EU-US Privacy Shield im sicheren Hafen versenkt

(go to English version)

EuGH kappt Datenübermittlungen in die USA

Der Europäische Gerichtshof (EuGH) hat die Spielregeln für Datenübermittlungen in die USA mit seinem Urteil vom 16. Juli 2020 (Aktenzeichen C-311/18, Volltext) geändert: Ab sofort ist das EU-US-Datenschutzschild (Beschluss (EU) 2016/1250 – „EU-US-Datenschutzschild“ bzw. „Privacy Shield“) wegen fundamentaler Datenschutzmängel in den USA unwirksam und kann Datenübermittlungen dorthin nicht länger rechtfertigen.

Die als Alternative zur Verfügung stehenden sog. Standardvertragsklauseln dürfen zwar nach dem EuGH weiter genutzt werden, verlangen aber eine vorherige Prüfung des Verantwortlichen, ob im Drittland tatsächlich ein angemessenes Datenschutzniveau garantiert werden kann. Da viele Experten das für die USA zu Recht verneinen, scheiden auch die Standardvertragsklauseln als Erlaubnis aus. Stand heute sind damit die meisten Datenübermittlungen in die USA rechtswidrig.

Mit dem Urteil werden nahezu sämtliche Unternehmen und Organisationen – einschließlich öffentliche Einrichtungen und Behörden – vor erhebliche Herausforderungen gestellt: Unzählige IT-Systeme, Websites, Apps und Präsenzen in sozialen Netzwerke setzen Datenübermittlungen in die USA auf Grundlage des EU-US-Datenschutzschilds und/oder der Standarddatenschutzklauseln voraus. All dies ist am 16.07.2020 ohne Schonfrist unzulässig geworden (für eilige Leser/innen: zu den Folgen für die Praxis unter III.).

Das Urteil bedeutet (derzeit):

Google Analytics: geht nicht.

Social Media bei Facebook, Twitter und Instagram: gehen nicht.

Videokonferenzsysteme US-amerikanischer Anbieter (Zoom, MS Teams): gehen nicht (vgl. dazu auch die Fragen 7 bis 10 im FAQ zu Videokonferenzsystemen der LfD Niedersachsen v. August 2020).

Hosting von Services in US-amerikanischer Infrastruktur (AWS, MS Azure, Cloudflare): gehen nicht.

1. Teil: Ausführlicher Hintergrund zum Urteil

Datenschutz in Drittländern

Die Datenschutz-Grundverordnung (DSGVO) legt ein hohes Datenschutzniveau in ihrem Anwendungsbereich fest. Dieses Schutzniveau soll nicht durch Datenübermittlungen in sog. Drittländer gefährdet werden, also in Länder außerhalb von EU und EWR. Denn für diese Länder außerhalb des Geltungsbereichs der DSGVO lässt sich pauschal kein angemessenes Datenschutzniveau sicherstellen. Eine Übermittlung personenbezogener Daten ist daher gemäß Art. 44 DSGVO nur unter den Bedingungen der Art. 45 ff. DSGVO zulässig.

Das Schutzniveau bei Drittlandübermittlungen kann dabei insbesondere wie folgt gewährleistet werden:

  • Angemessenheitsbeschlüsse der EU-Kommission, Art. 45 DSGVO: Hierbei handelt es sich um Beschlüsse der EU-Kommission, wonach das Datenschutzniveau des Drittlandes gem. den in Art. 45 Abs. 2 DSGVO aufgeführten Kriterien sorgfältig geprüft und für angemessen befunden wurde. Das ist etwa bei Israel, Japan, Australien und Kanada der Fall. Die vollständige Liste der Drittländer finden Sie hier. Für die USA besteht kein solcher Angemessenheitsbeschluss.

