BayLfD Kurz-Info 51 Erste Hilfe zum EU-US DPF – Was ist dennoch zu tun?
von , veröffentlicht am 15.08.2023Der Bayerische Landesdatenschutzbeauftragte (BayLfD) hat eine Kurz-Information Nr. 51 zum EU-US DPF zum 1.8.2023 veröffentlicht. Unter Punkt 5 wird ausgeführt, was trotz des EU-US DPF zu beachten ist. Dabei wird zum Thema Weiterübermittlung folgender Hinweis gegeben:
„Vor einer solchen Prüfung sollten bayerische öffentliche Stellen wie bisher auf Grundlage eines Datenschutz-Sicherheitskonzepts die potentiellen Drittlandübermittlungen präzise erfassen ("know your transfers"). Dabei ist vor allem auch auf Weiterübermittlungen zu achten, wenn zum Beispiel die für den Datenexporteur tätigen US-Auftragsverarbeiter die personenbezogenen Daten an einen Unterauftragsverarbeiter in einem anderen Drittland übermitteln. Schließlich gilt der Angemessenheitsbeschluss für das EU-U.S. Data Privacy Framework für solche Weiterübermittlungen nicht.“
Bei Durchsicht des Data Privacy Framework Program der International Trade Administration des US-Handelsministerium wird aber die Weiterübermittlung im DPF durchaus geregelt und zwar unter Punkt 10 Obligatory Contracts for Onward Transfers und unter Punkt 3 ACCOUNTABILITY FOR ONWARD TRANSFER.
Danach muss zwischen Auftraggeber (Exporteuer) und Auftragnehmer (Importeuer) immer ein Datenverarbeitungsvertrag geschlossen werden, und zwar „whether the processing operation is carried out inside or outside the EU, and whether or not the processor participates in the EU-U.S. DPF.“ Die US-Dienstleister müssen zudem beachten, „that the recipient will provide the same level of protection as the Principles (…)“.
Damit sollten die Bedenken des BayLfD hinsichtlich der Weitergabe ausgeräumt werden können.
Was meinen Sie?
Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben
1 Kommentar
Kommentare als Feed abonnierenVielen Dank. Noch als Zusatzbemerkung: Wenn dieser Empfänger der Daten bei der Weiterübermittlung wegen Art. 3 selbst der DSGVO unterfällt, gelten natürlich für den Empfänger die weiteren Voraussetzungen der DSGVO für die EU Daten. Aber ich sehe darin keinen Widerspruch zum genannten Punkt 10.