Internationale Konzerne übermitteln vielfältig personenbezogene Daten z. B. Bewerberdaten von Tochtergesellschaften in Deutschland in die USA, von Supportcenter zu Supportcenter (follow the sun) oder an in Drittstaaten ansässige Dienstleister, die personenbezogene Daten im Auftrag verarbeiten. Die Anwendungsfälle sind vielfältig und auch die Datenübermittlung kann über eine Kette von Datenimporteuren geschehen.
Erste Herausforderung für ein Unternehmen ist es, zu dokumentieren, welche Daten an welchen Datenempfänger exportiert werden und wie sich der Datenfluss vom Datenexporteur zum Datenimporteur einschließlich der eingebundenen Subunternehmer gestaltet. In einem weiteren Schritt muss dann in einer Zwei-Stufenprüfung die Zulässigkeit der technischen Datenübermittlung geprüft werden.
Im ersten Prüfungsschritt muss geprüft werden, ob eine Datenübermittlung im Inland zulässig wäre (z. B. aufgrund einer Vereinbarung zur Auftragsverarbeitung nach Art. 28 DS-GVO).
Ist eine Datenübermittlung auf der ersten Stufe zulässig, muss im zweiten Prüfungsschritt die Zulässigkeit der Datenübermittlung an den Datenimporteur im Drittstaat geprüft werden. Hier müssen dann ggf. der geeignete Vertrag der EU-Standardvertragsklauseln und eine Vereinbarung zur Auftragsverarbeitung zwischen Datenexporteur und Datenimporteur abgeschlossen werden. Bei Sitz des Datenimporteuers in den USA kann alternativ das EU-US Privacy Shield zur Anwendung kommen. Auch können verbindliche Unternehmensrichtlinien (Binding Corporate Rules) für die Datenübermittlung ein geeignetes Instrument zur Datenübermittlung darstellen. Wenn auf der Seite des Datenimporteurs Subunternehmer beauftragt werden, muss geklärt werden, inwieweit diese den datenschutzrechtlichen Verträgen beitreten.
Die Thematik der internationalen Datenübermittlung enthält je nach Konstellation zwischen Datenexporteur und Datenimporteur verschiedene Fallgruppen, von denen die richtige Fallgruppe zur Umsetzung der datenschutzrechtlich erforderlichen Verträge anzuwenden ist. Dies gilt insbesondere bei einem Anbieter von Cloud-Dienstleistungen außerhalb der Europäischen Union.
Wir können Ihnen im Bereich der internationalen Datenübermittlung folgende Leistungen anbieten: