Außerdem ziehen wir ein Fazit und geben Ihnen Praxisempfehlungen. Den ersten oder zweiten Teil verpasst? Kein Problem, Sie können diese einfach hier nachlesen.
7. Erforderlichkeit einer Daten-Transfer-Folgenabschätzung
Die SCC enthalten neben den Artikeln, welche die vertraglichen Vereinbarungen regeln, auch Anlagen (Annex I und II). In den Anlagen sind Angaben zu den konkreten Verarbeitungstätigkeiten und zu den technischen und organisatorischen Maßnahmen zu dokumentieren.
Allerdings sind die SCC und die Anlagen allein nicht ausreichend. Denn zu dem Vertragstext muss eine Daten-Transfer-Folgenabschätzung erfolgen (engl. Transfer Impact Assessment, kurz TIA). Das bedeutet, dass DSGVO-Verantwortliche oder DSGVO-Auftragsverarbeiter vor dem Datenexport ins Drittland zu einem Nicht-DSGVO-Verantwortlichen oder einem Nicht-DSGVO-Auftragsverarbeiter überprüfen müssen, ob im Drittland ggf. Gesetze existieren, die Rechte und Freiheiten von EU-Bürgern verletzten.
Das heißt im Falle der USA: Es muss geprüft werden, ob das vom EuGH beschriebene Risiko des Zugriffes auf personenbezogene Daten von EU-Bürgern durch US-Sicherheitsbehörden verhindert werden kann.
Es besteht also eine gesetzliche Pflicht zu prüfen und zu protokollieren, dass kein Grund zur Annahme besteht, dass Gesetze im Drittland den Nicht-DSGVO-Verantwortlichen oder Nicht-DSGVO-Auftragsverarbeiter (Datenimporteuer) daran hindern können, seinen Pflichten aus den SCC nachzukommen. Da es unmöglich erscheint, alle Gesetze im Drittland zu kennen und zu analysieren, sollte der Datenimporteur an der TIA beteiligt werden.
8. Fazit und Praxisempfehlung
Auch wenn die neuen SCC eine deutlich intensivere Auseinandersetzung mit der Verarbeitung personenbezogener Daten in Drittländern mit sich bringen und nicht alle aktuellen Probleme auf dem Papier gelöst werden können, ist eine frühzeitige Initiierung der Aktualisierung bereits vorhandener SCC dringend zu empfehlen. Die Frist hierzu endet am 27.12.2022.
Sofern ein Auftragsverarbeiter für neu abzuschließende Verträge nach dem 27.09.2021 keine neuen SCC anbietet, ist von einem Einsatz bzw. Vertragsabschluss abzuraten.
Empfehlung: Die neuen SCC bieten ein höheres Schutzniveau als die alten und sollten daher möglichst schnell aktualisiert werden. Bei US-Dienstleistern, welche eine Vielzahl von Kunden innerhalb der EU haben, wurden die SCC in den Service Bestimmungen bzw. Vereinbarungen zum Datenschutz bereits zum Teil aktualisiert, wie bei AWS oder spezifischen Google-Diensten.
Besonderheit: Bei US-Dienstleistern gelten die neuen Service Bestimmungen bzw. Vereinbarungen zum Datenschutz (inkl. neue SCC) mit der Aktualisierung der Nutzungsbedingungen/Allgemeinen Geschäftsbedingungen (AGB). Einer ausdrücklichen Zustimmung durch den Auftraggeber bedarf es in der Regel nicht.
Achtung: Im Einzelfall ist jedoch unter Beteiligung des Datenschutzbeauftragtenzu prüfen, ob dies bei dem jeweils eingesetzten Produkt / Dienstleister auch tatsächlich der Fall ist.