gern würde ich den Datenaustausch mit einem weiteren Anbieter mittels der SCCs/ Module 1 regeln. Es handelt sich nach Prüfung um einen Controller zu Controller Beziehung. Ich bin der Meinung, dass sich die SCCs auch eignen obwohl beide Parteien innerhalb der EEA ansässig sind und die Daten ausschließlich dort verarbeiten. Die Gegenpartei argumentiert, dass die SCCs nur für den Transfer von Daten in Drittstaaten vorgesehen sind.
D., der demnächst mal prüfen wird, ob an der Sache was dran ist, dass man die C2P-Variante auch für ganz normale Auftragsverarbeitungen (innerhalb der EU) nehmen kann, ohne dass noch etwas aus Art. 28 fehlen würde. Statt jeden Tag irgendwelche fremden Texte Wort für Wort auf die Datenschutzwaage zu legen. Die Drittlandvereinbarungen würden dann nur für ggf. Drittlandaspekte gelten, die es zusätzlich gibt oder nicht gibt.
Mit der Erfahrung der letzten 4 Jahre würde ich sogar noch extremer werden: Warum diese blöden Vereinbarungen, in denen immer dasselbe steht - und insbes. nur, dass sich beide Parteien an geltende Gesetze halten? Dann können wir es doch gleich ganz abschaffen und uns eine Menge unnützer Arbeit sparen.
Die Idee war wohl mal gewesen, dass solche Vereinbarungen ganz individuell auf den Verarbeitungszweck abgestimmt werden. Aber die Praxis hat leider gezeigt, dass 80% der Vereinbarungen das Papier nicht wert sind: Da werden Ankreuzlisten mit Zwecken, Datenarten und Betroffenenguppen angeboten, bei denen dann (zur Sicherheit) mal gleich alles angekreuzt wird. Von den TOM-Anhängen ganz zu schweigen: Firewall: ja. Verschlüsselung: ja. Was soll das denn aussagen? Und meistens wird die AVV dann “nachgeschoben”, wenn die Verarbeitung schon 6 Monate läuft, weil der DSB bei einer Prüfung bemängelt hat, dass das fehlt. Entsprechend viel “Liebe” stecken Fach- und Rechtsabteilung dann dort rein.
Alternativ müsste es mal ein großes Bußgeld für “schlampige” AVV geben. Dann hätte man vielleicht ein Druckmittel, dass das zukünftig vernünftig gemacht wird.
Mir wäre ein automatisches gesetzliches Mitgelten der meisten Rechte /Pflichten lieber als dauernd neue Formulierungen hinterfragen zu müssen. Also alles schon geregelt statt der Pflicht, darüber einen Vertrag zu schließen. Wer der Definition von Auftragsverarbeiter /Verantwortlicher in Art. 4 entspricht, für den gilt automatisch… Nur falls parallel weitere Beziehungen bestehen (gemeinsame Verantwortung, Übermittlung für eigene Zwecke), dann müsste man die von der Auftragsverarbeitung abgrenzen. (Und in die jeweilge Spalte schreiben, was wo hingehört, gell, Microsoft!)
TOM sind sowieso meist eine Sammlung aller irgendwie im Raum stehenden Argumente. Viel hilft viel. Das Meiste davon kommt praktisch nicht zur Anwendung. Dass irgendwo die Möglichkeit der Verschlüsselung besteht bedeutet nicht, dass alles durchgehend verschlüsselt ist, bzw. dass es in diesem Auftrag zuverlässig aktiviert wäre. Eine Datenflussbeschreibung (inkl. Betroffenengruppen, Datenarten, Nutzerrollen), in der man passenden Stellen bestimmte Schutzmaßnahmen festschrauben kann wäre zielführender. Das könnte der Verantwortliche anhand seines Schutzbedarfs vorgeben, oder der Auftragsverarbeiter skizziert seine standardisierte Leistung, ohne dass Rückfragen nötig wären.
Und der erste Satz müsste zur Erinnerung sein, dass das, was da ausgelagert werden soll überhaupt zulässig ist. (Dass es der Verantwortliche selbst machen dürfte.) Inklusive der Nebenzwecke, die durch das Nutzen eines externen Dienstes manchmal erst dazukommen.
D., beim Durchlesen von AV-Verträgen oft missverstanden, weil er das Geschriebene nicht auf Anhieb verstehen will.
Ich stell dann mal die Brett-vorm-Kopf-Frage:
Ich verstehe immer noch nicht ganz den Unterschied zwischen (1) und (2); oder überschneiden die sich teilweise?
Beispiel: Ich übertrage Daten an einen Auftragsverarbeiter in einem Drittland (Beispiel: Google Analytics; die USA-Problematik hier mal beiseite gelassen), das ist ja “Drittlandstransfer” UND “Auftragsverarbeiter” - was ist die Abgrenzung und welcher SCCs sind da die Richtigen für den Vertrag mit dem Auftragsverarbeiter?
Oder muss ich das so verstehen, dass in meinem Beispiel die “SCCs für Drittlandstransfer” einschlägig sind, welche ich also für Auftragsverarbeiter in Nicht-EU-Ländern verwenden sollte, und die “SCC für Auftragsverarbeiter” quasi nur die SCCs (bzw. die in dieser Fassung auch als AVV verwendbaren SCCs) sind, die ich ausschließlichfür Auftragsverarbeiter im Inland und EU-Ländern verwenden sollte?
Die SCC für Drittland sind in deinem Fall die richtigen für unsere Datenschutzfreunde in den USA. - Diese sind immer dann nutzbar wenn es sich um kein sicheres Drittland handelt (hier USA).#
Hey @joeDS (bei der Ansprache bin ich ja fast bei Hendrix!),
super, danke. War von Seiten der EU-Kommission ganz schön missverständlich benannt bzw. ungenügend erklärt (für Laien dann wahrscheinlich noch mehr ).