Neue Standardvertragsklauseln der EU - Dr. Jürgen Peemöller
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Neue Standardvertragsklauseln der EU
Dr. Jürgen Peemöller
Dr. Peemöller Gesellschaft für IT-Risiko-Management mbH
Dr. Michael Foth
IBS data protection GmbH
Videokonferenz - 17. August 2021
147. ERFA Kreis Nord
Anforderungen und Erfahrungs-Austausch
1 www.ibs-data-protection.de
Themen
• Beschluß und Anwendungsbereich
• Aufbau und Module
• Umsetzung und Anforderungen
• zus. Neue AV-Muster der EU
2 www.ibs-data-protection.de
Beschluß und Anwendungsbereich 3 www.ibs-data-protection.de
Beschluß und Anwendungsbereich
Verkündung der neuen Standardvertragsklauseln bei
der EU am 4. Juni 2021
4 www.ibs-data-protection.de
Beschluß und Anwendungsbereich
Veröffentlichung im Amtsblatt der EU am 7. Juni 2021
5 www.ibs-data-protection.de
Beschluß und Anwendungsbereich
• Wirksam 20 Tage nach Veröffentlichung
(1) Dieser Beschluss tritt am zwanzigsten Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union in Kraft
• Also ab dem 27. Juni 2021
Schonfrist:
(4) In Bezug auf Verträge, die vor dem 27. September 2021 auf Grundlage der Entscheidung 2001/497/EG oder des Beschlusses
2010/87/EU geschlossen wurden, wird davon ausgegangen, dass sie geeignete Garantien im Sinne des Artikels 46 Absatz 1 der Verordnung
(EU) 2016/679 bis zum 27. Dezember 2022 bieten, sofern die Verarbeitungsvorgänge, die Gegenstand des Vertrags sind, unverändert
bleiben und die Anwendung dieser Klauseln gewährleistet, dass die Übermittlung personenbezogener Daten geeigneten Garantien
unterliegt.
18 Monate bis zur Umsetzung bis zum 27. Dezember 2022
6 www.ibs-data-protection.de
Aufbau und Module
• 26 Erwägungsgründe
• 18 Klauseln
• 3 Anhänge
7 www.ibs-data-protection.de
Aufbau und Module
Abdeckung aller Konstellationen mit einem Vertrag
• MODUL EINS: Übermittlung von Verantwortlichen an
Verantwortliche (C2C)
• MODUL ZWEI: Übermittlung von Verantwortlichen an
Auftragsverarbeiter (C2P)
• MODUL DREI: Übermittlung von Auftragsverarbeitern an
Auftragsverarbeiter (P2P)
• MODUL VIER: Übermittlung von Auftragsverarbeitern an
Verantwortliche (P2C)
8 www.ibs-data-protection.de
Aufbau und Module Unveränderbarkeit (Klausel 2 a) Diese Klauseln enthalten geeignete Garantien, einschließlich durchsetzbarer Rechte betroffener Personen und wirksamer Rechtsbehelfe gemäß Artikel 46 Absatz 1 und Artikel 46 Absatz 2 Buchstabe c der Verordnung (EU) 2016/679 sowie — in Bezug auf Datenübermittlungen von Verantwortlichen an Auftragsverarbeiter und/oder von Auftragsverarbeitern an Auftragsverarbeiter — Standardvertragsklauseln gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679, sofern diese nicht geändert werden, mit Ausnahme der Auswahl des entsprechenden Moduls oder der entsprechenden Module oder der Ergänzung oder Aktualisierung von Informationen in der Anlage. Dies hindert die Parteien nicht daran, die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfangreicheren Vertrag aufzunehmen und/oder weitere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese weder unmittelbar noch mittelbar im Widerspruch zu diesen Klauseln stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneiden. 9 www.ibs-data-protection.de
Aufbau und Module
Wesentliche Regelungen und Umsetzungen des Schrems II
Urteils und Vorgaben des Europäischen
Datenschutzausschusses
• Einsatz von Unterauftragsverarbeitern (Klausel 9)
• Lokale Rechtsvorschriften und Gepflogenheiten, die sich
auf die Einhaltung der Klauseln auswirken (Klausel 14)
• Pflichten des Datenimporteurs im Falle des Zugangs von
Behörden zu den Daten Anwendbares Recht (Klausel 15)
10 www.ibs-data-protection.deLokale Rechtsvorschriften und Gepflogenheiten, die sich
auf die Einhaltung der Klauseln auswirken (Klausel 14)
a) Die Parteien sichern zu, keinen Grund zu der Annahme zu haben, dass
Rechtsvorschriften und Gepflogenheiten im Bestimmungsdrittland,
einschließlich Anforderungen zur Offenlegung personenbezogener Daten oder
Maßnahmen, die öffentlichen Behörden den Zugang zu diesen Daten
gestattenden Datenimporteur an der Erfüllung seiner Pflichten gemäß dieser
Klauseln hindern.
