Praxisnahe Umsetzung seit 2013
Ihr Experte für Datenschutz und Informationssicherheit
Übermittlung in Drittländer
Übermittlung in Drittländer: Können Sie diese 10 Fragen zum Datenschutz beantworten?
Home » Datenschutz-Grundlagen » Drittlandtransfer
Internationaler Datenverkehr: Der Überblick
Einleitung
Wenn Sie personenbezogene Daten in andere Länder außerhalb der EU übermitteln, müssen sie sicherstellen, dass im Zielland ein angemessenes Datenschutzniveau vorliegt. In den letzten Monaten hat dies zu erheblichen Unsicherheiten und Aufwänden geführt. Ein aktives Handeln ist notwendig, um die Anforderungen der DSGVO zu erfüllen.
Das Problem: Aktuell gibt es für Übermittlungen an Unternehmen in den USA keine wirklich gute Lösung für die Problematik. Denn Unternehmen, wie zum Beispiel Amazon, Microsoft, Salesforce oder Google unterliegen den amerikanischen Gesetzen. US-Behörden haben weitreichende Möglichkeiten, um auf personenbezogene Daten zuzugreifen.
Wenn Sie sich mit dem Thema selbst auseinandersetzen wollen: Auf dieser Seite finden Sie Antworten auf (fast) alle Fragen rund um das Thema „Drittlandtransfer“.
Diese Informationen stellen keine Rechtsberatung dar, sondern geben Anregungen zur Umsetzung. Für eine passgenaue Umsetzung nehmen Sie gerne Kontakt auf.
Inhalte
Drittlandtransfer: Der Überblick
Eine Übermittlung von personenbezogenen Daten in ein Drittland ist schwer zu erfüllen. Prüfen Sie daher, ob die Datenverarbeitung nicht anders gestaltet werden kann.
Ist die Entscheidung bereits gefallen? Prüfen Sie, ob Sie mit geeigneten und wirksamen Mitteln das Risiko für die betroffenen Personen reduzieren können. Überlegen Sie zum Beispiel, ob Sie den Umfang der Datenverarbeitung oder die Anzahl der Zugriffsberechtigten reduzieren können.
Setzen Sie bei Übermittlungen Verschlüsselungsmethoden ein. Idealerweise sorgen Sie dafür, dass Sie die Schlüsselhoheit behalten oder der Zugriff der Schlüssel nur aus der EU erfolgen kann.
- Angemessenheitsbeschluss
- Standardvertragsklauseln
- Verbindliche interne Datenschutzvorschriften
- Einwilligung
- Erforderlich zur Vertragserfüllung
- Verfolgung von Rechtsansprüchen
- Wahrung zwingender berechtigter Interessen
Beachten Sie mögliche Sanktionen!
Was ist, wenn die Datenverarbeitung durch eine Aufsichtsbehörde Ihre Geschäftsprozesse untersagt oder Geldbußen auferlegt werden? Eine Übermittlung personenbezogener Daten ohne wirksame Schutzmaßnahmen für die betroffenen Personen stellt eine Ordnungswidrigkeit dar.
Die Höhe variiert von Unternehmen zu Unternehmen und dem Risiko der Verarbeitung, aber Verfehlungen können schnell recht teuer werden (2% vom Vorjahresumsatz oder 10.000.000 Euro, je nachdem was höher ist). Aber so weit wird es hoffentlich nicht kommen.
Denken Sie an die Folgeaufgaben!
Sie müssen bei Übermittlungen personenbezogener Daten in Drittländer eine Risikobewertung durchführen und regelmäßig wiederholen.
10 Prüffragen für die Geschäftsleitung
- Gibt es eine Übersicht, in welchen Verarbeitungstätigkeiten und mit welchen Empfängern personenbezogene Daten in ein Drittland übermittelt werden?
- Ist ein Prozess etabliert, so dass die Übermittlung von Daten an Drittländer nur erfolgt, wenn ein angemessenes Schutzniveau vorliegt?
- Wird das angemessene Schutzniveau nachweislich regelmäßig überprüft?
- Liegen Nachweise über die Beurteilung der Zulässigkeit und Wirksamkeit von Garantien vor?
