Was hat sich geändert?
In einer Entscheidung vom 16. Juli 2020 hat der Europäische Gerichtshof das bisher für Datenübermittlungen zwischen Europa und den USA relevante Privacy Shield für ungültig erklärt. Der Gerichtshof stellte darüber hinaus fest, dass Standardvertragsklauseln („SCCs“) grundsätzlich weiterhin für die Übermittlung von Daten in Drittländer mit unzureichendem Datenschutzniveau verwendet werden können, sofern zusätzliche Schutzmaßnahmen für die personenbezogenen Daten getroffen werden (sog. Schrems II Entscheidung).
Aufgrund erforderlicher Anpassungen an die DSGVO sowie als Reaktion auf die durch Schrems II erforderlichen zusätzlichen Schutzmaßnahmen hat die Europäische Kommission am 4. Juni 2021 überarbeitete und modifizierte SCCs herausgegeben, welche die bisherigen Alt-SCCs ersetzen, die noch auf Grundlage der durch die DSGVO abgelösten Datenschutzrichtlinie 95/46 beschlossen worden sind. Neue Verträge, die eine Drittlandübermittlung vorsehen, können bereits seit dem 27.09.2021 nicht mehr auf die Alt-SCCs gestützt werden und per Übergangsfrist bis zum 27.12.2022 müssen Alt-SCCs für bereits bestehende Verträge spätestens ersetzt werden.
Wie hat Planon die neuen Anforderungen umgesetzt?
- Der Planon Standard Vertrag zur Auftragsverarbeitung wurde angepasst. Konkret haben sich die folgenden Ziffern in dem Vertrag zur Auftragsverarbeitung in der Anlage Ihres Rahmenvertrages geändert:
○ Ziffer 1 lit g): Der Begriff Standardvertragsklauseln bezeichnet die Standardvertragsklauseln des Beschlusses der Europäischen Kommission vom 04. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlamentes und des Rates.
○ Zifer 2.11 Datenübermittlung in Drittländer: Planon verpflichtet sich, mit Unterauftragsverarbeitern Standardvertragsklauseln abzuschließen, wenn die Verarbeitungstätigkeiten im Auftrag des Kunden eine Übermittlung personenbezogener Daten in ein Land außerhalb des EWR beinhalten, das gemäß Europäischer Kommission keinen ausreichenden Schutz für personenbezogene Daten bietet.
○ Darüber hinaus wurden die alten EU-Standardvertragsklauseln zwischen Verantwortlichem und Auftragsverarbeiter, die bisher Teil des Vertrages waren, in Anhang III zu der Anlage Auftragsverarbeitung, gestrichen. Die alten Standardvertragsklauseln werden ersetzt durch die neuen Klauseln, welche im direkten Verhältnis zwischen Auftragsverarbeiter und Unterauftragsverarbeiter abgeschlossen werden für den Fall, dass persönliche Daten in ein Drittland außerhalb des EWR transferiert werden, welches keinen ausreichenden Schutz für personenbezogene Daten bietet.
- Der AV Vertrag mit Amazon Web Services („AWS“) wurde aktualisiert. Planon arbeitet mit dem Hosting & Cloud Anbieter AWS zusammen. Auch hierbei legen wir großen Wert auf die datenschutzkonforme Verarbeitung Ihrer Daten. Deshalb haben wir neben dem Leistungsvertrag einen Auftragsverarbeitungs-Vertrag mit der europäischen Gesellschaft Amazon Web Services EMEA SARL („AWS Europe“, mit Sitz in Luxemburg) geschlossen, der die Anforderungen der DSGVO umsetzt sowie die neuen SCCs inkludiert. Bitte wenden Sie sich dazu an Ihren jeweiligen Kundenbetreuer.
- Das Planon Intra-Company-Agreement wurde überarbeitet. Die Datenübertragung in der Planon Gruppe wird durch eine konzerninterne Vereinbarung geregelt, die alle relevanten Datenflüsse abdeckt. Die Vereinbarung wurde dahingehend überarbeitet, dass die konzerninternen Datenflüsse im Rahmen des Support Prozesses zu dem Tochterunternehmen Planon Indien, auf die neuen SCCs gestützt werden.
Insbesondere haben wir das nach Art. 14 der neuen SCCs zwischen Auftragsverarbeiter und Unterauftragsverarbeiter erforderliche Transfer Impact Assessment für den Transfer von personenbezogenen Daten von Kunden (via Remote Zugang) im Rahmen des Support Prozesses nach Indien durchgeführt. Unter Berücksichtigung aller auf Seiten von Planon getroffenen Sicherheitsmaßnahmen und des konkreten Transfers, handelt es sich im Ergebnis um ein geringes Risiko.
- Bitte finden Sie weitere Informationen zu den Technischen und Organisatorischen Sicherheitsmaßnahmen hinsichtlich der Support Services außerhalb des Europäischen Wirtschaftsraumes in dem Whitepaper. Bitte wenden Sie sich dazu an Ihren jeweiligen Kundenbetreuer.
Was müssen Sie jetzt tun?
Wir beraten und unterstützen Sie gerne bei weitergehenden Fragen oder Umsetzungen. Bitte wenden Sie sich dazu an Ihren jeweiligen Kundenbetreuer.