2. CEDPO bewertet neue...
DataAgenda

CEDPO bewertet neue Standardvertragsklauseln

Neue Strandardvertragsklauseln

Am 12. November 2020 hat die Europäische Kommission Entwürfe für Durchführungsbeschlüsse für Standardvertragsklauseln für Auftragsverarbeiter in der Europäischen Union und für Empfänger in Drittländern veröffentlicht.

Der auf Initiative der GDD gegründete Datenschutz-Dachverband CEDPO (Confederation of European Data Protection Organisations) bewertet diese Entwürfe in einer aktuellen Stellungnahme.

Insbesondere der Entwurf für einen Durchführungsbeschluss zu den Standardvertragsklauseln für Datenempfänger in Drittländern enthält nach der Bewertung der CEDPO zahlreiche Änderungen mit Blick auf die bestehenden Regeln. Nach Ansicht der CEDPO können folgende Punkte hervorgehoben werden:

Verfolgung eines modularen Ansatzes. Die neuen Standardvertragsklauseln berücksichtigen verschiedene Konstellationen einer Datenweitergabe in einem Vertragswerk. So sind nunmehr nicht nur Übermittlungen an Verantwortliche sowie Auftragsverarbeiter im Drittland hiervon abgedeckt, sondern auch Weitergaben von einem Auftragsverarbeiter in der EU an einen Auftragsverarbeiter im Drittland. Letztere Konstellation ist vom bestehenden Vertragsset nicht abgedeckt.

Due-Diligence-Prüfungen der Vertragsparteien. Als Folge des Urteils des EuGH in Sachen Schrems II wird die Pflicht beider Vertragsparteien betont, sich mit der Rechtslage im Drittland hinsichtlich der Vereinbarkeit mit den Vertragsklauseln auseinander zu setzen und dies entsprechend zu dokumentieren. Dies gilt auch für die Vertragslaufzeit, einhergehend mit entsprechenden Informationspflichten des Datenimporteurs gegenüber dem Datenexporteur.

Überprüfung behördlicher Anfragen. Hinsichtlich behördlicher Datenzugriffe werden erweitere Transparenzvorgaben für den Datenimporteur formuliert, sollte es zu einer solchen Anfrage kommen. Diese Pflicht adressiert auch eine Information von Betroffenen, soweit dies in der jeweiligen Vertragskonstellation möglich ist. Ferner sollen Datenimporteure solche Anfragen hinsichtlich ihrer Rechtmäßigkeit überprüfen, was auch die Prüfung des angeforderten Datenumfangs einschließt.

Stärkung der Betroffenenrechte. Das neue Vertragsset enthält an verschiedensten Stellen Regeln zugunsten der von der Verarbeitung betroffenen Personen. Neben den bereits erwähnten Transparenzvorgaben für behördliche Datenzugriffe finden sich Regelungen für Schadenersatzansprüche von Betroffenen, ebenso wie obligatorische Entschädigungsklauseln unter den Vertragsparteien, sollte es zu einer Schadenersatzzahlung an Betroffene kommen. Auch an Datenimporteure sollen sich Betroffene jederzeit wenden können, indem diese eine Kontaktmöglichkeit publik zu machen haben.

CEDPO sieht in den Entwürfen für neue Standardvertragsklauseln ein großes Potenzial für eine einheitliche Anwendung der DS-GVO und begrüßt die Konsistenz der Vertragsklauseln mit der DS-GVO sowie den Vorgaben des EuGH an den Datentransfer in Drittländer. Nichtsdestoweniger sieht CEDPO auch an einigen Stellen Verbesserungspotenzial der Klauseln, um die Interessen der Datenexporteure sowie der Datenimporteure in einen ausgewogenen Einklang zu bringen.

Die CEDPO-Stellungnahme kann in englischer Sprache hier abgerufen werden.

(ipopba – stock.adobe.com)

Letztes Update:17.12.20

Das könnte Sie auch interessieren

  • Folge 38: EuGH erleichtert Massenklagen – Die Voraussetzungen des immateriellen Schadensersatzes nach Art. 82 DS-GVO

    Verfahren wegen des Ersatzes immaterieller Schäden nach Art. 82 DSGVO werden ständig mehr. Typische Anlässe sind Datenpannen, sonstige Datenschutzverstöße durch Unternehmen wie eine Werbemail ohne Einwilligung oder ein nicht rechtzeitig erfüllter Auskunftsanspruch. Deutsche Gerichte legen Art. 82 DSGVO bislang unterschiedlich weit und uneinheitlich aus. Der EuGH hat sich am 4. Mai 2023 in der Rs.

    Mehr erfahren
  • MS Cloud und IT-Grundschutz

    IT-Grundschutz in der Microsoft-Cloud

    Microsoft hat in Zusammenarbeit mit der HiSolutions AG drei kostenlose IT-Grundschutz-Handbücher entwickelt, die auf der aktuellen Edition des IT-Grundschutz-Kompendiums des Bundesamts für Sicherheit in der Informationstechnik (BSI) basieren. Die Handbücher sollen Microsoft-Kunden helfen, die Nutzung von Cloud-Diensten wie Microsoft Azure, Microsoft 365 oder Dynamics 365 unter Berücksichtigung des IT-Grundschutzes sicher und erfolgreich zu gestalten. Dabei

    Mehr erfahren

  • EuGH urteilt zum Begriff “Recht auf Kopie”

    Einige von der Datenschutzwelt mit Spannung erwartete Urteile des Europäischen Gerichtshofes wurden am 04. Mai 2023 veröffentlicht. 2. Urteil des Gerichtshofs in der Rechtssache C-487/21 | Österreichische Datenschutzbehörde und CRIF Der Hintergrund des zweiten mit Spannung erwartete Urteils des EuGH war ein Vorabentscheidungsersuchen nach Art. 267 AEUV, welches vom Bundesverwaltungsgericht (Österreich) eingereicht wurde. Das Bundesverwaltungsgericht in

    Mehr erfahren

  • DataAgenda

    ist das Lösungsportal zum Datenschutzrecht und fokussiert sich auf die inhaltlichen Entwicklungen in diesem Feld. Das DataAgenda-Experten-Team bietet News, Tools und Tipps rund um den Datenschutz.

  • DATAKONTEXT 

    ist einer der führenden Fachinformationsdienstleister in den Bereichen Datenschutz und IT-Sicherheit und bietet Kompetenz aus einer Hand: Fachbücher, Fachzeitschriften und Seminare, Zertifizierung und Beratung.