CEDPO bewertet neue Standardvertragsklauseln

Neue Strandardvertragsklauseln

Am 12. November 2020 hat die Europäische Kommission Entwürfe für Durchführungsbeschlüsse für Standardvertragsklauseln für Auftragsverarbeiter in der Europäischen Union und für Empfänger in Drittländern veröffentlicht.

Der auf Initiative der GDD gegründete Datenschutz-Dachverband CEDPO (Confederation of European Data Protection Organisations) bewertet diese Entwürfe in einer aktuellen Stellungnahme.

Insbesondere der Entwurf für einen Durchführungsbeschluss zu den Standardvertragsklauseln für Datenempfänger in Drittländern enthält nach der Bewertung der CEDPO zahlreiche Änderungen mit Blick auf die bestehenden Regeln. Nach Ansicht der CEDPO können folgende Punkte hervorgehoben werden:

Verfolgung eines modularen Ansatzes. Die neuen Standardvertragsklauseln berücksichtigen verschiedene Konstellationen einer Datenweitergabe in einem Vertragswerk. So sind nunmehr nicht nur Übermittlungen an Verantwortliche sowie Auftragsverarbeiter im Drittland hiervon abgedeckt, sondern auch Weitergaben von einem Auftragsverarbeiter in der EU an einen Auftragsverarbeiter im Drittland. Letztere Konstellation ist vom bestehenden Vertragsset nicht abgedeckt.

Due-Diligence-Prüfungen der Vertragsparteien. Als Folge des Urteils des EuGH in Sachen Schrems II wird die Pflicht beider Vertragsparteien betont, sich mit der Rechtslage im Drittland hinsichtlich der Vereinbarkeit mit den Vertragsklauseln auseinander zu setzen und dies entsprechend zu dokumentieren. Dies gilt auch für die Vertragslaufzeit, einhergehend mit entsprechenden Informationspflichten des Datenimporteurs gegenüber dem Datenexporteur.

Überprüfung behördlicher Anfragen. Hinsichtlich behördlicher Datenzugriffe werden erweitere Transparenzvorgaben für den Datenimporteur formuliert, sollte es zu einer solchen Anfrage kommen. Diese Pflicht adressiert auch eine Information von Betroffenen, soweit dies in der jeweiligen Vertragskonstellation möglich ist. Ferner sollen Datenimporteure solche Anfragen hinsichtlich ihrer Rechtmäßigkeit überprüfen, was auch die Prüfung des angeforderten Datenumfangs einschließt.

Stärkung der Betroffenenrechte. Das neue Vertragsset enthält an verschiedensten Stellen Regeln zugunsten der von der Verarbeitung betroffenen Personen. Neben den bereits erwähnten Transparenzvorgaben für behördliche Datenzugriffe finden sich Regelungen für Schadenersatzansprüche von Betroffenen, ebenso wie obligatorische Entschädigungsklauseln unter den Vertragsparteien, sollte es zu einer Schadenersatzzahlung an Betroffene kommen. Auch an Datenimporteure sollen sich Betroffene jederzeit wenden können, indem diese eine Kontaktmöglichkeit publik zu machen haben.

CEDPO sieht in den Entwürfen für neue Standardvertragsklauseln ein großes Potenzial für eine einheitliche Anwendung der DS-GVO und begrüßt die Konsistenz der Vertragsklauseln mit der DS-GVO sowie den Vorgaben des EuGH an den Datentransfer in Drittländer. Nichtsdestoweniger sieht CEDPO auch an einigen Stellen Verbesserungspotenzial der Klauseln, um die Interessen der Datenexporteure sowie der Datenimporteure in einen ausgewogenen Einklang zu bringen.

Die CEDPO-Stellungnahme kann in englischer Sprache hier abgerufen werden.

(ipopba – stock.adobe.com)

Letztes Update:17.12.20

  • Fingerabdruck im Personalausweis rechtens

    EuGH: Pflicht zur Aufnahme von Fingerabdrücken im Personalausweis ist zulässig

    Der EuGH hat entschieden, dass die Verpflichtung zur Aufnahme von zwei Fingerabdrücken im Personalausweis mit dem Unionsrecht vereinbar ist, obwohl die zugrunde liegende europäische Verordnung auf einer falschen Rechtsgrundlage beruht. Ein deutscher Staatsbürger hatte sich gegen die Weigerung der Stadt Wiesbaden gewandt, ihm einen neuen Personalausweis ohne Fingerabdrücke auszustellen. Der EuGH stellte fest, dass die

    Mehr erfahren
  • Abfrage des Geburtsdatums beim Online-Shopping nicht immer zulässig

    Mit der Rechtmäßigkeit einer datenschutzrechtlichen Anordnung hat sich das OVG Niedersachsen befasst. Im Ergebnis hat das OVG einer Online-Apotheke untersagt, als verpflichtende Angabe im Bestellprozess stets das Geburtsdatum abzufragen. Die niedersächsische Datenschutzbehörde hatte die Apotheke aufgefordert, unabhängig von der Art des bestellten Medikaments das Geburtsdatum und die Anrede des Bestellers nicht mehr abzufragen. Die Apotheke

    Mehr erfahren
  • Datenschutzbeauftragte: Deutsches Modell bleibt

    Die Institution „Datenschutzbeauftragte“ ist so alt wie das deutsche Datenschutzrecht, auf Bundesebene gibt es sie seit 1977. Viele sehen es als einen großen Erfolg, dass die Datenschutz-Grundverordnung (DS-GVO) die bewährte deutsche Regelung übernommen hat und die Bestellung von Datenschutzbeauftragten seit Wirksamwerden der DS-GVO in der Europäischen Union vorsieht. Mit den Datenschutzbeauftragten stehen Unternehmen (und Behörden)

    Mehr erfahren