Die Allgemeine Meinung des Generalanwalts – Musterklauseln sind gültig, aber die für die Verarbeitung Verantwortlichen und Aufsichtsbehörden müssen die Angemessenheit des Schutzes beurteilen, den die Fürdiele wie gewohnt fortsetzen sollten – sind sCC zumindest vorerst immer noch ein gültiger Übertragungsmechanismus, und es fehlen derzeit bessere Alternativen (obwohl privacy Shield ebenfalls eine Option bleibt, aber, wie bereits erwähnt, ebenfalls geprüft wird). Der Standpunkt sollte jedoch sehr genau überprüft werden. Es gab eine deutliche Tonverschiebung zwischen dem ersten und zweiten Buchstaben, die nur einen Tag auseinander kam. Während Sprinklrs erster « Bestätigungsbrief » einen Ton annahm, der wie ein Hauch von Überlegenheit aussah, und sogar darauf hindeutete, dass das Abrufen von Daten von Kerala seine Berechtigung sei, klang der zweite äußerst bescheiden. Ramesh Chennithala hatte am 15. April behauptet, Sprinklr sei ein Unternehmen, das in den USA mit schweren Datendiebstahlsvorwürfen konfrontiert sei. Dies scheint eher ein Redaktioneller Fehler als eine zielgerichtete Entscheidung zu sein, von diesem System abzuweichen. Die Lösung besteht darin, diese Anforderung so auszulegen, dass die Verarbeiter « angemessene Garantien » bieten sollten, soweit es nur ihre eigenen Verpflichtungen betrifft. Dies steht auch im Einklang mit dem Entwurf der Standardvertragsklauseln für Die Übertragungen von Auftragsverarbeiter an den Prozessor, wie vom WP29 vorgeschlagen, diese vorgeschlagenen Prozessor-SCCs stellen auch nur die Prozessorpflichten für den betreffenden Unterverarbeiter im nicht angemessenen Land (wie Sicherheitsverpflichtungen, Meldepflichten für Datenschutzverletzungen usw.) und nicht den vollen Anwendungsbereich der DSGVO vor.

Dasselbe gilt für die Anforderungen des WP29 für die Autorisierung von verbindlichen Unternehmensregeln für Verarbeiter. Außerdem schreiben diese vor, dass die Verarbeiterverpflichtungen den Konzerngesellschaften des Auftragsverarbeiters auferlegt werden, die an den Datenverarbeitungsdiensten beteiligt sind, und nicht den vollen Umfang der DSGVO. Nun unterliegt die entsprechende Verarbeitung nicht dem EU-Datenschutzrecht, die Übertragungsvorschriften sollten überhaupt nicht gelten. Andernfalls würde ein Auftragsverarbeiter dem ursprünglichen Fürtor bestimmte Anforderungen (entweder seine eigenen oder den vollen Anwendungsbereich der DSGVO) auferlegen, während die ursprüngliche Verarbeitung nicht der DSGVO unterliegt. Das von den EU-Regulierungsbehörden gewählte System besteht darin, dass die DSGVO nicht für eine solche Verarbeitung gilt und dass nur eine begrenzte Anzahl von Verpflichtungen für den EU-Auftragsverarbeiter gilt. Die Forderung, dass, wenn der EU-Auftragsverarbeiter die Daten an den US-Bearbeiter zurücküberträgt, der volle Anwendungsbereich der DSGVO dem für die Verarbeitung Verantwortlichen aufgezwungen werden sollte, widerspricht den Absichten der EU-Gesetzgeber. Die Übertragungsregeln sollten in diesem Fall einfach nicht gelten. Der EU-Auftragsverarbeiter darf Daten nur dann an einen für die Verarbeitung Verantwortlichen eines Drittanbieters übermitteln, wenn der Auftragsverarbeiter vom ursprünglichen für die Verarbeitung Verantwortlichen dazu beauftragt wird. Da die Daten nicht dem UNIONSrecht unterliegen, erfolgt die Übermittlung tatsächlich zwischen zwei Parteien in nicht angemessenen Ländern, wobei zwischendurch der EU-Auftragsverarbeiter anhält, wenn der Auftragsverarbeiter den direkten Verpflichtungen unterliegt, die für EU-Verarbeiter gelten. Ein Beispiel für die mögliche Anwendbarkeit von Artikel 4 Absatz 1 Buchstabe c), der von den EU-Gesetzgebern völlig unvorhergesehen war, ist, wenn ein in den USA ansässiges Unternehmen (ohne Niederlassungen und Tätigkeiten in der EU) seine Datenverarbeitungstätigkeiten an einen EU-Datenverarbeiter auslagert (oder seine eigenen Verarbeitungstätigkeiten in der EU ansiedelt). Infolgedessen werden US-Daten auf Servern in der EU (den Servern, die als Ausrüstung gelten) gespeichert und verarbeitet, wobei eine solche Datenverarbeitung nicht nur zu Transitzwecken in Betracht gezogen werden kann. Infolgedessen ist das EU-Datenschutzrecht anwendbar, während die verarbeiteten Daten nur US-Daten betreffen (in diesem Fall), die nur in den Anwendungsbereich der EU fallen, weil die Daten in die EU exportiert und wieder in die USA zurückübertragen werden.

Mehr als der Ton, der Inhalt wurde auch eine radikale Überarbeitung. Wie die Daten gesammelt werden, wie sie verwendet werden, wo sie gespeichert werden würden, und auch die Rechte von Sprinklr über die Daten der Bürger wurden einer gründlichen Überarbeitung unterzogen.

Catégories :