Datenschutz-Tipps: TIA, hä? Was tun, wenn du einen US-Dienstleister nutzten möchtest…

Datenschutz-Tipps

Dieser Beitrag stammt aus meinem Newsletter „Datenschutz-Tipps“, den du hier kostenlos abonnieren kannst. Die Newsletter werden in der Regel nicht auf der Website veröffentlicht. Das hier dient sozusagen als eine „Kostprobe“.

Dieser Newsletter heißt bekanntlich „Datenschutz-Tipps“. Und als der erste Newsletter am 17.08.2010 (Yep. It’s been a long time…) versendet wurde, ging es um einen konkreten Tipp. In der ersten Folge war es übrigens das Thema „Löschfristen von Bewerberdaten“. Habe damals (2010) vier Monate empfohlen – jetzt empfehle ich sechs Monate. Das Thema ist auch heute ja immer noch aktuell.

Mit der Zeit wurde der Newsletter dann immer mal wieder „aufgebohrt“ und behandelte viele Themen in einem Newsletter. Aber ist doch auch schön, wenn es nur um eine Sache geht.

Und so machen wir das heute auch. Eine Sache. Ganz praktisch. Hands on.

Bevor wir dazu kommen, wollte ich aber noch darauf hinweisen, dass doch tatsächlich zwei neue Podcast-Folgen des „Datenschutz-Guru Podcasts“ veröffentlicht worden sind, die sich beide mit der „Cookiebot“-Entscheidung des Verwaltungsgerichts Wiesbaden befassen. Teil 1 findest du hier und Teil 2 hier.

Ist übrigens eine ziemlich krasse Entscheidung, die – wenn es im Hauptsacheverfahren nicht anders entschieden wird – dazu führen könnte, dass wir viele US-Dienstleistungsunternehmen nicht mehr nutzen könnten. Ich halte die Entscheidung in mehrfacher Hinsicht für fragwürdig, erkläre das aber in den beiden Podcast-Folgen etwas näher.

Und apropos Podcasts: Der liebe Anwaltskollege Michael Rohrlich hat mich darauf hingewiesen, dass Marc Oliver Thoma zusammen mit ihm auf YouTube einen Beitrag zu „Informative Podcasts – Helfer für den DSB-Alltag“ veröffentlicht hat. Bei der Gelegenheit habe ich gleich ein paar weitere interessante Videos zum Thema Datenschutz in dem YouTube-Kanal gefunden. Wenn dir das Video gefallen hat, dann tu mir doch einen Gefallen und gib den beiden einen „Like“ für das Video. Die freuen sich bestimmt.

Was tun, wenn du einen US-Dienstleister nutzen möchtest…

Du hast wahrscheinlich (oder vielleicht) mitbekommen, dass die EU-Kommission am 04.06.2021 neue EU-Standardvertragsklauseln beschlossen hat. Die sind gemeinhin als „Standard Conctractual Clauses“ (SCC) bekannt. Sie kommen zum Einsatz, um ein für eine Drittlandsverarbeitung erforderliches angemessenes Datenschutzniveau zu garantieren. Drittlandsverarbeitung liegt – vereinfacht formuliert – immer dann vor, wenn Daten außerhalb der EU bzw. des EWR verarbeitet werden bzw. dorthin übermittelt werden.

Häufig werden die SCC auch EU-Standardvertragsklauseln genannt. Und das alles obwohl sie richtigerweise im Deutschen eigentlich Standarddatenschutzklauseln heißen müssten. Aber das ist ein anderes Thema.

Heute geht es um ein Detail der SCC. In Klausel 14 der SCC ist nämlich eine Regelung enthalten, die die Empfängerin oder den Empfänger der Daten im Drittland (also hier den USA) und das datenexportierende Unternehmen (also z.B. dein Unternehmen) dazu verpflichtet, ein sog. „Transfer Impact Assessment“ (TIA) durchzuführen.

Durch viele Nachfragen in der Kanzlei merke ich immer wieder, dass viele Unternehmen in Deutschland meinen, dass sie dieses TIA selbst durchführen müssen. Das ist jedoch – genau genommen – nicht richtig. Und häufig auch nicht möglich.

Denn wie willst du denn die Rechtslage in den USA und die Maßnahmen des empfangenden Unternehmens in den USA zum Schutz dieser Daten vor staatlichen Zugriffen von z.B. Sicherheitsbehörden beurteilen? Kannst du nicht, oder? Ich jedenfalls nicht.

Und Klausel 14 der SCC sieht demzufolge auch sinnigerweise ein Zusammenwirken der Parteien vor. Die TIA ist also keine einseitige „Geschichte“. Es sollen beide Vertragsparteien daran mitwirken.

Wie bitte ich den US-Dienstleister um Mithilfe?

Wie so häufig in diesen Datenschutz-Tipps gilt bei Empfehlungen oder Musterformulierungen von mir, dass du das selbst in der Regel sehr viel besser kannst als ich.

