Das Schrems II-Urteil hat zu einer erheblichen Nachschärfung der Anforderungen an die Standardvertragsklauseln geführt. Konkret: Der Datenexporteur trägt die Verantwortung für eine Prüfung des Datenschutzniveaus in einem Drittland, in das beabsichtigt ist, Daten zur Verarbeitung zu übermitteln. Es ist also eine sog. Datentransfer-Folgenabschätzung bzw. Data Transfer Impact Analyses (DTIA) erforderlich. Das Schutzniveau beim Umgang mit personenbezogenen Daten muss dabei europäischen Standards entsprechen. Zentrale Fragestellung beim Abschluss von Standardvertragsklauseln muss sein: Hindern gesetzliche Vorschriften im Drittland den Datenverarbeiter die Standardvertragsklauseln umfassend zu erfüllen? Dieser Fragestellung ist eine gewisse Komplexität nicht abzusprechen, daher sind zu den im Juni 2021 neu erlassenen Standardvertragsklauseln die nun veröffentlichten FAQs für Praktiker eine wichtige Unterstützungsleistung.
Übrigens: Die im Juni 2021 beschlossenen Standardvertragsklauseln müssen ab Ende Dezember 2022 auch in Altverträgen Berücksichtigung finden. Bereits seit September 2021 sind sie zwingend in Neuverträgen anzuwenden.
Wie schaut die FAQ-Liste der EU aus? Insgesamt werden 44 Fragen auf 24 eng beschriebenen Seiten beantwortet. Sie sind nach Kategorien geordnet und geben für Interessierte einen wichtigen Überblick. Den eigentlichen Fachfragen ist zunächst ein Kapitel mit Grundsätzlichem vorgeschaltet. Darin werden Geschichte sowie Vorteile der Anwendung von Standardvertragsklauseln ebenso wie ihr Sinn und Zweck erläutert. Danach folgen Fragen und Antworten zu beabsichtigten Änderungen der involvierten Parteien und viele Praxisbeispiele: Die Nennung des Subdienstleisters, wie geht man mit der Meldung einer Datenpanne um oder wie funktioniert die Beweisführung zur Einhaltung der Standardvertragsklauseln neben einem Review oder Audit. Auch werden die Betroffenenrechte verdeutlicht und wie ein korrekter Umgang mit dem Wunsch auf Einsicht in die Standardvertragsklauseln ausschaut.
Wem welche Rolle zufällt, wird in einem Beispiel beantwortet, in dem ein deutsches Krankenhaus Blutproben zur Analyse an ein polnisches Labor weitergibt. Dieses wiederum lagert spezifische Blutuntersuchungen an ein indonesisches Institut aus. Der Datenexporteur ist das polnische Labor und Datenimporteur das indonesische Institut. Bei den Standardvertragsklauseln ist hier ein bestimmtes Modul anzuwenden. „Die FAQs helfen die richtige Rolle der Akteure voneinander abzugrenzen und somit die richtige Vorgehensweise bei den Standardvertragsklauseln zu gewährleisten“, erläutert UIMC-Geschäftsführer Dr. Jörn Voßbein, „doch werfen sie zum Teil auch mehr Fragen auf als beantwortet werden, so dass intern der Datenschutzbeauftragte oftmals noch zu Rate gezogen werden sollte.“
Die UIMC ist eine gesellschaftergeführte mittelständische Unternehmensberatung mit den Kerngebieten Datenschutz und Informationssicherheit; im Datenschutz gehören wir zu den marktführenden Beraterhäusern. Wir bieten als Vollsortimenter sämtliche Unterstützungsmöglichkeiten der Analyse, Beratung, Umsetzung und Schulung/Sensibilisierung bis hin zum Komplett-Outsourcing des Beauftragten an.
Das Schwesterunternehmen UIMCert ist als sachverständige Prüfstelle für die Norm ISO/IEC 27001 von der DAkkS akkreditiert.
UIMC Dr. Vossbein GmbH & Co. KG
Otto-Hausmann-Ring 113
42115 Wuppertal
Telefon: +49 (202) 946 7726 200
Telefax: +49 (202) 946 7726 9200
http://www.uimc.de
Geschäftsführer
Telefon: +49 (202) 9467726-200
Fax: +49 (202) 9467726-9200
E-Mail: consultants@uimc.de