Dies basiert auf dem Verständnis, dass Rechtsvorschriften und
Gepflogenheiten, die den Wesensgehalt der Grundrechte und Grundfreiheiten
achten und nicht über Maßnahmen hinausgehen, die in einer demokratischen
Gesellschaft notwendig und verhältnismäßig sind, um eines der in Artikel 23
Absatz 1 der Verordnung (EU) 2016/679 aufgeführten Ziele sicherzustellen,
nicht im Widerspruch zu diesen Klauseln stehen.
11 www.ibs-data-protection.deLokale Rechtsvorschriften und Gepflogenheiten, die sich
auf die Einhaltung der Klauseln auswirken (Klausel 14)
Die lokalen Rechtsvorschriften und Gepflogenheiten sowie die geltenden
Beschränkungen und Garantien (b.ii ) zusammen mit der Komplexität der
Verarbeitung (b.i) und den ergänzenden TOMs (b.iii) gebührend zu
berücksichtigen.
Nach d ist diese Beurteilung (!) zu dokumentieren und ggf. den Aufsichtsbehörden
zur Verfügung zu stellen.
Die Fußnote 12 bei b.ii verweist auf einschlägige und dokumentierte praktische
Erfahrungen, die „durch öffentlich verfügbare oder anderweitig zugänglich
zuverlässige Informationen über das Vorhandensein oder Nicht-Vorhandensein
von Ersuchen innerhalb desselben Wirtschaftszweiges und/oder über die
Anwendung der Rechtsvorschriften in der Praxis , wie Rechtsprechung und
Berichte unabhängiger Aufsichtsgremien, erhärtet und nicht widerlegt“ werden.
Importeur soll nach besten Kräften bemüht sein, sachdienliche Informationen zur
Verfügung stellen, und bei Änderungen unverzüglich informieren. Exporteur prüft
dann oder bei sonstigen Zweifeln Maßnahmen zur Abhilfe oder
Aussetzung/Kündigung.
12 www.ibs-data-protection.dePflichten des Datenimporteurs im Falle des Zugangs von
Behörden zu den Daten Anwendbares Recht (Klausel 15)
15.1. Benachrichtigung
Importeur soll so viel wie möglich über Behördenanfragen informieren
bzw. sich dagegen zur Wehr setzen und hierüber ebenfalls informieren
und dokumentieren, soweit möglich.
15.2 Überprüfung der Rechtmäßigkeit und Datenminimierung
13 www.ibs-data-protection.deAnhänge ANLAGE ERLÄUTERUNG: Es muss möglich sein, die für jede Datenübermittlung oder jede Kategorie von Datenübermittlungen geltenden Informationen klar voneinander zu unterscheiden und in diesem Zusammenhang die jeweilige(n) Rolle(n) der Parteien als Datenexporteur(e) und/oder Datenimporteur(e) zu bestimmen. Dies erfordert nicht zwingend, dass für jede Datenübermittlung bzw. jede Kategorie von Datenübermittlungen und/oder für jedes Vertragsverhältnis getrennte Anlagen ausgefüllt und unterzeichnet werden müssen, sofern die geforderte Transparenz bei Verwendung einer einzigen Anlage erzielt werden kann. Erforderlichenfalls sollten getrennte Anlagen verwendet werden, um ausreichende Klarheit zu gewährleisten. Anforderung: Klare eindeutige Beschreibungen in den Anlagen 14 www.ibs-data-protection.de
Anhang I - A Liste der Parteien für alle vier Module • Angaben zu den Verantwortlichen • Angeben zum Kontakt der zuständigen Person für den Datenschutz 15 www.ibs-data-protection.de
Anhang I - B
Beschreibung der
Datenverarbeitung
• Kreis der Betroffenen
• Datenkategorien
• Häufigkeit
• Art der Verarbeitung
• Zweck der Datenübermittlung
• Dauer
• Zweck bei SUB-Unternehmern
16 www.ibs-data-protection.deAnhang I - C Angabe der zuständigen Aufsischtsbehröde 17 www.ibs-data-protection.de
Anhang II
Technische und organisatorische Maßnahmen
Konkrete Angaben
18 www.ibs-data-protection.deAnhang II 19 www.ibs-data-protection.de
Anhang III
Liste der Unterauftragsverarbeiter
20 www.ibs-data-protection.deUmsetzung und Anforderungen
• Ab dem 27. September 2021 bei Neu-Abschlüssen nur noch die neuen SCCs
• Bis 27. September 2021 können noch die alten SCCs abgeschlossen werden (aber
auch schon die neuen SCCs)
• Bei Abschluß der alten SCCs müssen die zusätzlichen Maßnahmen nach Vorgabe
der Deutschen Aufsichtsbehörden (siehe Papier BW) und des Europäischen
Datenschutzausschusses berücksichtigt werden
• Umstellung aller alten SCCs bis 27. Dezember 2022 auf die neuen SCCs
