ich arbeite in der Verwaltung einer Universität und wir haben das Problem, dass wir nicht wissen, wann eigentlich Standardvertragsklauseln für den Auslandstransfer notwendig sind. Bei Verträgen zur Auftragsverarbeitung ist die Lage klar, aber wie verhält es sich beispielweise Bestellungen und Aufträgen im Einkauf? Wenn eine Sachbearbeiterin einem Drittland etwas für einen Professorin ordert und dabei sowohl den eigenen, als auch den Namen von weiteren Beschäftigten, ins Ausland überträgt, wird dann schon die Nutzung von SCC notwendig oder greift hier ein berechtigtes Interesse? Unsere DSB sieht das alles sehr kritisch und vermutet da schon die Notwendigkeit der SCC-Nutzung, will sich aber auch nicht zu einer abschließenden Aussage hinreissen lassen. Kann mir jemand bei der Thematik Licht ins Dunkel bringen?
Die Datenverarbeitung ist dabei nur Nebenzweck bzw. notwendiges Übel.
Dementsprechend würde ich sagen wenn dies nun mit einem Dienstleister im Ausland verbunden ist, würde auch keine Auftragsverarbeitung vorliegen und damit auch keine Notwendigkeit der SCC.
Das berechtigte Interesse ist sowieso die Rechtsgrundlage unabhängig davon ob AV vorliegt oder nicht.
Prüfung ob Verarbeitung überhaupt erlaubt (Rechtsgrundlage)
Prüfung welche Rolle der Dienstleister hat
Vertragliche Regelungen wenn notwendig
Ja ich weiß diese Prüfung ist nicht abschlißend und hat auch nicht alle Details aber im groben sind das die Schritte.
Es wird hier um den (unglücklichen) Wortlaut der DS-GVO gehen (speziell Art 49 ?): die Daten werden ja dennoch übermittelt.
Es betrifft auch andere Verarbeitungen, bei denen p.b. Daten nur “Beiwerk” sind, etwa Angebote oder Rechnungen, Korrespondenzen dazu.
Edit (nach lesen von “GDPO”): nein, die Begründung greift nicht - wieso sollte das im Interesse eines Sachbearbeiters liegen? Nur weil er seine Arbeit machen muss?
Ein berechtigtes Interesse des Verantwortlichen als Ausnahme gem. Art.49 muss “zwingend” sein. Das ist der Unterschied zum Art.6 Abs.1 f) und jeglichen berechtigten Interessen. Der Europäische Datenschutzausschuss (EDSA) sieht in den Leitlinien 2/2018 als Beispiele die Abwehr von unmittelbar bevorstehenden, schwerwiegenden Schäden oder einer empfindlichen Strafe. Ein solches zwingendes berechtigtes Interesse kann ich hier nicht erkennen.
Den Einwand von haderner bzgl. Art.49 Abs.1 lit c) teile ich. Das Interesse der Sachbearbeiter ist nicht tangiert. Zudem soll die Übermittlung gelegentlich erfolgen, was bei häufigeren Bestellungen / Korrespondenzen nicht mehr der Fall ist. Eine Einwilligung scheidet aus, wenn ein Produkt nur bei einem Anbieter im Drittstaat erhältlich ist oder die Sachbearbeiter die Bestellung schwerlich ablehnen können (Aufgabenerfüllung). Ich bezweifle auch, dass eine informierte Einwilligung möglich ist. Ein “Beiwerk” sehe ich dann nicht, wenn es um personenbezogene Lizenzen oder ähnliches geht, also eine zwingende Zuordnung zur Person erfolgt.
vielen Dank erstmal für die vielen Rückmeldungen. Wenn ich die Leitlinien zu Art. 49 Ausnahmen richtig verstehe, könnte doch der beschriebene Fall aus Seite 11 eventuell doch zutreffen? :
“Eine Übermittlung kann beispielsweise als gelegentlich erachtet werden, wenn die
personenbezogenen Daten eines Vertriebsleiters, der im Rahmen seines Arbeitsvertrags zu
verschiedenen Kunden in Drittländern reist, an diese Kunden gesendet werden, damit die Treffen
organisiert werden können.”
Solche Bestellungen bei denen Sachbearbeiter Korrespondenzen haben finden nicht täglich statt sondern hin und wieder, zu mal auch immer die mögliche Beschaffung in der EU geprüft wird. Oftmals findet auch eine notwendige Ausschreibung statt. Diese Leitlinien sind auf jeden Fall etwas, was ich mit unserer DSB durchgehen könnte, vielen Dank für den Hinweis. Ich werde die Rückmeldung unserer DSB und evetuell unseres Justiziariates hier auf jeden Fall zur weiteren Diskussion teilen.
Meine Antwort zielt jetzt zwar nicht so direkt auf die Frage zu Standardvertragsklauseln. Dennoch vielleicht der Hinweis, dass man bei einer solchen Bestellung im Sinne der Datenminimierung grundsätzlich auch die Nennung von Namen von Sachbearbeiter und Professor/in vermeiden kann. Was spricht dagegen, z.B. nur “Lehrstuhl für Sachgebiet” und “Uni Musterstadt, Abteilung Einkauf” anzugeben? Und als E-Mail-Adresse muss es auch keine persönliche Adresse in der Form vorname.nachname@uni-musterstadt.de sein, sondern zentraleinkauf@uni-musterstadt.de
Das nur als Hinweis. Ich habe nämlich die Erfahrung gemacht, dass oft zu wenig an solche Möglichkeiten gedacht wird.
