen der Auftragnehmerkontrolle und des zugrundeliegenden Vertrags eine Verpflichtung zur Einhaltung der DS-GVO gefordert ist?
eine Situation wie ich sie als DSB eines Krankenhauses häufig vorfinde. Bei klinischen Studien sind die Partner vor Ort nicht selten ein Tochterunternehmen eines US-Konzerns.
Grundsätzlich stellt sich dabei die Frage oder der “Franzose” die Daten nach Hause funkt, oder ob die Verarbeitung grundsätzlich im Wirkbereich der DS-GVO stattfindet und keine Daten nach USA gehen. Gehen die Daten nach USA ist die Frage wer die Rolle des Exporteur inne hat. Seit ihr das dann, muss ein Vertrag auf Basis der SCC her. Übermittelt der Franzose nach USA, dann muss dieser Euch das Schutzniveau nach SCC nachweisen. Hier kann es aber sein, dass noch ein “Bestandsvertrag” nach alten SCC geschlossen ist. Dieser Vertrag muss allerdings bis spätestens 27.12.2022 umgestellt sein!
Beim Spanier mit der AWS könnte es theoretisch möglich, sein, dass der ein AWS-Rechenzentrum nutzt, welches im Wirkbereich der DS-GVO betrieben wird. Wenn der Spanier zudem dann auch Verschlüsselungsmechanismen nutz, zu denen Amazon keinen Zugang hat, dann ist der Zugriff durch US-Behörden grundsätzlich mal nicht möglich. Sollte das der Fall sein, dann wär nur noch die Frage von Interesse, wie dieser sich bei Anfragen von US-amerikanischen Behörden verhalten wird. Wenn es denn eine Anfrage von US-Behörden bei Amazon geben sollte, dann verweist Amazon nämlich auf seinen Kunden, der sich dann als europäisches Unternehmen mit US-Behörden auseinander setzen müsste.
Amazon schreibt auf seiner Internetseite allerdings, dass bisher noch europäische Unternehmen von US-Behörden abgefragt wurden…
danke erstmal. Du skizzierst da den Optimalfall Ich greife das nochmal detaillierter auf.
Franzose:
Wir übermitteln direkt an ihn, daher sollte ja ein üblicher AV-Vertrag ausreichen. Im Rahmen der Auftragnehmerkontrolle muss ich prüfen, ob der Franzose in die USA übermittelt. Das macht er, weil er seine Leistung sonst nicht erbringen kann. D.h. ich muss nach Art. 28 Abs. 3 a) in meinem AV ja schon die ausdrückliche Weisung vorsehen, dass zur Zweckerfüllung ein Datentransfer in die USA erfolgen soll/muss.
Da ich weiß, dass er in die USA transferiert, muss ich mir seine SCC mit seinen eigenen Auftragsverarbeitern (in dem Fall sein Mutterkonzern) geben lassen und prüfen. Interessante Frage am Rande: Muss diese SCC-Prüfung des Unterauftragnehmers dem Vergleich mit einer TIA standhalten?
D.h. für meine ursprüngliche Frage, ob ich bei meinen Art. 13f. Pflichten einen Drittlandtransfer erwähnen muss, kann ich mir quasi selbst mit “ja” beantworten. Die in dem Zusammenhang notwendige Angabe der geeigneten Garantien wären dann die SCCs, die eigentlich der Franzose mit dem Mutterkonzern abgeschlossen hat?
Spanier:
Hierbei handelt es sich um eine SaaS Leistung, für dessen Bereitstellung die AWS verwendet wird und auf die letztlich unsere Kunden direkt zugreifen. Ich kann nicht sicherstellen, dass ausschließlich die europäischen RZs benutzt werden, das dürfte auch sekundär relevant sein, grundsätzlich ist ja ein US-Konzern beteiligt. Das Thema Verschlüsselung müsste ich nochmal genauer prüfen, konnte aber den bisherigen Unterlagen nichts entnehmen. D.h. aber nach Deiner Ausführung, dass die Daten ja direkt ohne Umweg über Spanien in die AWS gehen und ich zwangsläufig einen AV-Vertrag auf SCC-Basis mit dem europäischen Unternehmen benötige? Auch wenn das technisch so laufen mag, aber ist denn das dann nicht wie beim Franzosen im Innenverhältnis zwischen dem Spanier und der AWS zu klären?
Ja, diese Law Enforcement Request Reports sind durchaus im Rahmen der Risikoabwägung einzubeziehen. Mir ging es im Kern aber darum
a) ob für diese Konstellationen die Cross-Border SCCs notwendig sind, obwohl Vertragspartner Europäer sind?
b) ob in beiden Fällen ich einen Drittlandtransfer ggü. meinen Kunden offenbaren muss (vermutlich ja), und was in dem Fall die anzugebende Garantie ist, wenn ich denn nur einen “normalen” AV-Vertrag habe?
Ich greife das nochmal detaillierter auf.
D.h. ich muss nach Art. 28 Abs. 3 a) in meinem AV ja schon die ausdrückliche Weisung vorsehen, dass zur Zweckerfüllung ein Datentransfer in die USA erfolgen soll/muss.