- Liegen Nachweise über durchgeführte Beurteilungen der Aktualität der Beschlüsse der EU-Kommission und Abgleich mit der Internetseite der EU-Kommission vor?
- Enthalten die Verträge mit Auftragsverarbeitern sämtliche notwendigen Inhalte für den Drittlandtransfer?
- Sind die Einwilligungen für den Drittlandtransfer rechtskonform gestaltet und finden nur gelegentlich statt?
- Wurden beim Abschluss von Standardvertragsklauseln die lokalen Rechtsvorschriften berücksichtigt?
- Haben Sie für jede Datenverarbeitung und Dienstleister ein Transfer Impact Assessment durchgeführt?
- Haben Sie Alternativen für den Drittlandtransfer nachweislich geprüft und dokumentiert?
Sie wollen in 4 Schritten eine Risikobewertung von Drittlandtransfers in Ihrem Unternehmen umsetzen? Finden Sie hier weitere Informationen.
Sie wünschen eine direkte Kontaktaufnahme und haben Fragen zum Sicherheit der Verarbeitung, die ggf. schnell beantwortet werden können?
In 4 Schritten zur Umsetzung: Drittlandtransfer
Nachfolgend zeige ich Ihnen die 4 Schritte, wie Sie das Thema „Drittlandtransfer“ im Unternehmen umsetzen und aktuell halten können.
Schritt 1: Holen Sie einen Spezialisten an Bord — schneller geht es nicht.
Um sich diesem komplizierten Thema der DSGVO zu nähern, müssen Sie erst alle Datenverarbeitungen kennen, in denen personenbezogene Daten verarbeitet und in ein Drittland übermittelt werden.
Ein erster Ansatzpunkt ist das Verzeichnis der Verarbeitungstätigkeiten. Hier sollten Sie schon sämtliche Datenverarbeitungen einschließlich einem Drittlandbezug dokumentiert haben. Wenn Sie noch keine vollständige Aufnahme Ihrer Geschäftsprozesse haben, sollten Sie damit anfangen. Dies schließt auch die Auftragsverarbeiter ein, die Sie ebenfalls einsetzen.
Diese Informationen müssen Sie auch kennen, weil Sie die Betroffenenrechte fachgerecht umsetzen müssen. Hier sind die Informationspflichten und das Auskunftsrecht der betroffenen Personen zu nennen, weil Sie dort Übermittlungen in Drittländer einschließlich der eingesetzten Garantien ausführen müssen.
Beachten Sie das Risiko für die betroffenen Personen!
Die Anzahl der zu erstellenden Konzepte sind abhängig von der Komplexität der Verarbeitung und dem Risiko für die Rechte und Freiheiten der betroffenen Personen. Das Wissen für die Erstellung einer fachgerecht erstellten Inventur und Dokumentation sollten Sie nicht ausschließlich durch interne Beschäftigte oder durch externe Dienstleister ohne Unterstützung erstellen. Diese Erfahrung ist nebenberuflich nur schwer zu erlangen.
Schritt 2: Ermitteln Sie die Garantien der Drittlandtransfers.
Im zweiten Schritt ermitteln Sie die Garantien der Datenverarbeitungen. Die DSGVO bietet diverse Garantien an, wie z. B. ein Angemessenheitsbeschluss der EU-Kommission, Standardvertragsklausen oder verbindliche interne Datenschutzvorschriften. Es gibt auch noch zusätzliche Ausnahmen, die Sie jedoch nur in besonderen Fällen verwendet können und eng auszulegen sind. Wenn Sie jetzt nur Fragezeichen sehen, sollten Sie einen Spezialisten hinzuziehen.
Ziel der Garantien ist es, ein gleichwertiges Schutzniveau im Zielland herzustellen. Es kann dazu erforderlich sein, dass Sie zusätzliche Maßnahmen etablieren, um die Daten der betroffenen Personen angemessen und wirksam zu schützen.
Auch die eingesetzten Garantien und die zusätzlichen Schutzmaßnahmen sollten Sie dokumentieren. Sie nutzen ein internes Dokumentationssystem, z. B. ein internes Wikipedia, ein Dokumentenmanagementsystem, Google Drive, eine NextCloud, ein Qualitätsmanagementsystem, Microsoft Teams / SharePoint oder den klassischen Aktenordner? Verwenden Sie einen einheitlichen Aufbau der Dokumente, ein Versionsmanagement und eine Kommunikations- und Freigabeprozedur. Stellen Sie sicher, dass die beteiligten Fachabteilungen auf die Dokumente zugreifen können.
