WEBINAR Die neuen EU-Standardvertragsklauseln: Ist US-Datentransfer jetzt doch möglich? - Pridatect
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
WEBINAR Die neuen EU-Standardvertragsklauseln: Ist US-Datentransfer jetzt doch möglich?
Lisa Hofmann
Chief of Legal Operations
Pridatect
TÜV zertifizierte
Datenschutzbeauftragte Senden Sie uns Ihre
& Datenschutzauditorin
Fragen
LinkedIn
lisa.hofmann@pridatect.com
Ksenija Rohrkamp
CRO Pridatect
LinkedIn
Agenda
Was sind die EU-Standardvertragsklauseln?
Was bedeuten die SCCs für Unternehmen?
SCCs in der Praxis
Praktisch gelöst mit Pridatect
Die Vorgeschichte: Das Privacy Shield Mit dem Privacy Shield konnten sich US- Unternehmen selbst zertifizieren und auf die Einhaltung des EU-Datenschutzes verpflichten, wodurch der US-Datentransfer gerechtfertigt wurde. AUSGANG PROBLEM FOLGE FISA 702 (Intelligence Der EuGH entschied, dass In Folge der Schrems I & II Surveillance Acts): dies gegen ein adäquates Urteile wurde das Privacy US-Behörden konnten ohne Datenschutzniveau in den Shield im Juli 2020 vom gerichtlichen Beschluss USA spricht. Und daher der EuGH für unwirksam erklärt. Daten von Nicht-US-Bürgern DSGVO widerspricht. einsehen.
SCCs nach Schrems-II
Die Altklauseln waren veraltet und teilweise
wiedersprüchlich zur DSGVO und eine Neuerung war
nach dem Schrems II Urteil, dem Fall des Privacy Shields,
dringend notwendig:
→ die EU-Standardvertragsklauseln
(SCCs) waren nur noch unter
Die neuen SCCs wurden- an das
gewissen Voraussetzungen eine
Schrems II Urteil, die EuGH-
rechtmäßige Grundlage für die
Rechtssprechungen zum Privacy
Datenübermittlung in Drittländer
Shield und die DSGVO angepasst
und am 7.6.2021 im Amtsblatt der
DGSVO Europäsichen Komission
veröffentlicht
Was sind die neuen SCCs?
Die Standardvertragsklauseln sind Musterverträge,
die beim Transfer personenbezogener Daten in
Drittländer erforderlich sind.
● Dokument mit modularem Aufbau:
○ Verträge müssen individuell angepasst werden & notwendigen Module ausgewählt
werden, je nach Art des Datentransfer-Scenarios
○ Zweck der Verarbeitung und Hinweise auf Schutzmaßnahmen müssen ergänzt
werden
○ Mühsam und fehleranfälliger
● Ehemalige Module wurden an die DSGVO angepasst und die Anforderungen detaillierter:
○ Regelungen zwischen zwei Verantwortlichen (C2C)
○ und einem EU-Verantwortlichen und einem Nicht-EU Auftragsberarbeiter (C2P)
● Neue Module:
○ Regelungen direkt zwischen EU Auftragsverarbieter und einem
Unterauftragsverarbeiter außerhalb der EU (P2P)
(Zuvor separate Verträge mit allen Unterauftragsverarbeitern)
○ Regelungen zwischen Nicht-EU Verantwortlichen und EU Auftragsverarbeiter 6
Der Aufbau der neuen SCCs
Abschnitt 1 Allgemeine einleitende Bestimmungen, Rechte Dritter, Auslegung,
Hierarchie, Einzelheiten der erfassten Übertragungen,
allgemein
Beitrittsmechanismus
Abschnitt 2 Wesentliche Datenschutzpflichten;
Rechtsbehelfe, Haftung, Freistellung, Überwachung
modular
Abschnitt 3 Lokale Gesetze und Praktiken, die die Einhaltung der Klauseln
beeinflussen
allgemein (anpassbar)
Abschnitt 4
Nichteinhaltung & Beendigung, geltendes Recht und Gerichtsstand
allgemein (anpassbar)
Datentransfer-Folgenabschätzung
(“Transfer Impact Assessment” -TIA)
Überprüfung des Rechtsniveaus im Drittland:
● Beide Parteien der SCCs müssen zusichern, dass der
Vertragspartner aus dem Drittland in der Lage ist, seinen
Pflichten aus diesen Klauseln nachzukommen & ein TIA Laut DSGVO (Art. 44)
durchführen: dürfen personenbezogene
○ Sind hinreichende Schutzmaßnahmen sind ergriffen worden? Daten nur dann in
○ Kann der Datenimporteur den Anforderungen des Vertrags Nicht-EU Ländern
gerecht werden? (sogenannte Drittländer)
● Was sollten Sie beachten: übermittelt werden, wenn
○ Datenkategorien ein angemessenes
○ Zwecke Datenschutzniveau
○ Industrie besteht.
