Ad hoc Vertragsklauseln

Diese Verpflichtung beruht auf Artikel 17 der EU-Datenschutzrichtlinie (95/46/EG), der für die Verarbeitung Verantwortliche verpflichtet, eine Vereinbarung mit jedem Datenverarbeiter zu schließen, der in ihrem Namen handelt. Die praktische Wirkung könnte darin bestehen, dass die Servicebedingungen zwischen den für die Verarbeitung Verantwortlichen und ihren EU-Auftragsverarbeitern um eine wesentlich größere Zahl von Datenschutzverpflichtungen erweitert werden, um künftige Extra-EU-Überweisungen von EU-Auftragsverarbeitern an internationale Subprozessoren im Rahmen dieser Modellklauseln zu erleichtern. Je nach den zwischen dem für die Verarbeitung Verantwortlichen und dem EU-Auftragsverarbeiter vereinbarten Bedingungen könnte diese Klausel entweder als Vorteil oder als Belastung angesehen werden. Wenn eine allgemeine Genehmigung für Unteraufträge ausdrücklich anerkannt wurde, könnten die EU-Verarbeiter dies mit ihren Kunden in ihre Standardbedingungen umbauen. Wenn der für die Verarbeitung Verantwortliche hingegen die Vergabe von Unteraufträgen von Fall zu Fall genehmigt, könnte dies eine unnötige Belastung für die Auftragsverarbeiter in der EU verursachen, die die Musterklauselnentwürfe mit dem Nicht-EU-Auftragsverarbeiter unterzeichnen und eine vorherige Genehmigung des für die Verarbeitung Verantwortlichen im Rahmenvertrag einholen müssten, um personenbezogene Daten außerhalb des Europäischen Wirtschaftsraums (im Folgenden: EWR) zu übermitteln. Dies würde die EU-Verarbeiter gegenüber Nicht-EU-Verarbeitern erheblich benachteiligen, die die Daten direkt vom für die Verarbeitung Verantwortlichen erhalten könnten (durch Eingabe von Modellklauseln für die Verarbeitung von Controllerzuverarbeitern) und sich weniger den EU-Compliance-Anforderungen unterworen sehen könnten. Während die Vertragsklauseln entwurfs nicht von der Europäischen Kommission angenommen wurden und daher weder eine neue amtliche Reihe von Musterklauseln noch eine endgültige Reihe von Ad-hoc-Klauseln darstellen, die von Unternehmen verwendet werden können, um ausreichende Garantien gemäß Art. 26 Abs. 2 der Richtlinie 95/46/EG zu bieten, vermitteln sie zumindest einen Eindruck davon, wie ein künftiger Satz von Vertragsklauseln aussehen kann. Im Jahr 2012 verabschiedete die spanische Datenschutzbehörde dann eine reihe von Standardvertragsklauseln für Übertragungen von Prozessoren zu Subprozessoren und setzte ein neues Verfahren ein, das es Instandsetzungen für die Übermittlung von Daten, die im Auftrag ihrer Kunden (für die Verarbeitung Verantwortliche) an Subprozessoren außerhalb der EU verarbeitet wurden, einholen kann (siehe Bericht bei WDPR, Dezember 2012, Seite 28). Die folgenden Standarddatenschutzklauseln können ohne Genehmigung des CNPD verwendet werden: Die Europäische Kommission hat bisher zwei Standardvertragsklauseln für Übertragungen von für die Verarbeitung Verantwortlichen an außerhalb der EU/ewr ansässige Fürdier und einen weiteren Satz für Übertragungen an Auftragsverarbeiter, die ebenfalls außerhalb der EU/des EWR niedergelassen sind, erlassen.

Der Kommissar befürwortet die Anwendung von Standardvertragsklauseln, um sicherzustellen, dass die Rechte des Einzelnen auch in Ländern gewahrt werden, die kein angemessenes Schutzniveau gewährleisten. Werden Standardvertragsklauseln verwendet, ist keine Genehmigung des Kommissars erforderlich. Obwohl diese Musterklauseln sehr zu begrüßen sind, bleibt abzuwarten, ob die Europäische Kommission formell neue Musterklauseln für Verarbeiter annehmen wird und wie wirksam sie in der Praxis sein werden. Die Musterklauseln entwürfen der WP 29 müssen von der Europäischen Kommission förmlich angenommen werden, bevor sie von Unternehmen verwendet werden können. Die WP 29 hofft, dass diese Musterklauseln einen Anreiz für die Kommission bieten, mit der Ausarbeitung ihrer eigenen Prozessormodellklauseln zu beginnen, aber es kann eine Weile dauern, bis die Kommission einen neuen offiziellen Satz solcher Klauseln annimmt. In der Zwischenzeit können sich Unternehmen nicht auf die Entwurfsmodellklauseln verlassen, um die Genehmigung ihrer Datenschutzbehörden für die Übertragung von Daten außerhalb der EU zu erhalten, und daher sind verbindliche Unternehmensregeln die einzige globale Datenübertragungslösung, die heute für EU-Prozessoren verfügbar ist. Gemäß der Verordnung Nr. 7/2020 vom 3. April 2020 der Nationalen Datenschutzkommission, mit der die Höhe und die Zahlungsbedingungen der Gebühren im Rahmen ihrer Genehmigungs- und Konsultationsbefugnisse festgelegt sind, muss jeder im Hoheitsgebiet Luxemburgs niedergelassene für die Verarbeitung Verantwortliche oder Auftragsverarbeiter, der der CNPD Vertragsklauseln zur Genehmigung gemäß Artikel 46 Absatz 3 Buchstabe a Buchstabe a Buchstabe a) der DSGVO vorlegt, dem CNPD eine Gebühr in Höhe von 1.500 € vorlegen.

Comments are closed, but trackbacks and pingbacks are open.