Standardvertragsklauseln für Datentransfers: Neue FAQ des EDPB.
von , veröffentlicht am 25.05.2022Die neuen FAQ des European Data Protection Board sind hilfreich, aber bringen in vielen Antworten faktisch nichts Neues: https://ec.europa.eu/info/sites/default/files/questions_answers_on_sccs_en.pdf
Relevant für die Praxis ist FAQ 16 (meine Übersetzung):
Muss der Auftragsverarbeiter dem für die Verarbeitung Verantwortlichen den/die Namen des/der Unterauftragsverarbeiter(s) mitteilen, die er beauftragt?
Ja. Gemäß Klausel 7.7 "Einsatz von Unterauftragsverarbeitern" müssen die Parteien eine von zwei Optionen wählen: OPTION 1: VORHERIGE SPEZIFISCHE ERMÄCHTIGUNG oder OPTION 2: ALLGEMEINE SCHRIFTLICHE GENEHMIGUNG. In beiden Fällen muss der Auftragsverarbeiter dem für die Verarbeitung Verantwortlichen den/die Namen der einzelnen Unterauftragsverarbeiter mitteilen, damit dieser über die Zulassung des/der ausgewählten Unterauftragsverarbeiter entscheiden kann. Es reicht nicht aus, wenn der Auftragsverarbeiter nur die Kategorien für die Unterauftragsverarbeiter angibt. Es ist Sache der Parteien, eine Frist zu vereinbaren, innerhalb derer der Auftragsverarbeiter den Antrag auf vorherige Einzelgenehmigung stellen muss (OPTION 1), oder den für die Verarbeitung Verantwortlichen schriftlich über beabsichtigte Änderungen der vereinbarten Liste der Unterauftragsverarbeiter zu informieren hat (OPTION 2).
Was meinen Sie, wie kann man die Vorgaben praktisch umsetzen, z.B. durch ein Weblink?
Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben
5 Kommentare
Kommentare als Feed abonnierenNach diesem kurzen Text zu urteilen müßte es möglich sein, dass der AN die Namen der Unterauftragsnehmer auf eine Liste (Weblink?) nimmt, das er dann dem AG in regelmäßigen Abständen per Email zur Verfügung stellt, wennd as so vereinbart wird
Interessant noch zur Docking Clause auf S. 8: " One or several new parties may adhere to the SCCs with the consent of all the pre-existing parties. The formalisation of such consent is not regulated by the SCCs, but should be done in accordance with relevant provisions of the national law governing the SCCs. For example, if allowed under applicable contract law, one party may be appointed by the others to agree to the accession of a new party on behalf of all pre-existing parties. Once this authorisation is formalised, the new party will need to complete the Annexes and sign Annex I of the SCCs in order to make such accession effective. Amending the main agreement to which the SCCs are annexed, by adding parties to that agreement, is not sufficient to add parties to the SCCs."
Lieber Herr Spies,
vielen Dank fürs Teilen der EDPB FAQs zu den neuen SCC.
Diese Pflicht des Auftragsverarbeiters die Subunternehmer und auch der Änderung dem Verantwortlichen mitzuteilen, erwächst mE aus der Dokumentationspflicht der DS-GVO. Nur so kann der Verantwortliche nachweisen und prüfen, wo „seine“ Daten verarbeitet werden.
Um diese Pflicht praxisnah auszugestalten, erlebe ich immer öfter die von Ihnen angesprochenen Weblinks, die mal mehr und mal weniger agil und aktuell sind. Inzwischen bieten einige Unternehmen sogenannte Newsletter an, mit denen Sie den verantwortlichen Auftraggeber über Änderungen der Subunternehmer informieren. Auf der Auftraggeberseite stellt sich dann die Herausforderung für einen entsprechenden Informations- und Dokumentationsprozess. Wo geht diese Info ein? Beim Einkauf oder in der Datenschutzabteilung und wer bearbeitet die Info und lehnt im Zweifel den neuen Subunternehmer ab und was passiert dann mit dem gesamten Vertrag?
Ehrlicherweise gab es diese Fragestellung auch schon vor den neuen SCC – nur ist nun der (vorhandene oder fehelende) unternehmensseitige Prozess im Rahmen der AVV-Dokumentation stärker in den Fokus gerückt.
Liebe Frau Schmitz - die Beschreibung ist sehr hilfreich und stimmt mit dem überein, was ich so in letzter Zeit gesehen habe. Eine Schwierigkeit ist in der Tat, diesen Prozess ordentlich zu dokumentieren und mit Leben zu füllen. Die Namen der Unterauftragsverarbeiter mitzuteilen, mag nicht immer ausreichen, weil damit eine klar Identifizierung häufig nicht gegben ist. In der Praxis werden häufig noch der Ort der Verarbeitung und manchmal auch der Zweck der Verarbeitung ergänzt.
Auch noch praktisch wichtig:
1) Sie benötigen eine Unterschrift für Anhang I der SCC und müssen Ihre Kontaktinformationen angeben. Bloße Verweise auf die SCC reichen nicht. Ob eine digitale Unterschrift ausreicht, bestimmt das anwendbare Recht.
2) Die SCC können von für die Verarbeitung Verantwortlichen und Auftragsverarbeitern außerhalb des EWR für Datenübermittlungen im Zusammenhang mit diesen Verarbeitungen an Stellen außerhalb des EWR in folgenden Fällen verwendet werden:
a) von einem für die Verarbeitung Verantwortlichen außerhalb des EWR, dessen Verarbeitung der DSGVO unterliegt, an einen für die Verarbeitung Verantwortlichen oder Auftragsverarbeiter außerhalb des EWR, der nicht der DSGVO unterliegt;
b) von einem Auftragsverarbeiter außerhalb des EWR, dessen Verarbeitung der DSGVO unterliegt, an einen Unterauftragsverarbeiter oder an einen für die Verarbeitung Verantwortlichen außerhalb des EWR (in dessen Auftrag er die Daten verarbeitet), der nicht der DSGVO unterliegt.
Sie können aber NICHT verwenden werden für für Datenübermittlungen an für die Verarbeitung Verantwortliche oder Auftragsverarbeiter verwendet werden, deren Verarbeitungen direkt der DSGVO unterliegen. Die Europäische Kommission ist dabei, einen zusätzlichen Satz von SCCs für dieses Szenario zu entwickeln.
Ich finde es erstaunlich, dass der EDBP nun nochmals bestätigt hat, dass die neuen Standarddatenschutzklauseln nicht für Verantwortliche oder Auftragsverarbeiter verwendet werden können, die der DSGVO selbst unterliegen. Das sind ja i.d.R. die Standardfälle. Alle, die nach dem Marktortprinzip also darunter fallen (Google, Cisco, Adobe, Faceebook.....)
Das scheint in der Praxis aber nicht zu interessieren oder es wird bewusst ignoriert. Denn alle schließen fleißig die neuen SDKs ab, obwohl diese nicht für solche Konstellationen gelten.