Standardvertragsklauseln ändern

Der Datenimporteur hat geeignete technische und organisatorische Maßnahmen, interne Kontrollen und Informationssicherheitsroutinen zum Schutz der Kundendaten implementiert und wird diese aufrecht erhalten. Die technischen und organisatorischen Maßnahmen, die internen Kontrollen und die Informationssicherheitsstandards, einschließlich ISO27001 und PCI DSS, gegen die der Datenimporteur geprüft wird, werden durch diesen Verweis in diesen Anhang 2 aufgenommen und sind für den Datenimporteur so verbindlich, als ob sie in diesem Anhang 2 vollständig dargelegt wären. Eine kürzlich nicht bindende Stellungnahme des Generalanwalts hat signalisiert, dass die Standardvertragsklauseln weiterhin als Schutz für die Übermittlung personenbezogener Daten außerhalb des EWR verwendet werden können. Die Exporteure, Importeure und Datenschutzbehörden müssen jedoch zusätzliche Schritte unternehmen, um sicherzustellen, dass die Klauseln eingehalten werden und dass die Übermittlungen bei Bedarf ausgesetzt werden. – Art der Standardklauseln: Die Standardvertragsklauseln sind “Standard”; wenn sie verändert werden könnten, würden sie ihre Natur verlieren. Wir dürfen nicht vergessen, dass es sich um einen Text handelt, der von der Europäischen Kommission ausgearbeitet und gebilligt wurde, um die notwendigen Garantien zu erfüllen, und daher würde jede Änderung bedeuten, dass wir von dem abweichen würden, was ausdrücklich von der Behörde gebilligt wurde. Das Bestehen von Standardklauseln als Garantiemechanismus würde nichts nützen, wenn diese frei geändert werden könnten. Artikel 46 DSGVO sieht vor, dass der für die Verarbeitung Verantwortliche oder Auftragsverarbeiter personenbezogene Daten nur dann in ein Drittland übermitteln darf, wenn er angemessene Garantien angeboten hat. In diesem Sinne, Kunst. 46.2.c legt fest, dass es gültig wäre, die von der Kommission angenommenen Standarddatenschutzklauseln zu unterzeichnen. Darüber hinaus erlaubt der folgende Absatz den lokalen Datenschutzbehörden, auch Standardklauseln zu genehmigen (allerdings ist mir zum Zeitpunkt der Erstellung dieses Artikels nicht bekannt, dass eine Datenschutzbehörde solche Klauseln genehmigt hat). In einer wegweisenden Feststellung vom Oktober 2015 stimmte der EuGH herrn Schrems zu, dass der Safe-Harbor-Rahmen kein Schutzniveau für personenbezogene Daten bietet, das dem in der EU dank der Richtlinie und der Charta gewährten Niveau entspricht, und dass er daher nicht den Angemessenheitsstandards der Richtlinie in Bezug auf internationale Übermittlungen entspricht.

Der Gerichtshof zeigte sich besonders beunruhigt über die vorgelegten Beweise, wonach die US-Gesetzgebung den Behörden den Zugang zu den Inhalten elektronischer Kommunikation auf allgemeiner Basis ermöglichte und keine Rechtsbehelfe für Einzelpersonen hatte, um auf ihre personenbezogenen Daten zuzugreifen oder sie berichtigen oder löschen zu lassen. Der Gerichtshof hob die Angemessenheitsentscheidung der EU-Kommission aus dem Jahr 2000 auf, und Safe Harbor war nicht mehr. Dies wird heute weithin als “Schrems 1”-Entscheidung bezeichnet. Data Importer verwaltet und erzwingt verschiedene Richtlinien, Standards und Prozesse, um personenbezogene Daten und andere Daten zu sichern, auf die Data Importer-Mitarbeiter Zugriff erhalten. Im Folgenden finden Sie eine Beschreibung einiger der wichtigsten technischen und organisatorischen Sicherheitsmaßnahmen, die von Data Importer implementiert wurden. Sobald überprüft wurde, dass das Land nicht in diese Liste aufgenommen wurde, finden sich in Artikel 46 DSGVO verschiedene Möglichkeiten, diese Übertragung legal durchzuführen. Zu diesem Zweck sollten wir uns unbeschadet anderer Möglichkeiten, wie der verbindlichen Unternehmensordnung, auf die vielleicht am häufigsten verwendete Maßnahme in der Praxis konzentrieren: die Standardvertragsklauseln der Europäischen Kommission. – Expressverbot in den Standardklauseln enthalten. Die Klauseln selbst enthalten in den Beschlüssen von 2004 und 2010 eine spezielle Bestimmung, die es den Parteien verbietet, die unterzeichneten Klauseln zu ändern. Dies zeigt deutlich die Bereitschaft der Kommission, die Klauseln zu unterzeichnen, sobald sie veröffentlicht und nicht später geändert wurden.