10 Schritte: Internationale Datentransfers im Einklang mit EU-Gesetzen

Mit der zunehmenden Vernetzung der Welt und der Globalisierung ist die Notwendigkeit, personenbezogene Daten in Länder außerhalb der EU zu übermitteln, immer häufiger geworden. Die meisten Unternehmen müssen für ihre Geschäftstätigkeit personenbezogene Daten verarbeiten. Daher ist es von entscheidender Bedeutung, dass sie bestimmte Regeln befolgen, um die Einhaltung der Datenschutz-Grundverordnung (DSGVO) und anderer EU-Datenschutzgesetze zu gewährleisten.   

Das Urteil des Europäischen Gerichtshofs (EuGH) in der Rechtssache "Schrems II" und die Leitlinien des Europäischen Datenschutzausschusses (EDPS) haben die Weichen für internationale Datenübermittlungen gestellt.   

Hier sind die 10 wichtigsten Schritte, die Unternehmen bei der Übermittlung personenbezogener Daten in Länder außerhalb der EU beachten müssen:  

1. Ermittlung der Rechtsgrundlage für die Übermittlung   

Unternehmen müssen zunächst die Rechtsgrundlage für die Übermittlung personenbezogener Daten in Länder außerhalb der EU bestimmen. Dies kann die Erfüllung eines Vertrags, die Einhaltung einer rechtlichen Verpflichtung oder die überwiegenden berechtigten Interessen des Unternehmens sein.   

2. Einholung einer Einwilligung 

 

In einigen Fällen kann es erforderlich sein, die ausdrückliche Einwilligung der Betroffenen einzuholen, bevor ihre personenbezogenen Daten in Länder außerhalb der EU übermittelt werden. Dies ist besonders wichtig bei sensiblen Daten wie Gesundheits- oder Finanzdaten.  

  

3. Zulässige Transfermechanismen verwenden  

Es gibt mehrere zulässige Mechanismen (sog. "geeignete Garantien"), die Unternehmen für die Übermittlung personenbezogener Daten in Länder außerhalb der EU nutzen können, darunter Standardvertragsklauseln (SCC), verbindliche unternehmensinterne Datenschutzvorschriften (BCR) und genehmigte Verhaltensregeln. Außerdem gibt es Länder, in denen die EU-Kommission das Datenschutzniveau als der EU gleichwertig eingestuft hat (z. B. Kanada oder Japan). Es ist wichtig, den geeigneten Mechanismus auf der Grundlage der spezifischen Umstände der Übermittlung zu wählen.  

  

4. Bewerten Sie die Risiken 

Vor der Übermittlung personenbezogener Daten in Länder außerhalb der EU müssen Unternehmen die mit der Übermittlung verbundenen Risiken anhand einer Transfer-Folgenabschätzung (TIA) bewerten. Eine TIA ist ein entscheidender Schritt im Prozess der Übermittlung von personenbezogenen Daten in Länder außerhalb der EU. Sie beinhaltet eine Analyse der potenziellen Risiken, die mit der Übermittlung verbunden sind, und die Festlegung geeigneter Maßnahmen zur Minderung dieser Risiken.   

  

Dazu gehört die Bewertung der Gesetze und Verfahren des Ziellandes, der Art der zu übermittelnden Daten und der potenziellen Auswirkungen auf den Einzelnen, einschließlich eventuell erforderlicher zusätzlicher Sicherheitsvorkehrungen.  

  

5. Angemessene Sicherheitsvorkehrungen treffen 

Die Unternehmen müssen geeignete (zusätzliche) Maßnahmen zum Schutz der Daten treffen, wenn die TIA-Risiken im Zusammenhang mit der Datenübermittlung feststellt. Dazu können Standardvertragsbestimmungen, technische Maßnahmen wie Verschlüsselung oder organisatorische Regeln (z. B. Zugriffsrechte) gehören.    

6. Abschluss von Datenverarbeitungsverträgen  

Werden personenbezogene Daten zur Verarbeitung an Dritte weitergegeben, muss unbedingt ein sog. "Auftragsverarbeitungsvertrag" geschlossen werden, in dem die Zuständigkeiten und Pflichten beider Parteien klar geregelt sind. Die SCC enthalten alle relevanten Bestimmungen zur Erfüllung der Anforderungen an die Auftragsverarbeitung, d. h. es sind keine zusätzlichen Vereinbarungen erforderlich, wenn die SCC als Übermittlungsinstrument verwendet werden.  

  

7. Verwendung von Verschlüsselung und anderen Sicherheitsmaßnahmen 

Die Verschlüsselung personenbezogener Daten und die Umsetzung zusätzlicher Sicherheitsmaßnahmen können dazu beitragen, Daten während des Übermittlungsprozesses zu schützen. Unternehmen sollten sicherstellen, dass sie über angemessene Sicherheitsmaßnahmen verfügen, um unbefugten Zugriff auf personenbezogene Daten zu verhindern.  

  

8. Dokumentieren Sie die Datenübermittlung 

Unternehmen müssen Verzeichnisse über die Übermittlung personenbezogener Daten in Länder außerhalb der EU führen, einschließlich des Zwecks der Übermittlung, der Art der übermittelten Daten und des für die Übermittlung verwendeten Verfahrens, führen.  

