Hallo in die Runde,
als Business-Kunde möchten wir einen Cloud-Service eines Dienstleisters einsetzen, der AWS als Infrastruktur-Dienstleister (Sub) verwendet. Der Dienstleister mit Hauptsitz in Frankreich gibt an, dass eine TIA vorliegt. Haben wir als Business-Kunde einen Anspruch darauf, die TIA zu erhalten oder einzusehen? Wer hat und unter welchen Voraussetzungen Anspruch auf Einsichtnahme oder Übermittlung?
Vielen Dank für die Unterstützung!
Aber warum denn? Dort bewertet der Dienstleister ja seine eigenen Risiken in Bezug auf den Datentransfer. Ich würde sogar vermuten, dass da auch Geschäftsgeheimnisse mit enthalten sind, die er sicherlich nicht gern mit seinen Kunden teilen möchte. Letztendlich muss jeder selbst überlegen, das Risiko eines Transfers zu diesem Dienstleister aussieht und dann entscheiden, ob man den Vertrag macht oder nicht.
Fragen kann man mal. Gerade als Auftraggeber einer Auftragsverarbeitung sollten Zusicherungen so formuliert sein, dass man sie den Kunden zeigen kann. Schon als Verkaufsargument, weil die das so brauchen.
Allerdings haben dann die Kunden zu bewerten, ob die gefunden Risiken und gewählten Lösungen auf die Verarbeitung in ihrer Verantwortung anwendbar sind (Situation, Sensibilität, Umfang…). Sie können eine vollständige TIA selbst machen (und bräuchten dazu Angaben der Dienstleister als Datenexporteure sowie der Datenempfänger in Drittländern); oder sie beziehen vergleichbare bestehende eigene bzw. fremde Folgenabschätzungen ein (und müssten deren Eignung für die aktuelle Fragestellung prüfen).
D., der schon viele Dienstleister gesehen hat, die sich irgendeine Konformität selbst bescheinigen. Bei genauerem Hinschauen dürften ihre Kunden leider so gut wie nichts darüber laufen lassen. Entweder wirkunsgsloses Blabla oder unpassende Abdeckung.
Soweit ich weiß, muss die TIA nicht zugänglich gemacht werden, aber der Auftragnehmer / Dienstleister muss den verantwortlichen unterstützen und notwendige Infos bereitstellen.
Diese Bereitstellung kann natürlich eine kleine TIA sein - aber der Verantwortliche muss sowieso sich seine eigene Meinung bilden und ggf die TIA erweitern etc.
Und wie die Vorredner schon sagten, Dienstleister können viel sagen und sich teilweise tolle Label ausdenken, die aber nix aussagen… Vertrauen ist gut… Kontrolle oft besser.
Ja, fragen kann man mal … zB um die Zuverlässigkeit beurteilen zu können. Öhm.
Gibt’s denn welche von Amazon? Oder Microsoft? Oder … Die einzige US TIA, die ich bisher kenne, ist von Atlassian (update Juli 2022) und da tritt man sich beim Aufruf gleichmal Google ein …
Und am Ende steht, wie unverbindlich das alles ist. Subba.
Hier der linke Link https://www.atlassian.com/legal/data-transfer-impact-assessment
Naja Microsoft hat vor ein paar Wochen ein Update seiner SCC veröffentlicht.
https://servicetrust.microsoft.com/viewpage/GDPR - Dokument vom 15.9.2022 (ganz oben und das zweite von oben)
Dazu haben sie noch ein Addendum was quasi eine Vorstufe der TIA darstellen kann (mit gutem Willen). Allerdings ist das ganze dennoch fragwürdig wenn man den Infos einer anderen Seite glaubt. Dort heißt es u.a. “…dass es keine vollständige TIA ist, sondern nur ein Addendum zu den EU Standardvertragsklauseln (Contoller to Contoller).”
Ansonsten gibt es eine ausführliche DSFA zu Microsoft die wir in einem anderen Post hier schonmal diskutiert haben
Hatte von den Lobpreisungen bei heise.de aufgrund der Pressemitteilung einer sportlichen Anwaltskanzlei gelesen und dachte, ich warte auf eine deutschsprachige Version. Gibt’s nicht? Meinetwegen.
Oh… Man muss sich registrieren. Und ein NDA akzeptieren. Ts, ts… Hab jetzt nicht gelesen, ob ich den Text bzw. Sachverhalte daraus meinen Auftraggebern oder der Aufsichtsbehörde zeigen dürfte.
Klar, die Parteien sind Microsoft (Ireland) und Microsoft (USA). Die können untereinander vereinbaren, dass sie Klausel 14 gelesen haben und keinen Grund zur Annahme haben (bzw. nicht sehen wollen), dass Schutzfunktionen der Klauseln im Zielland nicht wirksam wären. Egal, was ihre Kunden über den Dienst abwickeln?
Die Processor-Processor-Vereinbarung, für die das die Drittland-Ergänzung sein soll gilt nur für Weitergaben innerhalb der Auftragsverarbeitung, die EU-Kunden mit Micrsoft Ireland hätten; nicht für die ebenfalls kritisierten Übermittlungan an Microsoft (Ireland oder USA) als Dritte für deren eigenen Zwecke. Wo wäre da die Absicherung? Nochmal allein beim Verantwortlichen (Kunden), der sehen muss, ob es für seine Situation genügt. (Spoiler: wird meistens nicht genügen.)
D., weiterhin skeptisch. In diesem Fall (der überhaupt der Fall der Fälle ist, dessen Lösung alles andere mit abhaken könnte) sehr skeptisch.
Was für ein Murks … Naja, Microsoft ist eben nicht vertrauenswürdig: Dann gibt es eben immer noch kein TIA. Und die bisherigen SCC waren doch zwischen Kundenfirma und MS USA