Aufgrund des Schrems II Urteils sind die Standardvertragsklauseln (auch kurz SCC genannt) wieder stark in den Vordergrund gerückt. Laut dem EuGH Urteil sind diese derzeit, abgesehen von Einwilligung, die einzige Möglichkeit eine DSGVO konforme Datenübermittlung in die USA zu gewährleisten. Da die SCC aber schon in die Jahre gekommen sind und der EuGH die SCC …

Update Privacy Shield Weiterlesen

Aufgrund des Schrems II Urteils sind die Standardvertragsklauseln (auch kurz SCC genannt) wieder stark in den Vordergrund gerückt. Laut dem EuGH Urteil sind diese derzeit, abgesehen von Einwilligung, die einzige Möglichkeit eine DSGVO konforme Datenübermittlung in die USA zu gewährleisten. Da die SCC aber schon in die Jahre gekommen sind und der EuGH die SCC auch nur in Kombination mit „weiteren Maßnahmen“ als rechtskonforme Alternative im Urteil angeführt hat sind die SCCs einer Überarbeitung unterzogen worden. Hier finden Sie den aktuellen Entwurf dazu: https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Commission-Implementing-Decision-on-standard-contractual-clauses-for-the-transfer-of-personal-data-to-third-countries

Dieser Entwurf wurde letzte Woche zur Begutachtung veröffentlicht. Der DMVÖ ist gemeinsam mit der WKO dabei eine Rückmeldung zu erstellen. Wir freuen uns auch über Rückmeldung von Ihnen – denn nur wenn direkt von den Anwendern Feedback zur Praxistauglichkeit kommt, können wir im Interesse der Branche die Gestaltung optimal mit beeinflussen. Sie können uns gerne Ihr Feedback per Mail an office@dmvoe.at schicken.

Ebenso letzte Woche hat der Europäische Datenschutzrat – European Data Protection Board (kurz edpb genannt) einen Entwurf für Empfehlungen zu den zusätzlichen Maßnahmen in Kombination mit den Standardvertragsklauseln veröffentlicht. Darin findet sich eine „Roadmap für Datenexporteure“ wieder, die in 6 Schritten aufzeigt, wie man bei einer Datenübermittlung in ein Drittland vorgehen sollte:

Schritt 1: Prüfung der Datentransfers in Drittländer und Dokumentation
Schritt 2: Identifikation von Tools die Datentransfers durchführen (im Sinne von Kapitel V DSGVO)
Schritt 3 bei Artikel-46-Tools: Prüfung ob die darin gegebenen Garantien angesichts der Rechtslage und Praxis tatsächlich eingehalten werden können
Schritt 4 – wenn Antwort zu Schritt 3 „nein“ ist: Prüfung ob zusätzliche Maßnahmen ergriffen werden können
Schritt 5: Verfahrensfragen für den Fall „zusätzlicher Maßnahmen“
Schritt 6: regelmäßige Reevaluierung des Schutzniveaus im Drittland

In weiterer Folge werden auch Beispiele für „zusätzliche Maßnahmen“ aufgelistet zu:

  • Maßnahmen technischer Art (Verschlüsselung, Pseudonymisierung, etc.)
  • Maßnahmen organisatorischer Art (Ernennung von Verantwortlichen, Prozessbeschreibungen, etc.)
  • Maßnahmen vertraglicher Art (verstärkte Berichtspflichten, Transparenzwahrungen, etc.)

Klargestellt wurde jedoch auch das vertragliche und organisatorische Maßnahmen lediglich in Kombination mit technologischen Maßnahmen gesehen werden können. Und dazu wurden ganz konkrete Use Cases beschrieben. Mehr dazu erfahren Sie direkt im Privacy Shield Info Corner des DMVÖs, exklusiv für Mitglieder HIER zugänglich.