CEDPO: Wie ein praktikabler Datenschutz beim globalen Outsourcing helfen kann

Die europäischen Aufsichtsbehörden haben das Bedürfnis nach einem besseren Schutz personenbezogener Daten erkannt, insbesondere wenn sie weltweit von einem Dienstleister zum nächsten weltweit übertragen werden. In diesem Zusammenhang wurde durch die Artikel-29-Datenschutzgruppe ein Vertragsmuster entworfen, das die weltweiten Datenströme zwischen Auftragsdatenverarbeitern begleiten soll.

CEDPO begrüßt die seitens der Aufsichtsbehörden initiiere Hilfestellung, glaubt aber, dass der derzeitige Entwurf weiter verbessert werden kann, um Bürokratie abzubauen und die Klauseln selbst lesbarer, verständlich und praktikabel zu machen.

Auf Einladung verschiedener Aufsichtsbehörden unterbreitet CEDPO in einer Stellungnahme mehrere Vorschläge, die Geschäftsinteressen von Auftragsdatenverarbeitern und Realitäten der Wirtschaft auf der einen Seite sowie Datenschutzbelange auf der anderen Seite in Einklang bringen können. Diese Vorschläge sind das Ergebnis intensiver Diskussionen mit Datenschutz-Experten aus zahlreichen EU-Mitgliedstaaten. Sie beinhalten zentrale Anregungen, die der Artikel-29-Gruppe helfen sollen, die richtige Balance bei der Begleitung komplexer und sich stetig entwickelnder Outsourcing-Praktiken zu finden.

Betroffene, verantwortliche Stellen, EU-Auftragsdatenverarbeiter sowie Unterauftragnehmer in Drittländern benötigen mehr Klarheit hinsichtlich ihrer Rechte und Pflichten. Die durch CEDPO erarbeiteten Vorschläge beinhalten einige Vereinfachungen, beispielsweise wie Pflichten vom Auftragnehmer zum Unterauftragnehmer weitergereicht werden können. CEDPO stellt in diesem Zusammenhang klar, dass in der Praxis selten eine direkte Verbindung von der verantwortlichen Stelle zum Unterauftragnehmer besteht.

Ohnehin setzt sich der Datenschutz-Dachverband für eine Vermeidung bürokratischer Hürden ein, insbesondere wenn sie einen nennenswerten Nutzen für die Betroffenen gewährleisten können.

CEDPO hofft, dass eine Überarbeitung der Vertragsklauseln zu einer dringend benötigten Verringerung der formalen Anforderungen, so wie bereits in Spanien geschehen, führen wird. Hierbei dürfen die in einer EU-Datenschutz-Grundverordnung vorgesehenen formalen Anforderungen gegenüber den Aufsichtsbehörden im Zuge einer Datenübermittlung in Drittländer nicht außer Acht gelassen werden.

Die Stellungnahme sowie die dazugehörige Presseerklärung können über folgenden Link abgerufen werden.