Schritt 3: Führen Sie eine Risikobewertung durch.
Wenn Sie die Garantien pro Datenverarbeitung ausgewählt haben, müssen Sie eine Risikobewertung durchführen. Prüfen Sie, ob der Schutz der Daten effektiv und wirksam ist. Die betroffenen Personen müssen einen Schutz erhalten, der das gleiche Niveau wie in Europa hat.
Andere Länder — andere Gesetze. Prüfen Sie, ob im Zielland gesetzliche Regelungen bestehen, die die Sicherheit Ihrer Datenverarbeitung gefährden. So bestehen in den USA diverse Gesetze, die es den US-Behörden erlauben, auf die Daten zuzugreifen. Dies geschieht auch unabhängig davon, in welchem Land die Daten gespeichert werden (zum Beispiel in Europa). Berücksichtigten Sie dabei sämtliche beteiligten Parteien, die im Zuge der Datenverarbeitung einen Zugriff erhalten. Dafür müssen sie den gesamten Datenfluss einschließlich aller Verantwortlichen, Auftragsverarbeiter und deren Unterauftragsverarbeiter kennen.
Nachdem Sie Klarheit haben, wie die jeweilige Rechtslage in den Zielländern aussieht, müssen Sie prüfen, ob noch zusätzliche Maßnahmen etabliert werden können. Rein vertragliche Maßnahmen zwischen Ihnen und dem Unternehmen zum Schutz der Daten werden nicht ausreichen, da die Behörde nicht an diese Verträge gebunden ist. Sie müssen noch organisatorische und technische Maßnahmen hinzufügen. Idealerweise verwenden Sie Verschlüsselungstechnologien, die den Zugriff auf die Daten verhindern. Dazu ist es notwendig, dass die Schlüsselhoheit bei Ihnen selbst liegt und nicht bei dem Unternehmen, dass per Gesetz gezwungen werden kann, die Schlüssel den Behörden zur Verfügung zu stellen.
Dokumentieren Sie Ihre Risikobewertung
Nachdem Sie alle Aspekte der Datenverarbeitung inklusive den Gesetzen der Zielländer verstanden haben, müssen Sie die Risikobewertung aus Sicht der betroffenen Personen bewerten. Ob dies im Freitext oder in einer Matrix geschieht, ist nicht vorgegeben. Vorlagen für eine Risikobewertung finden Sie hier. Bei den Excel-Tabellen spielt die Eintrittswahrscheinlichkeit eine große Rolle. Lassen Sie folgende Punkte mit einfließen:
- Schutzbedarf der Daten (z. B. Gesundheitsdaten)
- Art, Umfang und Dauer der Datenverarbeitung
- Transparenz der Datenverarbeitung gegenüber den betroffenen Personen
- Ort der Datenspeicherung
- Eingesetzte Schutzmaßnahmen, z. B. Reduktion, Verschlüsselung etc.
- Interne Verpflichtungen, sich gegen Anfragen von Behörden bis zur letzten Instanz zu wehren
- Anzahl der Zugriffe durch Behörden in der Vergangenheit
- Alternativen der Datenverarbeitung (z. B. andere Produkte) und Gründe des Nicht-Einsatzes
- Möglichkeiten der Prüfung des Dienstleisters
Schritt 4: Aktualisieren Sie Ihre Risikobewertungen regelmäßig.
Die gesamte Dokumentation hilft Ihnen, eine Handlungs- und Verteidigungsstrategie vorzubereiten, wenn Datenschutzaufsichtsbehörden ein Audit bei Ihnen durchführen.
Die meisten Unternehmen, die ich betreue, sammeln jedoch Veränderungen während der Laufzeit und aktualisieren die Dokumente einmal im Jahr, um nicht zu häufig Anpassungen durchzuführen.