Und doch ist manchmal ein kleiner „Aufschlag“ für eine Formulierung eine gute Starthilfe, um ins Tun (und Denken) zu kommen. Und genau das soll Zweck dieser Formulierungshilfe sein.

Ich empfehle Mandantinnen und Datenschutz-Coaching-Mitgliedern aktuell z.B. diese Formulierung hier zu verwenden, wenn angedacht ist, einen US-Dienstleister zu nutzen. Die Formulierung ist für den Fall gedacht, dass der US-Dienstleister als Auftragsverarbeiter („Processor“) agieren soll. Und das ist der Formulierungsvorschlag:

Dear Sir or Madam,

we would like to use the SaaS service offered by you in our organization in the future.

As a company based in the European Union, we are obliged to ensure an adequate level of data protection when processing personal data in a third country.

We have already been informed that in this respect you are willing to contractually conclude the so-called Standard Contractual Clauses (SCC) of the EU Commission dated June 4th, 2021.

Clause 14 of the SCC stipulates that we, as contracting parties, shall jointly conduct and document a so-called Transfer Impact Assessment (TIA). We are also obliged to hand over the documentation of the TIA to a data protection supervisory authority upon request.

The text of the SCC and Clause 14 can be found here as a PDF file.

We rely on your assistance in preparing the TIA.

Can you please provide us with information on the following items from clause 14(b) of the SCC?

  1. Are you aware of any laws applicable to you in your country that may require you to disclose to public authorities personal data that you have received from us or process on our behalf (e.g. Foreign Intelligence Surveillance Act, Section 702; EO 12333 and Presidential Policy Directive 28 (“PPD- 28”))?
  2. Have you received any such requests in the past from public authorities to disclose personal data received from or processed on behalf of customers? If yes, how often?
  3. How do you respond to requests for disclosure of personal data by public authorities? Do you have an internal policy on this?
  4. Have you implemented technical and organizational measures to prevent access to personal data by third parties without your active intervention?

We would be very grateful if we could hear back from you within two weeks of receiving this e-mail.

Best regards

Schlussworte

Und zum Schluss habe ich noch eine Bitte. Ich freue mich wirklich jedes Mal über die zahlreichen Rückmeldungen auf den Newsletter. Mittlerweile sind es fast 16.000 Menschen, die diesen Newsletter erhalten. Und dafür bin ich sehr dankbar.
Und es ist toll, wenn viele der Leser:innen sich die Zeit nehmen, mir zu schreiben.

Ich habe in meinem Dokumentenmanagementsystem schon länger einen Ordner mit dem Titel „Nettes Feedback“. Und der füllt sich immer mehr und zaubert mir, wenn ich mal schlechte Laune habe, automatisch ein Lächeln ins Gesicht. Auch das ist wirklich toll.

Nicht so toll ist allerdings, dass ich es einfach zeitlich nicht schaffen kann, diese E-Mails zu beantworten. Aber es geht zeitlich leider einfach nicht. Ich bitte daher um Entschuldigung, dass ich nur in wenigen Fällen antworte. Und dann häufig auch nur sehr viel später.

Ich lese aber wirklich jede E-Mail. Und viele wandern in den besagten Ordner „Nettes Feedback“ und erfreuen mich auch später immer wieder.

Danke dafür!

Viele Grüße

Stephan Hansen-Oest

P.S.: Das Jahr geht zu Ende…

Ja…das Jahr geht so langsam wieder zu Ende. Und bei vielen Mandantinnen hat die sog. Jahresendrallye schon begonnen.

Das bedeutet neben der Erledigung der Restaufgaben für das Jahr bei manchen auch, dass noch übrig gebliebenes Budget ausgegeben werden muss. Solltest du also insoweit noch Interesse am Datenschutz-Coaching PRO haben, dann freuen wir uns natürlich über jede Bestellung (?). Übrigens stelle ich den Datenschutz-Coaching-Mitgliedern im Dezember noch einen Muster-Tätigkeitsbericht für Datenschutzbeauftragte zur eigenen Verwendung zur Verfügung, der bereits viele Themen dieses Jahres beinhaltet und so schon schönen Füllstoff bietet.

Wir bieten übrigens auf Anfrage auch „Team-Accounts“ für Personen aus einem Unternehmen oder einer Unternehmensgruppe an. Dazu einfach beim Support nachfragen. Das wird gerne genutzt, um z.B. die oder den DSB und die Datenschutz-Koordinator:innen „up to date“ zu halten, wenn es um „Datenschutz“ geht.

Stephan Hansen-Oest

Ich bin Rechtsanwalt & Fachanwalt für IT-Recht. Auch wenn ich mich seit 1995 mit Datenschutzrecht beschäftige, bin ich sicher kein Datenschutz-Guru. Mein Ziel ist es, Menschen dabei zu helfen, den Datenschutz in Unternehmen einfach besser zu machen. Und ich freue mich über jeden, der meinen Newsletter abonniert. Wenn du unbedingt noch mehr zu mir wissen möchtest, kannst du dir mein Profil ansehen. Und wenn du Lust hast, am Datenschutz-Coaching teilzunehmen findest du hier mehr Informationen.