○ Erfahrungen zu Auskunftsansprüchen von Behörden aus der
Vergangenheit
● Dokumentation: Muss den Behörden bei Antrag zur Verfügung
gestellt werden
8
SCCs verpflichten zur Abwehr von Regierungsanfragen und Information
Konkrete Vorgabe im Umgang mit Behördenersuchen:
● Datenimporteur (Drittland) verpflichtet sich, im Falle einer
Anfrage von Datenherausgabe einer Behörde im Drittland,
genau zu überprüfen, dass diese rechtmäßig ist und falls nicht,
diese abzulehnen und sogar gerichtlich dagegen vorzugehen.
● Anfragen müssen dokumentiert werden und dem
Verantwortlichen (Datenexporteur/EU-Auftraggeber) sowie
zuständigen Aufsichtsbehörden mitgeteilt werden.
● Datenminimierung bei der Herausgabe
9
Vorteile der neuen SCCs
● Anpassung an die DSGVO ● Flexibilität & mehr ● Anpassung an Schrems-II-Urteil
● Drittbegünstigtenschutz (z.B. Anwendungsspielraum (z.B. ● Vorrangsregelung &
Kunden/ Nutzer) Unterauftragsverarbeiter = P2P) Haftungsregelung
● Vertragsbeitritt von Dritten ● Wegfall AV-Vertrag ● Wahl eines nationalen Rechts
(Gruppenverträge) und der Gerichtsbarkeit
In der Schweiz und Großbritannien sind die neuen EU-Standardvertragsklauseln nicht gültig.Abschluss der SCCs in der Praxis
In der Regel werden die Standardvertragsklauseln von
Dienstleistern auf zwei Arten bereitgestellt:
Vertrag AGB
z.B. kleinere Unternehmen/ Teile oder Anhänge zu den
Unternehmen, die nicht im AGB automatisch mit
großen Umfang für Vertragsschluss
EU-Kunden tätig sind z.B. große US-Anbieter,
wie Google, Mailchimp etc.
11Frist zur Umsetzung der neuen SCCs
Neuverträge mit
alten SCCs nicht Altverträge
mehr möglich ersetzen
27.09.2021 27.12.2022
JUNI JULI AUGUST SEPTEMBER
3 Monate
Im Amtsblatt
der EU
07.06.2021 18 Monate
Inkrafttreten
27.06.2021
Q2 | 2021 Q3 | 2021 2022To-Dos in der Praxis
Wichtig: vor und nach Abschluss der SCCs das
1.
Datenschutzniveau im Einzelfall und fortlaufend prüfen
2.
1. Know your transfers
3.
Prüfung, ob Daten von Kunden, Nutzern, Mitgliedern, etc. in Drittländern
und insbesondere den USA verarbeitet werden (bzw. von Unternehmen,
4. Neue SCCs abschließen, wo sie in der
die in diesen Ländern sitzen).
Vergangenheit vergessen wurden
2. Prüfung des Vertragstextes:
5. Umstellen der Altklauseln (bis zum 27.12.2022,
○ Wurden die richtigen Module gewählt?
○ Wurden Sie inhaltlich nicht verändert? gegebenenfalls neue Verhandlungen etc.)
○ Sind die Anhänge richtig ausgefüllt?
6. Anbieter aus Drittländern wechseln, wenn diese
die SCCs nicht akzeptieren/einsetzen
3. Prüfung des Datenschutzniveaus:
○ Prozess für Datentransfer-Folgenbschätzung implementieren (TIA) 7. Dokumentieren & stetig reevaluieren
○ Kann das Datenschutzniveau vom Anbieter im Drittland einhalten
werden (z.B. Wird das Risiko des Zugriffes auf die Daten durch
US-Behörden verhindert?)