Beim Vertriebsleiter darf der Nebensatz “der im Rahmen seines Arbeitsvertrags…” nicht überlesen werden. Das beinhaltet eine vertragliche Verpflichtung, in der eine Übermittlung geregelt werden kann.
Könnt Ihr UHEDYs Hinweis umsetzen? Das wäre die einfachste Methode.
Ich bin selbst auch ein Fan von Datenminimierung und weise da auch oft drauf hin. Da gibt es aber ein paar Probleme die man überwinden muss :
Es wurde schon ewig so gearbeitet, eine Umstellung der Prozesse wird meistens nicht so gern angenommen
Das Thema Datenschutz ist bei vielen einfach nicht präsent, trotz Datenschutzschulung usw. .
Wenn mehrere an einem Sachverhalt arbeiten, kann man etwaige Abläufe besser nachvollziehen, nachfragen stellen usw. → könnte man mit Pseudonymen oder Referenzen ersetzen
Es werden schon Funktionspostfächer genutzt, aber die Sachbearbeiter*innen schreiben dennoch in die Mails Ihre Namen rein. Das ganze ließe sich aber innerorganisatorisch sicher lösen und das bringe ich auch jetzt zur Diskussion.
Art. 6 Abs. 1 lit b. die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich. Allerdings ist die Vertragspartei eine “Universität” und keine natürliche Person. Man sollte sich hier bei den personenbezogenen Daten auf solche beschränken, die sowieso allgemein zugänglich sind, d.h. wenn die Betroffenen z.B. namentlich auf einer öffentlichen Webseite als Ansprechpartner der Universität genannt werden.
Hallo Leute,
da kauft jemand im Ausland ein. Und muss natürlich Lieferanschrift und Ansprechpartner oder dergl. angeben.
Die Daten werden doch aber nicht im Auftrag, also weisungsgebunden, sondern in eigener Verantwortung des Verkäufers verarbeitet? Wir haben es hier doch mit dem schlichten Verhältnis ‘verantwortlicher (Verkäufer)’ und ‘betroffener (Kunde)’ zu tun.
Sonst könnte ich ja bei Mc Donalds nicht mehr mit ec-karte bezahlen, ohne standardvertragsklauseln zu schließen.
Standardvertragsklauseln sind nicht nur für Auftragsverarbeitungsverhältnisse möglich. Drittlandübermittlungen kann man so auch zwischen Verantwortlichen schließen; oder Auftragsverarbeiter in der EU mit verantwortlichen Auftraggeber außerhalb.
D., der jetzt nicht behauptet nicht zu wissen, was McDonald’s ist, aber nicht versteht, was EC-Karten oder deutsche Franchisenehmer mit Drittländern zu tun haben.
Ok, ersetzen wir Mc Donalds durch Amazon, um den deutschen Franchisenehmer rauszuklinken.
Und um es auf die Spitze zu treiben: was ist mit dem weltweiten Datentransfer, der durch jede einzelne personenbezogene Date, inkl. Bildern auf den Firmenwebsites passiert?
Auch ich sehe zunächst eine normale Käufer <> Verkäufer Konstellation und keine Auftragsverarbeitung, denn bei Standardbestellungen wird niemand mit der Verarbeitung von pb Daten beauftragt. Etwas anderes wäre zB die Beauftragung von Cloud- oder anderen IT-Dienstleistungen. Hier muss man für den Einzelfall entscheiden.
Der Punkt ist, dass die DSGVO vom Verantwortlichen eine Rechtsgrundlage für die Übermittlung fordert. Bestellt zB ein Prof für sich persönlich (Futter oder) Software und nutzt diese privat, dann ist das sein privates Geschäft mit Wemauchimmer (McDonald’s, Amazon …). Bestellt aber die Hochschule (hier in Form der Sachbearbeiter) die Software und übermittelt dabei die Daten der Profs und Sachbearbeiter, handelt die Hochschule als Verantwortlicher und verarbeitet Beschäftigtendaten. Und wenn wir von Standardvertragsklauseln reden, dann reden wir von Übermittlungen, für die keine geeigneten Garantien existieren. Modul Eins regelt die Übermittlung zwischen Verantwortlichen. https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32021D0914
Also: wenn ich das richtig verstehe, schließe ich als Verantwortlicher mit Amazon als Verantwortlichem jetzt 6 Seiten Standardvertragsklauseln ab, damit ich dann einmalig für die Uni ein Buch in den richtigen Fachbereich unter Angabe des Namens des zuständigen Professors bestellen kann? Am besten noch mit zusätzlicher Vereinbarung von zusätzlichen TOM und Rechtspflichten (letztinstanzliche Klagepflicht bei Offenlegungsgesuch, usw.)
Wer macht das denn alles so?
Und ist das dann nicht wirklich das ‘Aus’ für jedes Personenbild oder jeden namentlich benannten Ansprechpartner auf einer Website?
Was ist denn, wenn der Betroffene seine pbD selbst angibt, aber gleichzeitig nicht Vertragspartner wird.
Also wenn der Sachbearbeiter meinetwegen aus einem gemeinsamen Postfach heraus emailt und dadurch eine Bestellung seines Arbeitgebers auslöst und am Ende der E-Mail noch seine persönliche Signatur drunter packt.
Man könnte argumentieren, dass des Betroffene selbst die Daten eingibt und dies somit keine Übermittlung des V ist.
Die Problematik müsste ja eigentlich so ziemlich jedes internationale Unternehmen betreffen und gleichzeitig kann nicht gewollt sein, dass für für wirklich jede Übertragung von pbDs außerhalb der EU die SCCs abgeschlossen werden sollen. Hat insofern mittlerweile vllt. jemand hier Erfahrungswerte?