BayLfD Kurz-Info 51 Erste Hilfe zum EU-US DPF – Was ist dennoch zu tun?
Gespeichert von Barbara Schmitz am
Der Bayerische Landesdatenschutzbeauftragte (BayLfD) hat eine Kurz-Information Nr. 51 zum EU-US DPF zum 1.8.2023 veröffentlicht. Unter Punkt 5 wird ausgeführt, was trotz des EU-US DPF zu beachten ist. Dabei wird zum Thema Weiterübermittlung folgender Hinweis gegeben:
„Vor einer solchen Prüfung sollten bayerische öffentliche Stellen wie bisher auf Grundlage eines Datenschutz-Sicherheitskonzepts die potentiellen Drittlandübermittlungen präzise erfassen ("know your transfers"). Dabei ist vor allem auch auf Weiterübermittlungen zu achten, wenn zum Beispiel die für den Datenexporteur tätigen US-Auftragsverarbeiter die personenbezogenen Daten an einen Unterauftragsverarbeiter in einem anderen Drittland übermitteln. Schließlich gilt der Angemessenheitsbeschluss für das EU-U.S. Data Privacy Framework für solche Weiterübermittlungen nicht.“
Bei Durchsicht des Data Privacy Framework Program der International Trade Administration des US-Handelsministerium wird aber die Weiterübermittlung im DPF durchaus geregelt und zwar unter Punkt 10 Obligatory Contracts for Onward Transfers und unter Punkt 3 ACCOUNTABILITY FOR ONWARD TRANSFER.
Danach muss zwischen Auftraggeber (Exporteuer) und Auftragnehmer (Importeuer) immer ein Datenverarbeitungsvertrag geschlossen werden, und zwar „whether the processing operation is carried out inside or outside the EU, and whether or not the processor participates in the EU-U.S. DPF.“ Die US-Dienstleister müssen zudem beachten, „that the recipient will provide the same level of protection as the Principles (…)“.
Damit sollten die Bedenken des BayLfD hinsichtlich der Weitergabe ausgeräumt werden können.
Was meinen Sie?