Internationaler Datenschutz

Kaum ein Unternehmen kommt ohne Übermittlung von personenbezogenen Daten an eine im Ausland belegene Stelle aus. Wir beraten Sie zu der Frage, welche Anforderungen beim grenzüberschreitenden Datenverkehr beachtet werden müssen zeigen Ihnen rechtliche Stolpersteine auf. Zunehmend kommen in Unternehmen internationale Cloud Computing Anbietern zum Einsatz. Bei diesen könnten die personenbezogenen Daten Ihrer Kunden in Rechenzentren auf der ganzen Welt gespeichert werden, ohne dass dieses für die Unternehmen auf den ersten Blick erkennbar ist. Grenzüberschreitende Datentransfers betreffen  einerseits Einzelunternehmen, vermehrt aber insbesondere Gruppenunternehmen, also im Konzern verbundene Gesellschaften.

Hierbei ist beachten, wie die Zulässigkeit der Übermittlung personenbezogener Daten in ein sog. Drittland hergestellt werden kann. Als Drittland gilt grundsätzlich jedes Land außerhalb der EU bzw. des EWR, für das seitens der EU-Kommission kein angemessenes Datenschutzniveau festgestellt wurde. Hinsichtlich einiger Länder hat die EU-Kommission dies verbindlich festgestellt (unter anderem Argentinien, Guernsey, Isle of Man, Jersey, Kanada, Schweiz und Neuseeland), so dass ein Transfer in diese Länder grundsätzlich unproblematisch ist. Andernfalls ist zu prüfen, ob auf sogenannte EU-Standardvertragsklauseln, individuelle Verträge, Einwilligungslösungen durch die Betroffenen oder die Zertifizierung durch den EU-U.S. Privacy Shield oder sogar Binding Corporate Rules zurückzugreifen ist.

Es muss daher im Einzelfall nicht nur insgesamt die Weitergabe von personenbezogenen Daten an einen externen Dienstleister (etwa über einen Vertrag zur Auftragsverarbeitung) legitimiert werden, sondern darüber hinaus sind auf der sog. „zweiten“ Stufe geeignete Garantien erforderlich, um die Übermittlung an diesen Dienstleister zu legitimieren, wenn dieser seinen Sitz im Drittland hat oder aus einem solchen auf die personenbezogenen Daten zugreift.

Wir beraten Sie, wie Sie Ihre Drittlandübermittlungen rechtssicher gestalten können, um international agieren zu können.

Internationaler Datenschutz

Internationaler Datenschutz

Datenschutzrechtliche Aspekte bei der Einführung einer Konzerndatenbank unter der DSGVO (Bild: lhaibadesigns/stock.adobe.com)