Datentransfer – Update das X.  

 


Sich Regen bringt Segen …

… oder zumindest ein deutliches Plus Sicherheit, Und auch wenn ich mich an dieser Stelle wiederhole: Unternehmen tun gut daran, ihren Auslandsdatentransfer gründlich zu durchleuchten und zu dokumentieren und sich weitestgehend abzusichern. Denn es reicht eine einzelne Beschwerde Dritter und schon kann die Aufsichtsbehörde anrücken. 

Hierzu können die neuen Standardvertragsklauseln (SCC´s) der EU mit ihrem integrierten Transfer Impact Assessment (TIA) einen wesentlichen Beitrag leisten. Um die gewissenhafte Durchführung dieses TIA´s wird man, will man DSGVO-konform sein, nicht mehr herumkommen: „Empfehlungen zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten“: https://edpb.europa.eu/system/files/2021-06/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_en.pdf 

Im Folgenden geben wir noch einen Überblick darüber, wie ausgewählte US-amerikanische Unternehmen (z.B. Google, Microsoft und Amazon) die neue Standardvertragsklauseln umsetzen und was nun zu beachten ist: 

Die neuen Standardvertragsklauseln folgen einem modularen Ansatz und sind daher wie ein Baukastensystem aufgebaut, sodass für bestimmte Übermittlungskonstellationen jeweils bestimmte Klauseln einschlägig sind. So möchte die EU-Kommission die Klauseln an die praktischen Bedürfnisse anpassen und Klarheit schaffen. Zudem ist die Terminologie endlich an die DSGVO angepasst worden.

Google

Google hat anlässlich der neuen Standardvertragsklauseln seine Datenverarbeitungsbedingungen umfassend angepasst und die neuen Standardvertragsklauseln in die Vertragswerke integriert. Zu unterscheiden sind bei Google – ausgehend von der (umstrittenen) eigenen Einstufung durch Google – zwei datenschutzrechtliche Konstellationen:

1. Google-Dienste als Auftragsverarbeitung

Maßgeblich sind hier zunächst die „Google Ads Data Processing Terms“ (Auftragsverarbeitungsvertrag gem. Art. 28 Abs. 3 DSGVO), die für Google-Dienste wie Google Analytics, Optimize oder Tag Manager gelten. Für die Auftragsverarbeitungs-Konstellation stellt Google folgende Standardvertragsklauseln zur Verfügung:

Modul 3 (Processor-to-Processor): im Hauptanwendungsfall der neuen Standardvertragsklauseln schließt der Google-Kunde mit Sitz in der EU/dem EWR diese gar nicht selbst ab; vielmehr stützt Google die unternehmensinternen Datenübermittlungen, beispielsweise zwischen Google Ireland und Google LLC, auf das Modul 3.

Modul 3 (Processor-to-Processor): Der Google-Kunde als in der EU/EWR ansässiger Auftragsverarbeiter setzt eine Google-Gesellschaft außerhalb der EU/dem EWR als Unterauftragnehmer ein

Modul 2 (Controller-to-Processor): Ein Verantwortlicher mit Sitz in der EU/EWR nimmt eine außerhalb der EU/des EWR ansässige Google-Gesellschaft als Auftragsverarbeiter in Anspruch

Modul 4 (Processor-to-Controller): Ein außerhalb der EU/des EWR ansässiger Verantwortlicher nimmt eine Google-Gesellschaft mit Sitz in der EU/EWR als Auftragsverarbeiter in Anspruch.

2. Google-Dienste zwischen zwei Verantwortlichen

Diese Konstellation baut auf den „Google Ads Controller-Controller Data Protection Terms“ auf und gelten für Google Dienste wie wie Google Ads, AdSense oder Google Ad Manager.

Hier verwendet Google, sofern die als Vertragspartner (und Datenempfänger) fungierende Google-Gesellschaft außerhalb der EU und des EWR ihren Sitz hat, das Modul 1 (Controller-to-Controller) zur Übermittlung personenbezogener Daten in das jeweilige Drittland.

Bei einem bereits bestehenden Vertragsverhältnis mit Google kann man über den Account den Änderungen der Datenverarbeitungsbedingungen aktiv in den Einstellungen zustimmen. Die neuen Bestimmungen für Datenübermittlungen auf Grundlage der Standardvertragsklauseln werden dann ab dem 27. Oktober 2021 wirksam. Unterlässt man die aktive Zustimmung, werden gelten die neuen Bedingungen bei fortgesetzter Nutzung ebenfalls. Bei allen neuen Verträgen, welche ab dem 27. September 2021 geschlossen wurden, gelten die neuen Bestimmungen ab sofort.