Arbeiten Sie weiter daran, bestehende Lösungen sicherer zu machen. Auch wenn die nicht bei allen Hard- und Softwarekomponenten möglich ist: Sie sollten nachweisen können, dass Sie sich Alternativen angeschaut haben und die Gründe für die Nichtverwendung dokumentieren.
Sie benötigen Unterstützung beim Thema Drittlandtransfer? Melden Sie sich gerne.
Clever sein – Drittlandtransfer Effizient und praxisnah umsetzen
Ich unterstütze Sie bei der Erstellung Ihrer Risikobewertung für Drittlandtransfers. Nutzen Sie meine mehrjährige Expertise, um zügig eine erste Dokumentation zu erstellen und Maßnahmen umzusetzen, die angemessen und wirksam sind.
Als Datenschutzbeauftragter ist die Unterstützung bei der Datenverarbeitung mit einem Drittlandtransfers fester Bestandteil.
- Praxisnahe Erstellung
- Fokus im norddeutschen Raum
- Zeitnah verfügbar, vor Ort und digital
Häufig gestellte Fragen zum Drittlandtransfer
Jedes Unternehmen, welches personenbezogene Daten in Drittländer mit einem niedrigen Datenschutzniveau übermittelt, unterliegt zahlreichen gesetzliche Pflichten. Da immer noch viel Unsicherheit in diesem Thema besteht, finden Sie hier ein paar Antworten auf die häufigsten Fragen:
Eine Übermittlung personenbezogener Daten besteht, wenn personenbezogene Daten an Unternehmen übermittelt werden, die außerhalb der EU Ihren Firmensitz haben. Dabei spielt der Speicherort keine Rolle, wenn ein theoretischer Zugriff auf die Daten erfolgen kann.
Ein Transfer Impact Assessment ist eine Risikobewertung für eine Datenverarbeitung mit Unternehmen, die Ihren Sitz in einem unsicheren Drittland haben. Sie als Verantwortlicher müssen die Datenverarbeitung in allen Details beschreiben, die Risiken für die betroffenen Personen analysieren und bewerten.
Im März 2022 hatten sich die USA und die EU auf ein neues Regelwerk für den Drittlandtransfer geeinigt. Aktuell gibt es aber noch keine Details, wie das Abkommen aussehen wird.
In dem Abkommen sollen neue Regeln und Garantien für den Zugriff der US-Geheimdienste festgelegt werden. Der Zugriff soll auf nationale Sicherheitsziele beschränkt werden und notwendig und verhältnismäßig sein. Ein unabhängiger Rechtsschutz soll für die Beschwerden von Europäern eingerichtet werden. Ob das Regelwerk einer Prüfung des Europäischen Gerichtshof standhalten wird, bleibt abzuwarten. Gegen Ende des Jahres wird es hier bestimmt weitere Informationen geben.
Es gibt keine Übergangsfrist für die Entscheidung des Europäischen Gerichtshofes (Gerichtsurteil). Sie müssen die rechtlichen Anforderungen und Handlungsempfehlungen für den internationalen Datentransfer in die USA und andere Drittländer mit einem unsicheren Datenschutzniveau basierend auf Standardvertragsklauseln zeitnah umsetzen.
Aktuell gibt es dazu noch keine Bußgelder in Deutschland oder sonstige Untersagungen der Datenverarbeitungen. Aufsichtsbehörden sind aber verpflichtet worden, das Gerichtsurteil des EuGHs umzusetzen.
Der Einsatz von Standardvertragsklauseln ermöglichen Ihnen, personenbezogene Daten in unsichere Drittländer zu übermitteln. Nach der Entscheidung des EuGH verabschiedete die Europäische Kommission am 4. Juni 2021 neue Standardvertragsklauseln („Standard Contractual Clauses“, SCCs). Unternehmen müssen ihre bestehenden Verträge für Datenübermittlungen in Drittländer spätestens bis zum 27. Dezember 2022 anpassen. Alten SCC verlieren dann ihre Wirksamkeit.
Sie neuen SCCs sind modular aufgebaut und enthalten neue Pflichten für Unternehmen. Die Module richten Sie nach der Art der Zusammenarbeit.
