Standardvertragsklauseln für Datentransfers: Neue FAQ des EDPB.

von Dr. Axel Spies, veröffentlicht am 25.05.2022

Die neuen FAQ des European Data Protection Board sind hilfreich, aber bringen in vielen Antworten faktisch nichts Neues: https://ec.europa.eu/info/sites/default/files/questions_answers_on_sccs_en.pdf

Relevant für die Praxis ist FAQ 16 (meine Übersetzung):

Muss der Auftragsverarbeiter dem für die Verarbeitung Verantwortlichen den/die Namen des/der Unterauftragsverarbeiter(s) mitteilen, die er beauftragt?

Ja. Gemäß Klausel 7.7 "Einsatz von Unterauftragsverarbeitern" müssen die Parteien eine von zwei Optionen wählen: OPTION 1: VORHERIGE SPEZIFISCHE ERMÄCHTIGUNG oder OPTION 2: ALLGEMEINE SCHRIFTLICHE GENEHMIGUNG. In beiden Fällen muss der Auftragsverarbeiter dem für die Verarbeitung Verantwortlichen den/die Namen der einzelnen Unterauftragsverarbeiter mitteilen, damit dieser über die Zulassung des/der ausgewählten Unterauftragsverarbeiter entscheiden kann. Es reicht nicht aus, wenn der Auftragsverarbeiter nur die Kategorien für die Unterauftragsverarbeiter angibt. Es ist Sache der Parteien, eine Frist zu vereinbaren, innerhalb derer der Auftragsverarbeiter den Antrag auf vorherige Einzelgenehmigung stellen muss (OPTION 1), oder den für die Verarbeitung Verantwortlichen schriftlich über beabsichtigte Änderungen der vereinbarten Liste der Unterauftragsverarbeiter zu informieren hat (OPTION 2).

Was meinen Sie, wie kann man die Vorgaben praktisch umsetzen, z.B. durch ein Weblink?

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

4 Kommentare

Kommentare als Feed abonnieren

Nach diesem kurzen Text zu urteilen müßte es möglich sein, dass der AN die Namen der Unterauftragsnehmer auf eine Liste  (Weblink?) nimmt, das er dann dem AG in regelmäßigen Abständen per Email zur Verfügung stellt, wennd as so vereinbart wird

Interessant noch zur Docking Clause auf S. 8: " One or several new parties may adhere to the SCCs with the consent of all the pre-existing parties. The formalisation of such consent is not regulated by the SCCs, but should be done in accordance with relevant provisions of the national law governing the SCCs. For example, if allowed under applicable contract law, one party may be appointed by the others to agree to the accession of a new party on behalf of all pre-existing parties. Once this authorisation is formalised, the new party will need to complete the Annexes and sign Annex I of the SCCs in order to make such accession effective. Amending the main agreement to which the SCCs are annexed, by adding parties to that agreement, is not sufficient to add parties to the SCCs."

0

Lieber Herr Spies,

vielen Dank fürs Teilen der EDPB FAQs zu den neuen SCC.

Diese Pflicht des Auftragsverarbeiters die Subunternehmer und auch der Änderung dem Verantwortlichen mitzuteilen, erwächst mE aus der Dokumentationspflicht der DS-GVO. Nur so kann der Verantwortliche nachweisen und prüfen, wo „seine“ Daten verarbeitet werden.

Um diese Pflicht praxisnah auszugestalten, erlebe ich immer öfter die von Ihnen angesprochenen Weblinks, die mal mehr und mal weniger agil und aktuell sind. Inzwischen bieten einige Unternehmen sogenannte Newsletter an, mit denen Sie den verantwortlichen Auftraggeber über Änderungen der Subunternehmer informieren. Auf der Auftraggeberseite stellt sich dann die Herausforderung für einen entsprechenden Informations- und Dokumentationsprozess. Wo geht diese Info ein? Beim Einkauf oder in der Datenschutzabteilung und wer bearbeitet die Info und lehnt im Zweifel den neuen Subunternehmer ab und was passiert dann mit dem gesamten Vertrag?

Ehrlicherweise gab es diese Fragestellung auch schon vor den neuen SCC – nur ist nun der (vorhandene oder fehelende) unternehmensseitige Prozess im Rahmen der AVV-Dokumentation stärker in den Fokus gerückt.

Liebe Frau Schmitz - die Beschreibung ist sehr hilfreich und stimmt mit dem überein, was ich so in letzter Zeit gesehen habe. Eine Schwierigkeit ist in der Tat, diesen Prozess ordentlich zu dokumentieren und mit Leben zu füllen. Die Namen der Unterauftragsverarbeiter mitzuteilen, mag nicht immer ausreichen, weil damit eine klar Identifizierung häufig nicht gegben ist. In der Praxis werden häufig noch der Ort der Verarbeitung und manchmal auch der Zweck der Verarbeitung ergänzt. 

Auch noch praktisch wichtig: 

1) Sie benötigen eine Unterschrift für Anhang I der SCC und müssen Ihre Kontaktinformationen angeben. Bloße Verweise auf die SCC reichen nicht. Ob eine digitale Unterschrift ausreicht, bestimmt das anwendbare Recht.

2) Die SCC können von für die Verarbeitung Verantwortlichen und Auftragsverarbeitern außerhalb des EWR für Datenübermittlungen im Zusammenhang mit diesen Verarbeitungen an Stellen außerhalb des EWR in folgenden Fällen verwendet werden:

a) von einem für die Verarbeitung Verantwortlichen außerhalb des EWR, dessen Verarbeitung der DSGVO unterliegt, an einen für die Verarbeitung Verantwortlichen oder Auftragsverarbeiter außerhalb des EWR, der nicht der DSGVO unterliegt;

b) von einem Auftragsverarbeiter außerhalb des EWR, dessen Verarbeitung der DSGVO unterliegt, an einen Unterauftragsverarbeiter oder an einen für die Verarbeitung Verantwortlichen außerhalb des EWR (in dessen Auftrag er die Daten verarbeitet), der nicht der DSGVO unterliegt.

Sie können aber NICHT verwenden werden für für Datenübermittlungen an für die Verarbeitung Verantwortliche oder Auftragsverarbeiter verwendet werden, deren Verarbeitungen direkt der DSGVO unterliegen. Die Europäische Kommission ist dabei, einen zusätzlichen Satz von SCCs für dieses Szenario zu entwickeln.

0

Kommentar hinzufügen

/