Microsoft

Microsoft hat das neue „Microsoft Products and Services Data Protection Addendum“ entsprechend auf die neuen Standardvertragsklauseln angepasst. Weiterhin ließ Microsoft in der Ankündigung verlauten, dass neue Vertragsbeziehungen automatisch auf die neuen Standardvertragsklauseln gestützt werden. Bei bestehenden Verträgen liegt es in der Hand des Kunden, die existierende Vereinbarungen mit Microsoft im Onlinedienst auf den neusten Stand zu aktualisieren und somit die Standardvertragsklauseln aufzunehmen.

Amazon Web Services (AWS)

Auch Amazon Web Services hat in einem Blog-Beitrag bekannt gegeben, dass das „AWS GDPR Data Processing Addendum“ entsprechend um die neuen Standardvertragsklauseln aktualisiert wird. Unter „17. Definitions“ wird auf die Standardvertragsklauseln Controller-to-Processor (Modul 2) und Processor-to-Processor (Modul 3) verwiesen, welche jeweils eine Datenübermittlung zwischen dem AWS-Kunden mit Sitz in der EU/dem EWR und einer Amazon-Gesellschaft außerhalb der EU/EWR zum Gegenstand haben.

Facebook

Ebenfalls hat Facebook mit Wirkung zum 27. September 2021 den „Facebook-Vertragszusatz für die Übermittlung europäischer Daten“ aktualisiert und nimmt dort nunmehr unter Ziff. 6. i. Bezug auf Modul 3 der Standardvertragsklauseln (Processor-to-Processor). Diese finden Anwendung bei konzerninternen Datenübermittlungen und externen Übermittlungen in Drittländer im Rahmen von Produkten und Diensten, die Facebook Irland als Auftragsverarbeiter erbringt. Für andere Datenübermittlungskonstellationen stellt Facebook – soweit derzeit ersichtlich – keine Standardvertragsklauseln bereit.

Atlassian

Atlassian hat mit Mitteilung vom 23. September 2021 ebenfalls auf die neuen Standardvertragsklauseln reagiert und das Data Processing Addendum entsprechend aktualisiert. Verweise auf die neuen Standardvertragsklauseln und die einschlägigen Module finden sich unter Ziff. 2.6. des DPA. Zudem hat Atlassian auch Übermittlungen ausgehend von der Schweiz oder UK entsprechend geregelt. In einem weiteren Unterpunkt stellt Atlassian Informationen für das Transfer Impact Assessment zur Verfügung.

Salesforce

Auch Salesforce nimmt die neuen Standardvertragsklauseln in das Data Processing Addendum mit auf und stellt darüber hinaus mit dem Transparenzbericht, den Prinzipien zum Umgang mit behördlichen Auskunftsanfragen und weiteren Informationen für das Transfer Impact Assessment umfangreiche und aktualisierte Informationen für Salesforce-Kunden und deren eigene Risikobewertung zur Verfügung.

Fazit

Datenübermittelnde Unternehmen, egal ob in der Rolle als Verantwortlicher oder Auftragsverarbeiter, sollten ihre Vertragswerke mit den US-amerikanischen Anbietern unbedingt auf eine Aktualisierung zu den neuen Standardvertragsklauseln überprüfen und – sofern erforderlich und möglich – die erforderlichen Schritte zum Abschluss der neuen Standardvertragsklauseln einleiten. In einem zweiten Schritt sind die Informationenspflichten nach Art. 13 DSGVO zu überprüfen und dort enthaltenen Abschnitte zu Drittlandsübermittlungen (Art. 13 Abs. 1 lit. f DSGVO) gegebenenfalls zu aktualisieren.

Und noch dazu: Der Landesdatenschutzbeauftragte (LfDI) BW hat seine Orientierungshilfe überarbeitet, abrufbar unter: https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2021/10/OH-int-Datentransfer.pdf 

Aussicht: Es lichtet sich ein wenig, wird schon etwas einfacher und gibt wenigstens ein wenig Rechtssicherheit. Und: Wir helfen gerne weiter!