< zurück zum Blog

Handlungsleitfaden zum Umgang mit "Schrems II"

15.12.2020

In unserem Blogbeitrag vom 15. September sind wir bereits auf das Thema „Schrems II“ eingegangen. Da seitdem vermehrt Anfragen bei uns eingegangen sind, wollten wir hier noch einen kleinen Handlungsleitfaden aufnehmen, falls Sie mit (Unter-)Auftragnehmern arbeiten, die Daten in Drittländern (auch USA) verarbeiten.

Überprüfen: Liegt eine Datenverarbeitung in Drittländern vor?

Zunächst einmal gilt es festzustellen, ob man überhaupt mit Vertragspartnern zusammenarbeitet, die personenbezogene Daten in Drittländer übermitteln oder Ihren Firmensitz in einem Drittland haben. Dabei sind auch Unterauftragnehmer der eigenen Auftragnehmer zu beachten!

Ist im betreffenden Drittland ein angemessenes Schutzniveau gegeben?

Sofern Sie festgestellt haben, dass in Ihrem Unternehmen personenbezogene Daten in ein Drittland übermittelt werden, müssen Sie sicherstellen, dass dort ein angemessenes Schutzniveau gewährleistet ist.

Ein solches Schutzniveau kann einerseits durch das Vorliegen eines Angemessenheitsbeschlusses der europäischen Kommission sichergestellt sein. Eine aktuelle Übersicht der betroffenen Länder finden sie *hier* (https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en)

Liegt kein Angemessenheitsbeschluss vor, muss im Rahmen einer Einzelfallanalyse festgestellt werden, ob für die jeweilige Datenübermittlung ein ausreichendes Schutzniveau sichergestellt werden kann. Als „ausreichend“ wird es dann angesehen, wenn es in etwa dem europäischen Standard entspricht.

Die Schließung von sogenannten „Standarddatenschutzklauseln“ (siehe hier: https://datenschutz.hessen.de/sites/datenschutz.hessen.de/files/Set_I_2001_497_EG_v._15.6.01_DE.pdf) oder selbst erstellten Datenschutzvereinbarungen (sog. „Binding Corporate Rules“) ist dabei nicht ausreichend. Vielmehr sind zusätzliche Vereinbarungen mit den betroffenen Unternehmen zu schließen.

Zusätzliche Maßnahmen/Vereinbarungen

Solche zusätzlichen Maßnahmen können vertraglich geregelt werden oder durch technische und organisatorische Maßnahmen umgesetzt werden. Dabei ist sicherzustellen, dass diese Maßnahmen nicht nur „auf dem Papier“ existieren, sondern eben auch umgesetzt werden.

Exklusiv für unsere Kunden haben wir eine Musterliste an Maßnahmen verfasst, die wir Ihnen zusätzlich mit einem Vorschlag für ein Anschreiben an die Vertragspartner übermittelt haben.

Dokumentation

Die Überprüfung und Umsetzung der Schutzmaßnahmen beim Datentransfer in Drittländer ist abschließend zu dokumentieren. Falls betroffen sind die Angaben im Verarbeitungsverzeichnis entsprechend anzupassen.

Weiterführende Links

https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en https://datenschutz.hessen.de/sites/datenschutz.hessen.de/files/Set_I_2001_497_EG_v._15.6.01_DE.pdf

Zum Aktivieren der eingebetteten Karte bitte auf den Link klicken. Durch das Aktivieren werden Daten an den jeweiligen Anbieter übermittelt. Weitere Informationen können unserer Datenschutzerklärung entnommen werden

Inhalt anzeigen

Ihr direkter Kontakt zu uns

SiDIT GmbH
Langgasse 20
97261 Güntersleben

Bürozeiten:
Montag bis Freitag von 8-16 Uhr.