Meiner Einschätzung nach sind die Verträge, AVV und alles Weitere bei DF zunächst unkritisch, es gibt aber tatsächlich ein paar konkrete Punkte zu klären.
Auffällig sind im aktuellen Kontext:
- Die Liste der DF Subunternehmer enthält keine Informationen zu non-EU Unternehmen bzw. weist die Unternehmen nicht explizit aus. Namen alleine geben keinen Aufschluss. Dadurch ist eine Prüfung der Datenschutzrichtlinien dieser Unternehmen für Kunden aktuell nicht möglich.
- Die DF Datenschutzrichtlinie ist EU-SCC bzw. basiert auf ihnen, verweist jedoch auf die Nutzung von Cloudflare und Securi. Die Eingrenzung beider Anbieter hinsichtlich des Einsatzes für DF Corporate Webseite und DF Kundenmenü hilft, könnte aber unzureichend sein.
Wichtig ist nun, dass DF die Zugriffsmöglichkeiten für US Unternehmen klar identifiziert, ausweist und somit die Relevanz für Kunden entsprechend präzisiert. Gemäß der Schrems-II FAQ unter
https://edpb.europa.eu/sites/edpb/fi...uc31118_en.pdf
gilt bereits die Zugriffsmöglichkeit für Dritte als Datentransfer, wodurch die Compliance des Empfängers zum Zeitpunkt der Bereitstellung der Zugriffsmöglichkeit entsprechend sicherzustellen ist:
11) The contract you have concluded with your processor in accordance with Article 28.3 GDPR must provide whether transfers are authorised or not (it should be borne in mind that even providing access to data from a third country, for instance for administration purposes, also amounts to a transfer).
Diesen Job kann DF meines Erachtens nun recht leicht erledigen. Hat jemand aus einem non EU Wirtschaftsraum Zugriff, sind die Garantien entsprechend EU-SCC nachzuweisen. Ansonsten ist dieser Zugriff ein Datentransfer, welcher im Beispiel USA durch den Wegfall des EU-US-Privacy Shield nun nicht mehr legal ist.
Selbstverständlich ist es dabei wie oben beschrieben wichtig, den Terminus Zugriff so abzugrenzen, dass Kunden dies verstehen - ob ein US Unternehmen den Datenverkehr auf der normalen, non-Kundenmenü-Webseite mitliest ist ein anderer Sachverhalt als der Zugriff auf Kundenaccounts und Inhalte derer Pakete.
Auffällig sind im aktuellen Kontext:
- Die Liste der DF Subunternehmer enthält keine Informationen zu non-EU Unternehmen bzw. weist die Unternehmen nicht explizit aus. Namen alleine geben keinen Aufschluss. Dadurch ist eine Prüfung der Datenschutzrichtlinien dieser Unternehmen für Kunden aktuell nicht möglich.
- Die DF Datenschutzrichtlinie ist EU-SCC bzw. basiert auf ihnen, verweist jedoch auf die Nutzung von Cloudflare und Securi. Die Eingrenzung beider Anbieter hinsichtlich des Einsatzes für DF Corporate Webseite und DF Kundenmenü hilft, könnte aber unzureichend sein.
Wichtig ist nun, dass DF die Zugriffsmöglichkeiten für US Unternehmen klar identifiziert, ausweist und somit die Relevanz für Kunden entsprechend präzisiert. Gemäß der Schrems-II FAQ unter
https://edpb.europa.eu/sites/edpb/fi...uc31118_en.pdf
gilt bereits die Zugriffsmöglichkeit für Dritte als Datentransfer, wodurch die Compliance des Empfängers zum Zeitpunkt der Bereitstellung der Zugriffsmöglichkeit entsprechend sicherzustellen ist:
11) The contract you have concluded with your processor in accordance with Article 28.3 GDPR must provide whether transfers are authorised or not (it should be borne in mind that even providing access to data from a third country, for instance for administration purposes, also amounts to a transfer).
Diesen Job kann DF meines Erachtens nun recht leicht erledigen. Hat jemand aus einem non EU Wirtschaftsraum Zugriff, sind die Garantien entsprechend EU-SCC nachzuweisen. Ansonsten ist dieser Zugriff ein Datentransfer, welcher im Beispiel USA durch den Wegfall des EU-US-Privacy Shield nun nicht mehr legal ist.
Selbstverständlich ist es dabei wie oben beschrieben wichtig, den Terminus Zugriff so abzugrenzen, dass Kunden dies verstehen - ob ein US Unternehmen den Datenverkehr auf der normalen, non-Kundenmenü-Webseite mitliest ist ein anderer Sachverhalt als der Zugriff auf Kundenaccounts und Inhalte derer Pakete.
Kommentar