Internationale Datenübermittlung

Internationale Konzerne übermitteln vielfältig personenbezogene Daten z. B. Bewerberdaten von Tochtergesellschaften in Deutschland in die USA, von Supportcenter zu Supportcenter (follow the sun) oder an in Drittstaaten ansässige Dienstleister, die personenbezogene Daten im Auftrag verarbeiten. Die Anwendungsfälle sind vielfältig und auch die Datenübermittlung kann über eine Kette von Unterauftragnehmern geschehen.

Am 4. Juni 2021 veröffentlichte die EU-Kommission überarbeitete SDKs, die im Einklang mit der DSGVO und den in der Entscheidung „Schrems II“ formulierten Anforderungen stehen sollen. Die überarbeiteten EU-Standard-Datenschutzklauseln sollen besonders den Anforderungen an Transparenz und Rechenschaft besser gerecht werden.

Es liegt jedoch in der Verantwortung der betroffenen Unternehmen bei einer Übermittlung von personenbezogenen Daten in Drittstaaten zu prüfen, ob die neuen modular aufgebauten Standard-Datenschutzklauseln die rechtlichen Anforderungen an eine Drittstaatenübermittlung erfüllen, oder ob, zusätzliche Maßnahmen seitens der Unternehmen erforderlich sind, um personenbezogene Daten von dem Zugriff von Regierungen zu schützen, vgl. Cloud-Act der US-Administration. Als geeignete Maßnahmen sind die ausreichende Verschlüsselung von Daten oder deren Anonymisierung anerkannt.

Die Standard-Datenschutzklauseln (SDK) sind nun modular aufgebaut. Dieser modulare Aufbau (Module 1 – 4) berücksichtigt nun die möglichen Konstellationen zwischen den Akteuren bei einer Drittstaatenübermittlung. Von der EU-Kommission wurden 4 Module zur Verwendung angeboten. Diese sind im Einzelnen:

  • Modul 1: Übermittlung von Verantwortlichen an Verantwortliche
  • Modul 2: Übermittlung von Verantwortlichen an Auftragsverarbeiter
  • Modul 3: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter
  • Modul 4: Übermittlung von Auftragsverarbeitern an Verantwortliche

Innerhalb dieser Module muss geprüft werden, ob Unteroptionen zur Anwendung kommen, wie es zum Beispiel in Klausel 9 (Einsatz von Unterauftragnehmern) für Modul 2 der Fall ist. Hier kann der Verantwortliche gemäß Klausel 9 lit. a der SDK kann der Verantwortliche selbst entscheiden, ob der Auftragsverarbeiter für den Einsatz von Unterauftragnehmern vorher eine Genehmigung einholen muss (Option 1) oder nicht (Option 2).

Die Unternehmen sind aufgerufen ihren Data-Workflow von personenbezogenen Daten genau zu analysieren, um die richtigen Module der Standard-Datenschutzklauseln auszuwählen. Anschließend müssen die dem Datenfluss entsprechenden Module und deren Anhänge ausgefüllt werden. In den Anhängen müssen die Informationen über die Datenverarbeitung (Anhang I) und falls Unterauftragsverarbeiter zum Einsatz kommen, diese in der Liste der Unterauftragsverarbeiter (Anhang III) angegeben werden. Besonders wichtig ist der Anhang zur Dokumentation der technisch-organisatorischen Maßnahmen einschließlich der Gewährleistung der Sicherheit der Daten (Anhang II).

Zu beachten ist, dass für Modul 1 – 3 konkrete und nicht allgemeine technische und organisatorische Maßnahmen für jede Datenübermittlung/Kategorie von Datenübermittlungen angegeben werden. Im Anhang II werden hier im Rahmen eines Beispielskatalogs auch Angaben gemacht. Dieser Beispielskatalog ist jedoch nicht abschließend und kann nicht als To-Do-Liste verwendet werden. Daher müssen sich die Vertragsparteien intensiv mit der Datenverarbeitung auseinandersetzen und konkrete auf die Datenverarbeitung bezogene Schutzmaßnahmen zur Gewährleistung eines angemessenen Datenschutzniveaus definieren. Es müssen Art, Umfang, Umstände, Zweck der Verarbeitung der personenbezogenen Daten und die Risiken für die Rechte und Freiheiten, der von der Datenverarbeitung betroffenen Personen berücksichtigt werden. In vielen Fällen muss für die betroffenen Datenverarbeitung eine Datenschutzfolgenabschätzung durchgeführt und dokumentiert werden.

Wir können Ihnen im Bereich der internationalen Datenübermittlung folgende Leistungen anbieten:

  • Unterstützung bei der Erfassung des Datenflusses innerhalb eines Mutterunternehmens, deren Tochtergesellschaften und bei Unterauftragnehmern (Data Workflow)
  • Unterstützung der Erfassung der wesentlichen IT-Verfahren, die von einer Datenübermittlung in Drittstaaten betroffen sind (Data Mapping)
  • In Abhängigkeit vom Data Workflow Strukturierung der erforderlichen datenschutzrechtlichen Verträge, insbesondere Auswahl der erforderlichen Module der Standard-Datenschutzklauseln (SDK)
  • Unterstützung bei der Erstellung der einzelnen Anhänge, insbesondere Informationen über die Datenverarbeitung (Anhang I), Dokumentation der technisch-organisatorischen Maßnahmen einschließlich der Sicherheit der Daten (Anhang II) und Liste der Unterauftragsverarbeiter (Anhang III)
  • Unterstützung bei der Erfassung und Dokumentation von Art, Umfang, Umstände und Zweck der Verarbeitung der personenbezogenen Daten
  • Durchführung der erforderlichen Datenschutzfolgenabschätzung
  • Beratung bei der Implementierung geeigneter Maßnahmen, um den Zugriff von Regierungen in Drittstaaten auf personenbezogene Daten zu verhindern, z. B. durch Anonymisierung oder ausreichende Verschlüsselung der Daten
  • Rechtliche Beratung bei Gesetzen in Drittstaaten, die deren Regierungen einen Zugriff auf personenbezogene Daten rechtlich ermöglichen, z. B. US-Cloud-Act
  • Durchführung der Zuverlässigkeitsprüfung externer Dienstleister z. B. durch ein Datenschutz-Audit
  • Vor-Ort-Besuche, Begehung der IT- und TK-Infrastruktur zur Prüfung der datenschutzrechtlichen Zuverlässigkeit des externen Dienstleisters