21 www.ibs-data-protection.deUmsetzung und Anforderungen
• Initiierung zur Umstellung aller Verträge mit Dienstleistern in Drittländern mit
alten SCCs – Verantwortung beim Auftraggeber
• Prüfung von Verträgen mit Sub-Unternehmern in Drittländern und Aufforderung
der Auftragnehmer zum Nachweis der Umstellung bei den Sub-Unternehmern
spätestens bis 27. Dezember 2022
• Monitoring der Anpassung und Umstellung aller Verträge bis 27. Dezember 2022 -
Rechenschaftspflicht
22 www.ibs-data-protection.deNeue Standardvertragsklauseln AV
• Ebenfalls mit Datum vom 4. Juni 2021 und Verkündung im Amtsblatt am 7. Juni
2021 hat die EU neue Standardvertragsklauseln zwischen Verantwortlichem und
Auftragsverarbeitern veröffentlicht (2021/915)
• Dieses trifft nicht für Drittländer zu, dort gelten die Regelungen 2021/914
• Es sind Mustervereinbarungen zur Auftragsverarbeitung nach Art. 28
23 www.ibs-data-protection.deNeue Standardvertragsklauseln AV
Artikel 1
Die im Anhang aufgeführten Standardvertragsklauseln erfüllen die Anforderungen an Verträge zwischen
Verantwortlichen und Auftragsverarbeitern gemäß Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679
und Artikel 29 Absätze 3 und 4 der Verordnung (EU) 2018/1725 .
Artikel 2
Die im Anhang aufgeführten Standardvertragsklauseln können in Verträgen zwischen einem
Verantwortlichen und einem Auftragsverarbeiter, der personenbezogene Daten im Auftrag des
Verantwortlichen verarbeitet, verwendet werden
Mustervorlage und kein Zwang zur Verwendung
24 www.ibs-data-protection.deNeue Standardvertragsklauseln AV
Klausel 2
Unabänderbarkeit der Klauseln
a) Die Parteien verpflichten sich, die Klauseln nicht zu ändern, es sei denn, zur Ergänzung oder
Aktualisierung der in den Anhängen angegebenen Informationen.
b) Dies hindert die Parteien nicht daran die in diesen Klauseln festgelegten Standardvertragsklauseln in
einen umfangreicheren Vertrag aufzunehmen und weitere Klauseln oder zusätzliche Garantien
hinzuzufügen, sofern diese weder unmittelbar noch mittelbar im Widerspruch zu den Klauseln stehen oder
die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneiden
Mustervorlage und kein Zwang zur Verwendung
Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen damit zusammenhängender Vereinbarungen, die zwischen den Parteien
bestehen oder später eingegangen oder geschlossen werden, haben diese Klauseln Vorrang
25 www.ibs-data-protection.deNeue Standardvertragsklauseln AV
Beitrittsklausel
Kopplungsklausel
a) Eine Einrichtung, die nicht Partei dieser Klauseln ist, kann diesen Klauseln mit Zustimmung aller
Parteien jederzeit als Verantwortlicher oder als Auftragsverarbeiter beitreten, indem sie die Anhänge
ausfüllt und Anhang I unterzeichnet
Anhänge und TOMs wie in den SCCs für Drittländer
26 www.ibs-data-protection.deFazit
2021/914 Übermittlung pb Daten an Drittländer
• Handlungsbedarf für SCCs mit Dienstleistern
• Pflicht zur Bestätigung von Sub-Unternehmern
• Umstellungs-Frist bis max. 27. Dezember 2022
2021/915 Verantwortlicher und Auftragsverarbeiter
• AV-Muster der EU als Empfehlung und Vorlage
27 www.ibs-data-protection.dePress Release 4 June 2021
(https://ec.europa.eu/commission/presscorner/detail/en/ip_21_2847)
• Vice-President for Values and Transparency, Vera Jourová:
“In Europe, we want to remain open and allow data to flow, provided
that the protection flows with it. (…)”
• Commissioner for Justice, Didier Reynders:
“(…) With these reinforced clauses, we are giving more safety and
legal certainty to companies for data transfers. After the Schrems II
ruling, it was our duty and priority to come up with user-friendly tools,
which companies can fully rely on. This package will significantly help
companies to comply with the GDPR.”
• The new standard contractual clauses take into account the joint
opinion of the European Data Protection Board and the European
Data Protection Supervisor.
28 www.ibs-data-protection.deErhellende Erkenntnisse? 29 www.ibs-data-protection.de
30 www.ibs-data-protection.de
Sie können auch lesen