  

9. Betroffene Personen informieren  

Die Betroffenen haben das Recht, über die Übermittlung ihrer personenbezogenen Daten in Länder außerhalb der EU informiert zu werden. Dazu gehört, dass sie Informationen über das Zielland, den Zweck der Übermittlung und die zum Schutz ihrer Daten getroffenen Maßnahmen erhalten. Dies geschieht in der Regel über Datenschutzhinweise auf Websites oder in Apps.  

  

10. Regelmäßige Überprüfungen durchführen  

Es ist wichtig, die Übermittlung personenbezogener Daten in Länder außerhalb der EU regelmäßig zu überprüfen und zu überwachen, um sicherzustellen, dass sie immer noch mit den EU-Datenschutzgesetzen vereinbar ist. Dies bedeutet, dass die Risiken, die Eignung des Übermittlungsmechanismus und die Wirksamkeit der vorhandenen Schutzmaßnahmen neu bewertet werden müssen. Dies bedeutet auch, dass man sich über die Entwicklungen im EU-Datenschutzrecht und die Leitlinien des Europäischen Datenschutzausschusses auf dem Laufenden halten muss, da diese sich auf die Übermittlung personenbezogener Daten in Länder außerhalb der EU auswirken können. Wenn die Überprüfungen Lücken aufzeigen, sollten Sie die Richtlinien und Verfahren entsprechend anpassen.   

Mit der Befolgung dieser 10 Schritte können Unternehmen sicherstellen, dass ihre Datenübermittlungen in Länder außerhalb der EU in einer Weise erfolgen, die die personenbezogenen Daten ihrer Kunden und Mitarbeiter schützen und den EU-Datenschutzgesetzen entsprechen.  

  

Wie kann DataGuard helfen?   

  

Mit DataGuard haben Sie nicht nur Zugang zu unserem internen Team von Datenschutz- und Sicherheitsexperten, sondern auch zu unseren webbasierten Plattformen. Dort können Sie Ihre Verzeichnisse und Datenschutzhinweise für internationale Datentransfers und Ihre Auftragsverarbeiter und andere Dienstleister verwalten.

 

Gleichzeitig unterstützen unsere Experten Sie bei der Durchführung einer Transfer-Folgenabschätzung, bei der Suche nach den richtigen Rechtsgrundlagen für Ihre Übermittlungen und bei der Beratung zu geeigneten Schutzmaßnahmen, um Ihre grenzüberschreitenden Datenströme datenschutzkonform zu gestalten.

 

Da wir regelmäßig an Konferenzen teilnehmen und uns mit Behörden austauschen, sind unsere Experten immer auf dem neuesten Stand und weisen in den jeweiligen Jour Fixe-Sitzungen auf neue Entwicklungen im Bereich des internationalen Datentransfers hin.  

  

 
Kostenlose Beratung zu Datenschutz und DSGVO

Möchten Sie mehr über internationale Datentransfers erfahren?

Nehme Sie noch heute Kontakt mit unseren internen Experten bei DataGuard auf.

Über den Autor

Dr. Frank Schemmel Dr. Frank Schemmel
Dr. Frank Schemmel

Dr. Frank Schemmel, CIPP/E, CIPP/US, CIPM, CIPT, ist seit 2018 bei DataGuard in verschiedenen Managementpositionen tätig (zuletzt als Head of Privacy) und derzeit verantwortlich für die unternehmensweite inhaltliche und strategische Gestaltung sowie Optimierung der DataGuard Service Lines "Privacy" und "Compliance", einem hybriden Modell aus erstklassiger Beratung und Unterstützung durch selbstentwickelte, skalierbare Softwarelösungen. Als zertifizierter Datenschutzbeauftragter (TÜV) und Compliance Officer (Univ.) berät er zu allen Themen des Datenschutzes, der IT-Sicherheit und der allgemeinen Compliance. Vor seinem Wechsel zu DataGuard war er fünf Jahre für Allen & Overy LLP im Bereich Datenschutz und Arbeitsrecht als Berater und Legal Project Manager tätig. Er publiziert regelmäßig in einschlägigen Medien und gibt seine Erfahrung als Dozent an Hochschulen (u.a. Düsseldorf, Augsburg), Sprecher auf Konferenzen (u.a. euroforum Datenschutzkongress, bitkom Privacy Conference, IAPP Data Protection Intensive: Deutschland) und als Webinar-Host weiter.

Mehr Artikel ansehen

Lernen Sie DataGuard kennen

Jetzt unverbindlich beraten lassen

Ihre Vorteile auf einen Blick

  • Unterstützung durch Rechtsexperten und umfassende Compliance-Plattform
  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®
  • Vereinfachtes und digitalisiertes Informationssicherheits-Managementsystem (ISMS)
  • Erhöhte Opt-in-Raten durch zentralisiertes Consent & Preference Management
  • Mehr Kundenvertrauen und Wachstum, weniger Risiken

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Externer Informationssicherheitsbeauftragter (ISB) oder Expertenbetreuung auf Augenhöhe
  • Persönlicher Ansprechpartner
  • Vorbereitung auf Ihre Zertifizierung nach ISO 27001 & TISAX®️
  • 100+ Experten aus Recht, Wirtschaft & IT

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren

ODER RUFEN SIE UNS AN:(089) 8967 551 000