CEDPO-Stellungnahme zu neuen EU-SCC.
CEDPO-Stellungnahme zu neuen EU Standardvertragsklauseln veröffentlicht:
Am 12. November 2020 hat die Europäische Kommission Entwürfe für Durchführungsbeschlüsse für Standardvertragsklauseln für Auftragsverarbeiter in der Europäischen Union und für Empfänger in Drittländern bekannt gegeben.
Insbesondere der Entwurf für einen Durchführungsbeschluss zu den Standardvertragsklauseln für Datenempfänger in Drittländern enthält zahlreiche Änderungen mit Blick auf die bestehenden Regeln. Hier können folgende Punkte hervorgehoben werden:
Verfolgung eines modularen Ansatzes. Die neuen Standardvertragsklauseln berücksichtigen verschiedene Konstellationen einer Datenweitergabe in einem Vertragswerk. So sind nunmehr nicht nur Übermittlungen an Verantwortliche sowie Auftragsverarbeiter im Drittland hiervon abgedeckt, sondern auch Weitergaben von einem Auftragsverarbeiter in der EU an einen Auftragsverarbeiter im Drittland. Letztere Konstellation ist vom bestehenden Vertragsset nicht abgedeckt.
Due-Diligence-Prüfungen der Vertragsparteien. Als Folge des Urteils des EuGH in Sachen Schrems II wird die Pflicht beider Vertragsparteien betont, sich mit der Rechtslage im Drittland hinsichtlich der Vereinbarkeit mit den Vertragsklauseln auseinander zu setzen und dies entsprechend zu dokumentieren. Dies gilt auch für die Vertragslaufzeit, einhergehend mit entsprechenden Informationspflichten des Datenimporteurs gegenüber dem Datenexporteur.
Überprüfung behördlicher Anfragen. Hinsichtlich behördlicher Datenzugriffe werden erweitere Transparenzvorgaben für den Datenimporteur formuliert, sollte es zu einer solchen Anfrage kommen. Diese Pflicht adressiert auch eine Information von Betroffenen, soweit dies in der jeweiligen Vertragskonstellation möglich ist. Ferner sollen Datenimporteure solche Anfragen hinsichtlich ihrer Rechtmäßigkeit überprüfen, was auch die Prüfung des angeforderten Datenumfangs einschließt.
Stärkung der Betroffenenrechte. Das neue Vertragsset enthält an verschiedensten Stellen Regeln zugunsten der von der Verarbeitung betroffenen Personen. Neben den bereits erwähnten Transparenzvorgaben für behördliche Datenzugriffe finden sich Regelungen für Schadenersatzansprüche von Betroffenen, ebenso wie obligatorische Entschädigungsklauseln unter den Vertragsparteien, sollte es zu einer Schadenersatzzahlung an Betroffene kommen. Auch an Datenimporteure sollen sich Betroffene jederzeit wenden können, indem diese eine Kontaktmöglichkeit publik zu machen haben.
Die Arbeit der CEDPO
Die Confederation of European Data Protection Organisations (CEDPO) sieht in den Entwürfen für neue Standardvertragsklauseln ein großes Potenzial für eine einheitliche Anwendung der DS-GVO und begrüßt die Konsistenz der Vertragsklauseln mit der DS-GVO sowie den Vorgaben des EuGH an den Datentransfer in Drittländer. Nichtsdestoweniger sieht CEDPO auch an einigen Stellen Verbesserungspotenzial der Klauseln, um die Interessen der Datenexporteure sowie der Datenimporteure in einen ausgewogenen Einklang zu bringen.
Über die CEDPO
Bei CEDPO handelt es sich aktuell noch um einen Zusammenschluss ohne explizite Rechtsform. Geplant ist jedoch die Überführung der Organisationen in einen Verband nach belgischem Recht mit Sitz in Brüssel. Seitens der Geschäftsstelle der GDD wird die CEDPO von Steffen Weiß, Mitglied der Geschäftsführung der GDD für Internationales, betreut.
Weitere Informationen finden Sie auf der offiziellen CEDPO-Website.