○ Wurden passende TOMs implementiert (z.B.
Verschlüsselungsverfahren, Pseudonymisierung, Serverstandort in
der EU, ein geringes Risiko für die Daten der Betroffenen)
13Ist US-Datentransfer jetzt doch möglich?
Die neuen EU- Standardvertragsklauseln bieten eine
robuste Grundlage für Datentransfers in Drittländer
ABER: Eine vollständige Rechtssicherheit kann alleine
durch den Vertragstext nicht gewährleistet werden
→ US-Datentransfers und der Einsatz von
US-Anbietern werden durch die neuen SCCs nicht
eindeutig rechtssicher, aber sicherer als zuvor.
14Datenschutz leicht gemacht mit der Pridatect Plattform
Datenflüsse mappen
Unabdingliche und vorgeschriebene Grundlage für ein
erfolgreiches Datenschutzprogramm ist ein
Data-Mapping in Ihrem Unternehmen durchzuführen
und Verarbeitungstätigkeiten dann auch auf dem
neuesten Stand zu halten.
.Auftragsverarbeiter-Verzeichnis führen
Mit welchen Auftragsverarbeitern arbeiten Sie in Ihrem
Unternehmen? Sind Anbieter aus Drittländern dabei?
Ein aktualisiertes Verzeichnis hilft Ihnen den Überblick
zu behalten und Risiken schnell zu identifizieren und
einzuschätzen.
Rechtliche Grundlage definieren & dokumentieren
Definieren und dokumentieren Sie die rechtliche
Grundlage für jede Datenverarbeitung, wie z.B. SCCs.
In der Pridatect-Plattform halten Sie Ihre Empfänger,
Verträge und Dokumente organisiert. Dies vereinfacht
internes sowie externes Reporting.
15Datenflüsse im Unternehmen identifizieren Risiken rechtzeitig erkennen ● Aufgabenbasierte Datenkarten-Erstellung mit allen Abteilungen ● Virtuelle Orientierungshilfe durch Datenschutzspezialisten ● Einfach geleitet durch unsere praktische Bibliothek ● Aktualisierte Datenkarte aller Verarbeitungstätigkeiten
Datenschutzmaßnahmen implementieren
TOMs
● Nutzer mit Rolle nach Abteilung erhalten Aufgaben
zur Datenschutz-Implementierung im Unternehmen
● Automatische Aufgaben ausgelöst durch
Onboarding, Verarbeitungstätigkeiten, Risikoanalysen,
Auskunftsanfragen, Datenpannen
● Benachrichtigungen bei rechtlichen Neuerungen,
regelmäßigen Überprüfungen, Datenlöschungen
● Einfach erläuterte Aufgaben mit Datenschutz-
Dokumentation wenn notwendigIhr Datenschutz-Assistent
Kontrolle & Benachrichtigungen
Alex: Bitte löscht meine Daten!
Mit Pridatects assisted privacy intelligence können
Unternehmen DSGVO-Prozesse automatisieren:
● Bearbeitung von Betroffenenanfragen
Daten-Identifizierung & Aufgabenerstellung
● Regelmäßige Datenlöschung
● Verwaltung von Datenpannen
Löschanfrage: Kundendatenbank | Due: 15.06.2020
● Sicherheitsmaßnahmen definieren (TOMs) Löschanfrage: Mailjet | Due: 15.06.2020
Löschanfrage: IT System | Due: 15.06.2020
● Benachrichtigungen zu Änderungen & Updates
So macht Pridatect Ihre Datenschutzprozesse
agiler, und sichert zudem eine zeitnahe Reaktion
bei kritischen Vorfällen.
Hi Alex, deine Daten wurden gelöscht.
18Datenschutz-Wissensdatenbank
Die Pridatect-Lösung basiert auf einer
umfangreichen DSGVO-Datenbank. Dieses
Backoffice System hilft bei anspruchsvollen
Datenschutzanforderungen wie:
● Risikoanalysen
● Dokument- und Vertragserstellung, sowie
rechtliche Anpassungen
● Komplexen Berichtsfunktionen
● Datenschutz-Audits
Das Pridatect Frontend vereinfacht die
Komplexität der Umsetzung des Datenschutzes
in Ihrem Unternehmen: Mitarbeiter erhalten
einfach umsetzbare Aufgaben und Dokumente,
ohne notwendige Rechtskenntnisse.
