Update vom 04.03.2022: Nachdem das Privacy Shield mit dem Urteil vom 16.07.2020 für unzulässig erklärt wurde, veröffentlichte die Europäische Kommission am 04.06.2021 die neuen Standardvertragsklauseln. Mit deren Hilfe soll nun wieder Datentransfer in die USA ermöglicht werden. In unserem Artikel vom 19.11.2021 informieren wir Sie umfassend zu den neuen Standardvertragsklauseln, insbesondere wie diese abzuschließen und welche weiteren Maßnahmen zu ergreifen sind, um einen sicheren Datentransfer zu ermöglichen.
In unserem Blogbeitrag vom 15. September sind wir bereits auf das Thema „Schrems II“ eingegangen. Da seitdem vermehrt Anfragen bei uns eingegangen sind, wollten wir hier noch einen kleinen Handlungsleitfaden aufnehmen, falls Sie mit (Unter-)Auftragnehmern arbeiten, die Daten in Drittländern (auch USA) verarbeiten.
Überprüfen: Liegt eine Datenverarbeitung in Drittländern vor?
Zunächst einmal gilt es festzustellen, ob man überhaupt mit Vertragspartnern zusammenarbeitet, die personenbezogene Daten in Drittländer übermitteln oder Ihren Firmensitz in einem Drittland haben. Dabei sind auch Unterauftragnehmer der eigenen Auftragnehmer zu beachten!
Ist im betreffenden Drittland ein angemessenes Schutzniveau gegeben?
Sofern Sie festgestellt haben, dass in Ihrem Unternehmen personenbezogene Daten in ein Drittland übermittelt werden, müssen Sie sicherstellen, dass dort ein angemessenes Schutzniveau gewährleistet ist.
Ein solches Schutzniveau kann einerseits durch das Vorliegen eines Angemessenheitsbeschlusses der europäischen Kommission sichergestellt sein. Eine aktuelle Übersicht der betroffenen Länder finden sie *hier* (https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en)
Liegt kein Angemessenheitsbeschluss vor, muss im Rahmen einer Einzelfallanalyse festgestellt werden, ob für die jeweilige Datenübermittlung ein ausreichendes Schutzniveau sichergestellt werden kann. Als „ausreichend“ wird es dann angesehen, wenn es in etwa dem europäischen Standard entspricht.
Die Schließung von sogenannten „Standarddatenschutzklauseln“ (siehe hier: https://datenschutz.hessen.de/sites/datenschutz.hessen.de/files/Set_I_2001_497_EG_v._15.6.01_DE.pdf) oder selbst erstellten Datenschutzvereinbarungen (sog. „Binding Corporate Rules“) ist dabei nicht ausreichend. Vielmehr sind zusätzliche Vereinbarungen mit den betroffenen Unternehmen zu schließen.
Zusätzliche Maßnahmen/Vereinbarungen
Solche zusätzlichen Maßnahmen können vertraglich geregelt werden oder durch technische und organisatorische Maßnahmen umgesetzt werden. Dabei ist sicherzustellen, dass diese Maßnahmen nicht nur „auf dem Papier“ existieren, sondern eben auch umgesetzt werden.
Exklusiv für unsere Kunden haben wir eine Musterliste an Maßnahmen verfasst, die wir Ihnen zusätzlich mit einem Vorschlag für ein Anschreiben an die Vertragspartner übermittelt haben.
Dokumentation
Die Überprüfung und Umsetzung der Schutzmaßnahmen beim Datentransfer in Drittländer ist abschließend zu dokumentieren. Falls betroffen sind die Angaben im Verarbeitungsverzeichnis entsprechend anzupassen.
Weiterführende Linkshttps://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_enhttps://datenschutz.hessen.de/sites/datenschutz.hessen.de/files/Set_I_2001_497_EG_v._15.6.01_DE.pdf
Kein Kommentar