EU-Standardvertragsklauseln (Modul 3) + Transfer Impact Assessment

1. Rechtsgrundlage: EU-Standardvertragsklauseln

Als vertragliche Garantie im Sinne des Art. 46 Abs. 2 lit. c DSGVO kommen die von der Europaeischen Kommission erlassenen Standarddatenschutzklauseln zur Anwendung:

• Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679.
• Anwendung: Modul 3 (Übermittlung zwischen Auftragsverarbeiter und Unterauftragsverarbeiter).
• Primaerquelle (verbindliche Fassung, DE): EUR-Lex 32021D0914.

2. Transfer Impact Assessment (TIA)

Ergänzend zu den SCCs führt AWARE7 ein dokumentiertes Transfer Impact Assessment (TIA) gemäß den Empfehlungen des Europäischen Datenschutzausschusses durch (EDPB Empfehlungen 01/2020 vom 18.06.2021 zu ergänzenden Maßnahmen).

Inhalte des TIA

1. Beschreibung der Übermittlung: Kategorien, Zwecke, Empfänger, Wiederholungshäufigkeit, Rechtsgrundlage.
2. Identifizierung der Übermittlungswerkzeuge: welche SCC-Module greifen, welche ergänzenden Garantien.
3. Bewertung der rechtlichen Situation im Empfangsstaat: Zugriffsrechte staatlicher Stellen, Anforderungen an den Dienstleister, Rechtsmittel für Betroffene.
4. Identifizierung und Umsetzung ergänzender Maßnahmen: technisch (Verschlüsselung, Pseudonymisierung), vertraglich (erweiterte Auditrechte, Transparenzpflichten), organisatorisch (Data-Minimierung, Zugriffsbeschränkung).
5. Dokumentation und periodische Überprüfung: mindestens jährlich bzw. bei wesentlichen Änderungen.

3. Ergänzende Maßnahmen bei Phished / GCP

• Datenminimierung: ausschließlich für die Phishing-Simulation erforderliche Daten (E-Mail, Name, Interaktionsdaten) - keine sensiblen Kategorien gemäß Art. 9 DSGVO.
• Verschlüsselung at rest und in transit gemäß GCP-Standards; zusätzliche Maßnahmen gemäß ISO 27001 / SOC 2 von Phished.
• Protokollierte Zugriffe bei Phished (SOC 2-Nachweis auf Anforderung).
• EU-only Alternative: Auf Wunsch des Verantwortlichen bietet AWARE7 eine manuell und ausschließlich in Deutschland durch AWARE7 selbst betriebene Phishing-Simulation an - dann entfällt jeder Drittland-Bezug. Siehe /subunternehmer (Eintrag Phished NV, Feld EU-only Alternative).

4. Rückwirkung bei Widerruf von Angemessenheits-Instrumenten

Sollten die EU-Kommission oder der EuGH die verwendeten Garantie-Instrumente (SCCs, Angemessenheitsbeschlüsse wie das EU-US Data Privacy Framework) für unwirksam erklären oder wesentlich einschränken, informiert AWARE7 den Verantwortlichen unverzüglich. Die Parteien prüfen gemeinsam ergänzende Garantien bzw. - falls keine Lösung möglich - die Einstellung der betroffenen Drittland-Verarbeitung innerhalb einer angemessenen Frist.

5. Abruf der konkreten SCC-Ausfertigung und des TIA

Die zum Sub-Prozessor Phished NV konkret geschlossene SCC-Ausfertigung (einschließlich Anhänge, Beschreibung der übermittelten Daten, ergänzende Maßnahmen) sowie das zugehörige TIA stellt AWARE7 dem Verantwortlichen auf Anforderung innerhalb von 14 Tagen zur Verfügung. Kontakt: datenschutz@a7.de.