ARTICLE

To print this article, all you need is to be registered or login on Mondaq.com.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

Zusätzlich stellt der EDSA in Annex 2, wie bisher, Beispiele für angemessene Maßnahmen zur Verfügung. Diese reichen von technischen – Verschlüsselung; Pseudonymisierung; Split Processing – über vertragliche bis hin zu organisatorischen Maßnahmen. Ob und welche Parameter dabei ausreichend sein können, ist daraus aber weiterhin nicht final ableitbar. Da die Empfehlungen für vertragliche Maßnahmen bereits Einfluss in die neuen Standarddatenschutzklauseln gefunden haben, liegen die To Dos in der Praxis daher weiterhin auf der Etablierung angemessener technischer Schutzmaßnahmen.

Für die Beurteilung der Rechtslage von Drittstaaten listet der EDSA in Annex 3 potentielle Recherchequellen auf. Diese reichen von bloßen Verweisen auf rechtsprechende Organe (wie den EuGH) über Berichte von NGOs bis hin zu Analysen der Global Privacy Assembly. Konkrete Verweise auf die kritischen Bestimmungen in Drittstaaten – wie zB FISA in den USA – fehlen jedoch. Gerade damit geht aber in der Praxis ein großer Aufwand und mindestens genau so große Unsicherheit bei der Auslegung der ausländischen Bestimmungen einher. Für Start-Ups, Einzelunternehmer und KMU wird dies daher ohne zusätzliche Ressourcen nur schwer abbildbar sein.

Der EDSA ist also seiner Linie treu geblieben und sieht aktuell keinen Weg vorbei an der Erforderlichkeit der einzelfallbezogenen Prüfung durch den Datenexporteur, die für den konkreten Sachverhalt – den Service, den Anbieter – richtigen Maßnahmen zu wählen, umzusetzen und deren Einhaltung zu kontrollieren. Dafür hat er den Verantwortlichen in den Empfehlungen einen Sechs-Punkte-Prüfplan an die Hand gegeben, die bei der Evaluierung und Dokumentation der erforderlichen Gesamtabwägung zu berücksichtigen sind:

AUTHOR(S)

POPULAR ARTICLES ON: Privacy from Austria

GDPR Compliance - New Standard Contractual Clauses ELVINGER HOSS PRUSSEN, société anonyme On 4 June 2021, the European Commission adopted the following two sets of new standard contractual clauses in the context of the General Data Protection Regulation (Regulation 2016/679, the GDPR):

Out With The Old, In With The New: New GDPR Standard Contractual Clauses Seyfarth Shaw LLP In a long awaited decision, the European Commission ("Commission') adopted two new sets of standard contractual clauses ("SCCs") to reflect the EU's General Data Protection Regulation ("EU GDPR")...

International Data Transfers - New Transfer SCCs Maples Group The long awaited modernised sets of transfer standard contractual clauses ("New Transfer SCCs") and controller-processor Article 28 standard contractual clauses ("Processor SCCs") were adopted...

Transfers Of EEA/UK Data To The US And Other "GDPR Non-Adequate Countries". What Is Required? Preiskel & Co On May 6, Microsoft released its plan to support customers by enabling them to "process and store all their data in the EU", which should be ready by the end of 2022.

European Data Protection Board Adopts Statement On Data Governance Act And Recommendations On The Legal Basis For The Storage Of Credit Card Data Wiggin At its 49th plenary session on 19 May 2021 the EDPB adopted a Statement on the Data Governance Act (DGA) in light of developments in the legislative process.