Warum Standardvertragsklauseln selbst erfahrene Datenschutzfachleute verwirren
SCC klingen in der Theorie einfach , unterzeichnen Sie einfach die von der EU genehmigten Vertragsklauseln. In der Praxis vervielfacht sich die operative Komplexität mit jeder Tochtergesellschaft, jedem Dienstleister und jeder Rechtsordnung, die Sie verwalten.
200+
Datentransfer-Beziehungen, die in einer typischen mittelständischen Organisation mit 10+ Gesellschaften eine SCC-Abdeckung erfordern
Chaos bei der Modulauswahl
Die SCC von 2021 führten vier Module ein . Controller-to-Controller, Controller-to-Processor, Processor-to-Processor und Processor-to-Controller. Für jede Datentransfer-Beziehung müssen Sie bestimmen, wer der Exporteur ist, wer der Importeur ist und welches Modul gilt. Ueber einen Konzern mit mehreren Gesellschaften hinweg bedeutet das Hunderte einzelner Bewertungen. Diese in Tabellenkalkulationen nachzuverfolgen ist nicht nur mühsam . es ist ein Compliance-Risiko, das bei jeder Prüfung durch eine Aufsichtsbehörde zutage treten kann.
Basierend auf einer Priverion-Analyse von Datenschutzprogrammen mit mehreren Gesellschaften über 30+ Rechtsordnungen hinweg
€2.1B+
DSGVO-Bussgelder, die 2023 von europäischen Datenschutzbehörden verhängt wurden , internationale Datentransfers bleiben eine der wichtigsten Durchsetzungsprioritäten
Transfer-Folgenabschätzungen für jeden Datenfluss
Nach Schrems II reicht die blosse Unterzeichnung von SCC nicht aus. Sie müssen für jeden Transfer eine Transfer-Folgenabschätzung durchführen, um zu beurteilen, ob die Gesetze des Empfängerlands die durch die SCC gewährten Schutzmassnahmen untergraben. Das bedeutet, Ueberwachungsgesetze, behördliche Zugriffsanfragen und Rechtsbehelfe zu analysieren , pro Land, pro Transfer. Die meisten Datenschutzbeauftragten, mit denen wir arbeiten, beschreiben dies als die einzelne zeitintensivste Compliance-Pflicht, der sie gegenüberstehen.
EuGH-Urteil Schrems II (Rechtssache C-311/18, Juli 2020); EDSA-Empfehlungen 01/2020
60%
Compliance-Verwaltungszeit, die ein Flugzeughersteller für manuelle Aktualisierungen des Verarbeitungsverzeichnisses aufwendete, bevor er einen strukturierten Ansatz für das Datenschutzmanagement einführte
Ergänzende Massnahmen, die niemand dokumentiert
Wenn eine Transfer-Folgenabschätzung Lücken im Schutz durch ein Drittland aufdeckt, benötigen Sie ergänzende Massnahmen , Verschlüsselung bei der Uebertragung und im Ruhezustand, Pseudonymisierung, vertragliche Verpflichtungen zur Anfechtung behördlicher Zugriffsanfragen. Diese müssen dokumentiert, bestimmten Transfers zugeordnet und überprüft werden, sobald sich die Umstände ändern. Ueber einen Konzern mit Dutzenden von Gesellschaften hinweg entsteht so eine fortlaufende operative Belastung, die Tabellenkalkulationen schlicht nicht tragen können.
Fallstudie Flugzeughersteller, erste 6 Monate mit Priverion; EDSA-Empfehlungen 01/2020 zu ergänzenden Massnahmen
"Priverion half uns, SCC und Lieferantenbewertungen über all unsere Gesellschaften hinweg zu verwalten , was früher Wochen des Hinterhertelefonierens bei Geschäftsbereichen kostete, geschieht jetzt automatisch."
. Team der Datenschutzbeauftragten, Flugzeughersteller (erreichte innerhalb von 6 Monaten eine vollständig automatisierte Rezertifizierung)
Die Verwirrung ist verständlich. Der regulatorische Rahmen ist tatsächlich komplex. Doch die operative Herausforderung , jeden Transfer, jedes Modul, jede Transfer-Folgenabschätzung, jede ergänzende Massnahme über Ihren gesamten Konzern hinweg nachzuverfolgen , ist der Punkt, an dem die meisten Organisationen scheitern. Lassen Sie uns Klarheit schaffen.