19Bewährte Technologie für Ihren Datenschutz
Alles, was Sie für ein erfolgreiches Datenschutzprogramm benötigen
Risikobewertung TOMs Verbraucheranfragen
Reduzieren Sie Ihre Definieren Sie risikomindernde Reagieren Sie richtig auf
Datenschutzrisiken technische und organisatorische Verbraucheranfragen
Maßnahmen
Folgenabschätzungen Datenschutzberichte Aufgabenmanagement
Automatisierte Generieren Sie automatisch Teamarbeit in unserer sicheren
Datenschutz-Folgenabschätzungen notwendige Datenschutzberichte Cloud-Umgebung
Datenschutz-Compliance- Internationale Datenflüsse Externer DSB Service
Analyse Verwalten Sie internationale Wir sind ihr externer
Identifizieren Sie Lücken in Ihrem Datenübertragungen Datenschutzbeauftragter
Datenschutz
Datenpannen Verwaltung AV Verträge
Verarbeitungstätigkeiten Reagieren Sie DSGVO-konform auf Generieren Sie DSGVO-konforme
Ein aktualisiertes Verzeichnis Datenpannen AV-Verträge
Ihrer Verarbeitungstätigkeiten
Datenschutzaudit Webseiten-Compliance Dokument-Automatisierung
Ausführliche Prüfung Ihres Generieren Sie Impressum, Erstellen Sie Rechtsdokumente
Datenschutzprogrammes und Datenschutzerklärung und basierend auf unseren Modellen
Identifizierung von Schwachstellen Cookie-Richtlinien“
Warum Kunden uns mit Ihrem Datenschutz vertrauen
Chetwood Financial
Bank und FinTech Software Anbieter Vor der Arbeit mit Pridatect haben wir uns bei dem Thema
Challenge: DSGVO-Software-Unterstützung für
Datenschutz ausschließlich auf einen externen Berater
das Compliance-Team
verlassen. Leider konnte uns dieser mit wachsenden
Lösung: Digitalisierte DSGVO-Prozesse und
automatisierte Aufgabenerstellung
Anforderungen auf Grund von Betroffenenafragen nicht
ausreichend unterstützen. Dank praktischer Prozess-
automatisierungen der Pridatectsoftware ist das Thema für
Ontruck uns nun deutlich einfacher zu handeln. Wir konnten so
”
On-Demand-LKW-Service Anfragen von Datenschutzbehörden beschwichtigen und
Challenge: DSGVO-Mitarbeiterschulungen & offene Betroffenenanfragen fristgerecht beantworten.
ISO27001 für die Ontruck-Plattform
Lösung: E-learning und ISO-Projektmanagement
über die Pridatect Software
Florian Haus
Co-Founder MILES Mobility
Gorillas Carsharing
10-Minuten Lieferdienst Challenge: Einfache und schnelle Bearbeitung
Challenge: Robuste Datenschutzlösung, die Gorillas von Auskunfts- & Behördenanfragen
Hyper-Growth durch alle Phasen unterstützt Solution: Automatisierte Datenermittlung und
Lösung: Digitalisierte DSGVO-Prozesse, spezifische Aufgabenverteilung
Mitarbeiterschulungen und automatisierte
Aufgabenerstellung 21Was kann Pridatect für Sie tun?
Finden Sie heraus wie Pridatect Ihnen
mit Ihrem Datenschutz helfen kann:
Behalten Sie einfach die Kontrolle über Ihr Datenschutz-
management und stellen Sie sicher, dass alle Mitarbeiter in Kostenlose
Ihrem Unternehmen über die erforderlichen Richtlinien und Demo buchen
Hilfsmittel verfügen, um personenbezogene Daten nicht zu
gefährden. Pridatect hilft Ihnen, Risiken zu erkennen und
geeignete Maßnahmen zu ergreifen.
Kontaktieren Sie uns für einen DSGVO Kurz-Audit und eine kostenlose Demo.
22Lisa Hofmann
Chief of Legal Operations
Pridatect
TÜV zertifizierte
Datenschutzbeauftragte Senden Sie uns Ihre
& Datenschutzauditorin
Fragen
LinkedIn
lisa.hofmann@pridatect.com
Ksenija Rohrkamp
CRO Pridatect
LinkedInVielen Dank, für Ihre Teilnahme an unserem Webinar!
Sie können auch lesen
