Neue Standarddatenschutzklauseln (II)

Beitrag verfasst von Dr. Rainer Knyrim – KTR-Newsletter August 2021

Am 4. Juni 2021 hat die EU-Kommission ein neues Set an Standarddatenschutzklauseln für den internationalen Datentransfer veröffentlicht (Publications Office (europa.eu)). Die neuen Standarddatenschutzklauseln sind seit 27. Juni 2021 in Kraft und können seither angewandt werden.

Im Folgenden informieren wir Sie kurz über die wesentlichen Regelungsinhalte und Neuerungen:

  • Wer die neuen C2P oder P2P Standarddatenschutzklauseln vereinbart, benötigt keinen zusätzlichen Auftragsverarbeitervertrag. Die Europäische Kommission hat nämlich von ihrer Ermächtigung Gebrauch gemacht und die entsprechenden Mindestinhalte für Auftragsverarbeiterverträge in die Standarddatenschutzklauseln aufgenommen. Wir raten Ihnen dennoch zur Vereinbarung zusätzlicher Themenbereiche! Denn nur weil etwas gesetzlich nicht verlangt ist, heißt das nicht, dass es nicht wirtschaftlich sinnvoll wäre.
  • Den Verantwortlichen oder Auftragsverarbeiter im EWR (Datenexporteur) trifft (nun auch offiziell) eine umfassende Vorabprüfungs- und Rechenschaftspflicht. So haben alle Parteien die Einhaltung der Standarddatenschutzklauseln durch eine geeignete Dokumentation nachweisen zu können. Für den Datenexporteur kommt hinzu, dass er die Einhaltung der Standarddatenschutzklauseln durch den Verantwortlichen oder Auftragsverarbeiter im Drittland (Datenimporteur) garantiert. Auch das mittlerweile übliche Auditrecht ist in Zukunft ein fixer Bestandteil.
  • Ein Anknüpfungspunkt zum Schrems II Urteil des EuGH findet sich in Zukunft bei detaillierten Vorgaben, wie mit Geheimhaltungs- und Vertraulichkeitsverletzungen durch einen Data Breach oder durch staatliche Stellen im Drittland umzugehen ist.
  • Änderungen und Erweiterungen der Vertragsparteien können in Zukunft durch eine großzügige Docking Klausel effizient erledigt werden. Hierfür bedarf es bloß einiger kleiner Ergänzungen in den bestehenden Anhängen zu den vereinbarten Standarddatenschutzklauseln und einer Unterschrift; gerade in Zeiten einer vermehrten Austauschbarkeit von Lieferanten eine sinnvolle Arbeitserleichterung.

Zusammenfassend lässt sich sagen, dass der internationale Datentransfer mit Standarddatenschutzklauseln ab sofort ein strenges Prüf-, Notifikations- und Überwachungskonzept verlangt. Im Gegenzug erhält man einen Formblattcharakter, der die tägliche Arbeit erleichtert. Dienstleister im EWR-Ausland sind vorab genau unter die Lupe zu nehmen; immerhin garantieren Sie die Eignung und Wahrung des angemessenen Schutzniveaus beim Datenimporteur. Auch haben Sie sich regelmäßig durch Überwachungen und Prüfungen von der Einhaltung und fortdauernden Eignung zu überzeugen und letztlich umgehend die Notbremse zu ziehen, sollten Sie die Information oder den Verdacht haben, dass Ihr Datenimporteur den vereinbarten Schutzrahmen nicht einhält bzw. aufgrund äußerer Umstände (bspw. Gesetze im Drittland) nicht einhalten kann. Gerade mit Blick auf die vereinbarten technischen und organisatorischen Maßnahmen sollte das Lieferantenmanagement entsprechend angepasst werden, denn Standarddatenschutzklauseln weisen auch eine Drittbegünstigtenklausel auf. Diese kann für den Datenexporteur sehr unangenehm werden: Vorgesehen ist, dass Sie betroffenen Personen – mit einigen wenigen Ausnahmen – für die Einhaltung der Standarddatenschutzklauseln haften.

Welche die entscheidenden Punkte bei der Implementierung der zusätzlichen Maßnahmen aus Sicht der Datenschutzbehörden sind erfahren Sie aus der finalen Version der Empfehlungen 1/2020 des Europäischen Datenschutzausschusses, die am 19. Juni 2021 publiziert wurden: Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data | European Data Protection Board (europa.eu).

Artikel drucken

Beiträge

Newsletter August 2021

Knyrim Trieb und Secur-Data gründen gemeinsame Zertifizierungs-GmbH

Im Juni 2021 haben wir gemeinsam mit Frau Mag. Judith Leschanz und Herrn Prof. Hans-Jürgen Pollirer von Secur-Data Betriebsberatungs GmbH die KT & SD DSGVO ZERT GmbH gegründet. Nach Akkreditierung durch die Datenschutzbehörde soll die neue Gesellschaft schon bald datenschutzrechtliche Zertifizierungen anbieten.

Neue Standarddatenschutzklauseln (I)

Am 4. Juni 2021 wurden von der EU-Kommission neue Standarddatenschutzklauseln für den internationalen Datentransfer in Drittländer angenommen. Die neuen Standarddatenschutzklauseln sehen einen modularen Ansatz vor. Die Übergangsfrist endet am 27. Dezember 2022.

Neue Standarddatenschutzklauseln (II)

Der internationale Datentransfer mit Standarddatenschutzklauseln verlangt nun ein weitaus strengeres Prüf-, Notifikations- und Überwachungskonzept!

EDSA-Empfehlungen für Prüfschritte bei Drittlandstransfers

Der Europäische Datenschutzausschuss hat am 18. juni 2021 die endgültige Fassung seiner „Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten“ veröffentlicht. Diese Empfehlungen können und sollen bei Datentransfers in Drittländer für die Prüfung der Rechtslage herangezogen werden.

Datenschutzkonformer Betrieb einer Facebook-Fanpage unmöglich

Der deutsche Bundesschutzbeauftragte nimmt in seinem Rundschreiben vom 16.06.2021 erneut Bezug auf den nicht datenschutzkonformen Betrieb einer Facebook-Fanpage. Vergebens versuchte das Presse- und Informationsamt der Bundesregierung (BPA) eine Lösung mit Facebook zu erzielen.

Deutsche Datenschutzkonferenz veröffentlicht Übersichtsliste über Publikationen

Die vor kurzem von der deutschen Datenschutzkonferenz veröffentlichte Übersichtsliste mit Publikationen der Landes- und Bundesdatenschutzbehörden präsentiert eine Fülle an behördlichen Informationsmaterial zum Datenschutzrecht.

Beschwerdewelle gegen Cookie-Banner

Heutzutage verwendet ein Großteil der Webseiten Cookies oder Dienste von Drittanbietern. Diese erfordern eine explizite Einverständniserklärung, welche durch aufwändige Consent-Banner dargestellt wird. Zusätzlich soll dieser Banner zur konkreten Aufbereitung von Informationen über den Einsatz von Cookies und die Einbindung von Drittdiensten dienen.