Internationale Datenübermittlung

Internationale Konzerne übermitteln vielfältig personenbezogene Daten z. B. Bewerberdaten von Tochtergesellschaften in Deutschland in die USA, von Supportcenter zu Supportcenter (follow the sun) oder an in Drittstaaten ansässige Dienstleister, die personenbezogene Daten im Auftrag verarbeiten. Die Anwendungsfälle sind vielfältig und auch die Datenübermittlung kann über eine Kette von Datenimporteuren geschehen.

Erste Herausforderung für ein Unternehmen ist es, zu dokumentieren, welche Daten an welchen Datenempfänger exportiert werden und wie sich der Datenfluss vom Datenexporteur zum Datenimporteur einschließlich der eingebundenen Subunternehmer gestaltet. In einem weiteren Schritt muss dann in einer Zwei-Stufenprüfung die Zulässigkeit der technischen Datenübermittlung geprüft werden.

Im ersten Prüfungsschritt muss geprüft werden, ob eine Datenübermittlung im Inland zulässig wäre (z. B. aufgrund einer Vereinbarung zur Auftragsverarbeitung nach Art. 28 DS-GVO).

Ist eine Datenübermittlung auf der ersten Stufe zulässig, muss im zweiten Prüfungsschritt die Zulässigkeit der Datenübermittlung an den Datenimporteur im Drittstaat geprüft werden. Hier müssen dann ggf. der geeignete Vertrag der EU-Standardvertragsklauseln und eine Vereinbarung zur Auftragsverarbeitung zwischen Datenexporteur und Datenimporteur abgeschlossen werden. Bei Sitz des Datenimporteuers in den USA kann alternativ das EU-US Privacy Shield zur Anwendung kommen. Auch können verbindliche Unternehmensrichtlinien (Binding Corporate Rules) für die Datenübermittlung ein geeignetes Instrument zur Datenübermittlung darstellen. Wenn auf der Seite des Datenimporteurs Subunternehmer beauftragt werden, muss geklärt werden, inwieweit diese den datenschutzrechtlichen Verträgen beitreten.

Die Thematik der internationalen Datenübermittlung enthält je nach Konstellation zwischen Datenexporteur und Datenimporteur verschiedene Fallgruppen, von denen die richtige Fallgruppe zur Umsetzung der datenschutzrechtlich erforderlichen Verträge anzuwenden ist. Dies gilt insbesondere bei einem Anbieter von Cloud-Dienstleistungen außerhalb der Europäischen Union.

Wir können Ihnen im Bereich der internationalen Datenübermittlung folgende Leistungen anbieten:

 

  • Abschluss der erforderlichen Vereinbarungen zur Auftragsverarbeitung
  • Datenschutzrechtliche Beurteilung unter Berücksichtigung der einschlägigen Fallgruppen für die internationale Datenübermittlung
  • Abschluss der erforderlichen EU-Standardverträge unter Berücksichtigung der verschiedenen Klauselsets
  • Beratung bei der Nutzung einer EU-US Privacy Shield-Zertifizierung bei Verarbeitung von personenbezogenen Daten durch einen externen Dienstleister in den Vereinigten Staaten von Amerika
  • Überprüfung der Anforderungen an IT-Sicherheitszertifikate im Rahmen von EU-US Privacy Shield
  • Beratung bei der Erstellung von verbindlichen Unternehmensregelungen in Zusammenarbeit mit den Aufsichtsbehörden für den Datenschutz in der Europäischen Union auf Grundlage der DS-GVO
  • Unterstützung bei Kontrollen der Aufsichtsbehörden für den Datenschutz