Mit MODUL 3 gibt es ein Vertragswerk, welches die Datenübermittlung von Auftragsverarbeitern an Auftragsverarbeiter legitimiert. Damit kann also eine Absicherung der Verarbeitungskette auch zwischen Auftragsverarbeiter und Unterauftragsverarbeiter erfolgen. Dabei sind einige Fallkonstellationen zu unterscheiden:
Die Erwägungsgründe der Europäischen Kommission zum Durchführungsbeschluss (EU) 2021/914 vom 04. Juni 2021 sehen vor, MODUL 3 anzuwenden, wenn der Auftragsverarbeiter in der EU sitzt und dieser die Daten an einen Unterauftragsnehmer in ein Drittland übermittelt (EG 9). Weiterhin sind in EG 7 die Fälle bedacht, in denen weder der Auftragsverarbeiter noch der Unterauftragsverarbeiter in der EU sitzen – jedoch nur dann, soweit die Verarbeitung dem Artikel 3 Abs. 2 DSGVO unterliegt. Das bedeutet, die DSGVO ist anwendbar, weil die Datenübermittlungen im Zusammenhang damit stehen, betroffenen Personen in der EU Waren oder Dienstleistungen anzubieten (lit. a) oder das Verhalten der betroffenen Personen zu beobachten, soweit dies in der Union erfolgt (lit. b). Soweit die Theorie.
Befasst man sich jedoch näher mit den in der Praxis auftauchenden Konstellationen, gelangt man schnell zu dem Punkt, dass damit – jedenfalls nicht direkt – alle Anwendungsfälle abgedeckt sind.
Die Datenübermittlung eines Auftragsverarbeiters in einem Drittland an einen Unterauftragsverarbeiter in demselben oder in einem anderen Drittland muss – unabhängig vom Vorliegen eines Angemessenheitsbeschlusses nach Art. 45 DSGVO – davon gesondert betrachtet werden.
Hierzu stellt Art. 44 S. 1 Hs. 2 DSGVO umfassende Vorgaben auf, wenn es dort heißt, dass jede Weiterübermittlung von personenbezogenen Daten aus einem Drittland oder innerhalb des Drittlandes (vgl. dazu EG 101 zur DSGVO) nur zulässig ist, wenn die Bestimmungen der DSGVO eingehalten werden.
Diese Vorgabe kann man so interpretieren, dass zwar die Geschäftspartner im Drittland nicht zwingend allen Vorgaben der DSGVO unterliegen. Der Verantwortliche, der in der EU sitzt und damit der DSGVO unterliegt, jedoch auch für diese Weiterübermittlung die Verantwortung trägt. Das klingt auch bereits in Art. 28 Abs. 1 und Abs. 4 DSGVO an, wo die Daten den europäischen Raum noch nicht verlassen.
In der Konsequenz bedeutet das, dass eine Zusammenarbeit mit Unternehmen außerhalb der EU und ohne Angemessenheitsbeschluss nur dann begrüßt werden kann, wenn die Standardvertragsklauseln abgeschlossen werden – auf freiwilliger Basis.
Welche Folgen sich daraus für die Zusammenarbeit mit Unternehmen beispielsweise aus UK ergeben, wofür es einen Angemessenheitsbeschluss mit Ablaufdatum gibt, bleibt mit Spannung abzuwarten.
Mehr zum Thema der neuen Standardvertragsklauseln können Sie in diesem Blogbeitrag lesen!
Bei Fragen rund um die Thematik der internationalen Datentransfers und sonstigen Datenschutzrechtlichen Themen sind wir gerne behilflich! Verwenden Sie dazu einfach unser Kontaktformular. Telefonisch sind wir in der Zentrale in Hutthurm unter +49 (0) 8505 91927 – 0 erreichbar. Die Telefonnummer für unsere Niederlassung in München lautet +49 (0) 89 413 2943 – 0.
Unser Team – Ihr Vorteil | Hier stellen wir uns vor.
Unser Team besteht aus erfahrenen Juristen, Webspezialisten, IT-Experten, zertifizierten Datenschutz- und Informationssicherheitsbeauftragten. Mit unserer Erfahrung, Expertise und erprobten Verfahren, helfen wir Unternehmen, praxisnahe Lösungen im Bereich Datenschutz und Informationssicherheit zu finden. So helfen wir beispielsweise bei der Umsetzung der DSGVO oder der Einführung von Informationssicherheitsmanagementsystemen (ISMS).