Modul 1: Übermittlung von Verantwortlichen an Verantwortliche (C2C),
Modul 2: Übermittlung von Verantwortlichen an Auftragsverarbeiter (C2P),
Modul 3: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter (P2P),
Modul 4: Übermittlung von Auftragsverarbeitern an Verantwortliche (P2C).
Je nach Art der Datenverarbeitung müssen die Inhalte der SCCs festgelegt werden.
Bindung Corporate Rules (BCR) sind unternehmensinterne Regelungen, die den Umgang mit personenbezogenen Daten betreffen und die ein entsprechendes Genehmigungsverfahren durchlaufen haben. Aufgrund des erheblichen Aufwandes und damit verbundene Kosten dieser Maßnahme haben bislang nur wenige Unternehmen diese Garantie im Einsatz.
Wenn Sie eine professionelle Unterstützung im Bereich des Drittlandtransfers suchen, sollten wir uns kennenlernen!
Finden Sie hier eine Auswahl von Dienstleistungen. Mit einen Klick auf die Schaltfläche erhalten Sie mehr Informationen
Datenschutzberater DSGVO
Mit einer modernen Beratung im Bereich Datenschutz und Informationssicherheit sparen Sie interne Ressourcen und setzen Ihr Projekt zeitnah um. Ich biete stundenweise eine Datenschutzberatung von A‑Z.
Datenschutzbeauftragter DSGVO
Informationssicherheitsbeauftragter
Ich berate Sie in allen Bereichen der Informationssicherheit. Schützen Sie Ihre Daten vor den Gefährdungen dieser Zeit nach dem Stand der Technik nach bewährten Methoden. Erfüllen Sie die Anforderungen des IT-Grundschutzes?
Datenschutzkonforme Website
Benötigen Sie regelmäßige Reports über alle Websites inkl. Unterseiten, auch in englischer Sprache? Hätten Sie gerne eine aktive Information, wenn sich die Rechtslage ändert und Sie aktiv werden müssen. Ich biete praxisnahe Maßnahmen zur Optimierung!
Videoüberwachung DSGVO
Datenschutz-Schulungen DSGVO
Praxisnahe Schulungen im Datenschutz und in der Informationssicherheit sind für Unternehmen unerlässlich. Ich biete Präsenz-Veranstaltungen, Webinare und E‑Learning-Kurse an. Schulen Sie Ihre Beschäftigten zielgruppengenau und passend auf Ihr Unternehmen.
Kundenstimmen
Zufriedene Kunden empfehlen meine Dienstleistung weiter. Überzeugen Sie sich.
Mit einer hohen datenschutzrechtlichen, organisatorischen und sicherheitsrelevanten Kompetenz hat Herr Niehoff unser Unternehmen schnell und mit außerordentlicher Unterstützung bei der Umsetzung der DSGVO unterstützt. Das Coaching hat sich bezahlt gemacht.
Sie schaffen es, dieses Thema so interessant zu verpacken, dass ich trotzdem am Ende mit einem Lächeln aus den Meetings gehe.
Nach dem ersten Start haben wir schnell gemerkt, dass es ohne professionelle Hilfe nicht weitergeht. Herr Niehoff hat uns hier auf die richtige Spur gebracht und wir uns auch in Zukunft weiter unterstützen. Vielen Dank für die super schnelle Reaktion und Hilfe in der Krise! Wir freuen uns auch in Zukunft einen starken Partner an der Seite zu haben! Karsten Lorenzen, Geschäftsführer Testexperten KLE GmbH
Ich setze regelmäßig digitale Projekte mit anspruchsvollen Kunden um. Datenschutz ist ein notwendiges Muss. Ich benötige daher einen aktiven DSB, der da ist, wenn ich ihn benötige und mit Praxiswissen zeitnah zuarbeitet. Ich will ein festes Kontingent und nicht für jeden Handschlag zusätzlich bezahlen. Am Ende wird so etwas meist teurer und aufwändiger in der Abrechnung. Herr Niehoff bringt aufgrund seiner Flexibilität mein Business voran.
Kontakt
- Direkte Betreuung
- Zeitnahe Erstellung der Risikobewertung von Drittlandtransfers
- Direkt verfügbar
Buchen Sie ein kostenfreies Erstgespräch uns lassen Sie uns über Ihre Drittlandübermittlungen sprechen.