Die EU-Kommission kann auch freiwillige Selbstverpflichtungen von Unternehmen aus Drittländern durch einen solchen Angemessenheitsbeschluss zulassen, wenn dadurch ein vergleichbares Datenschutzniveau gewährleistet wird. Ein solches Abkommen war der EU-US-Datenschutzschild (Durchführungsbeschluss (EU) 2016/1250). Bei dem jetzt durch den EuGH für unwirksam erklärten Abkommen handelte es sich um den Nachfolger des ebenfalls durch den EuGH für unwirksam erklärten „Safe Harbor“ Abkommen (vgl. Urteil vom 6.10.2015, Aktenzeichen C-362/14). Auf Grundlage der Zertifizierung unter dem EU-US-Datenschutzschild wurden zahlreiche Datenübermittlungen in die USA legitimiert.

  • Daneben kann die Drittlandübermittlung auf „geeignete Garantien“ (Art. 46 DSGVO) gestützt werden. Solche Garantien können sich v.a. aus „Binding Corporate Rules“ (Art. 47 DSGVO) und Standarddatenschutzklauseln (Art. 46 Abs. 2 Buchst. c oder d DSGVO) ergeben. Binding Corporate Rules (BCR), also verbindlichen unternehmensinternen Vorschriften, die das Datenschutzniveau sicherstellen sollen, sind in der Praxis nicht weit verbreitet, da hier ein hoher Aufwand mit Blick auf die Implementierungs- und Genehmigungsprozesse besteht. Auch BCR kommen nach dem Urteil des EuGH für Übermittlungen in die USA nicht mehr in Betracht (dazu unten).

Standardvertragsklauseln (Standard Contractual Clauses, kurz auch SCC, gelegentlich auch Model Clauses oder kurz MC genannt), in der DSGVO nunmehr „Standarddatenschutzklauseln“ genannt, sind Vertragsmuster, die von der EU-Kommission erlassen wurden. Sie sind ein weit verbreitetes Instrument, um das Datenschutzniveau auf vertraglichem Wege sicherzustellen und kommen in vielen Fällen von Datenübermittlungen weltweit zum Einsatz. Für die USA wurden diese wegen der bereits seit langem diskutierten Unsicherheiten bei der Zertifizierung nach dem Privacy Shield häufig zusätzlich abgeschlossen, aber auch von nicht zertifizierten Unternehmen genutzt.

Verfahrensgang in der Kurzfassung

Anlass des Urteils war erneut eine Beschwerde des Datenschutzaktivisten Max Schrems bei der irischen Datenschutzbehörde (Data Protection Commissioner, kurz DPC). Hierbei ging es um die Praktiken der Facebook Ireland Ltd., die Daten auch an den Mutterkonzern in den USA übermittelt hat, also an die Facebook Inc. Thematisiert wurde unter anderem die Frage, ob die Facebook Inc. aufgrund der in den USA geltenden Überwachungsgesetze dazu verpflichtet werden kann, US-Behörden Zugang zu den aus EU EWR übermittelten personenbezogenen Daten zu gewähren. Letztlich legte der irische High Court das Verfahren dem EuGH im Vorabentscheidungsverfahren vor, um die Vereinbarkeit des EU-US Datenschutzschildes und der Standardvertragsklauseln mit dem europäischen Recht verbindlich zu klären.

Die ausführliche Darstellung des EuGH-Urteils

Der EuGH befasst sich vor allem mit folgenden Fragestellungen der Vorlage:

  • Mit den Fragen 7 und 11 (Rn. 122 ff.) sollte die Gültigkeit des Beschlusses der EU-Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern (Beschluss 2010/87/EU der EU-Kommission vom 5. Februar 2010) geklärt werden (insb. mit Blick auf die EU-Grundrechte „Achtung des Privat- und Familienlebens“, „Schutz personenbezogener Daten“ und „Recht auf einen wirksamen Rechtsbehelf und ein unparteiisches Gericht“, Artt. 7, 8 und 47 EU-Grundrechtecharta). Dies vor allem weil die Standarddatenschutzklauseln nur den Vertragspartner, nicht aber drittstaatliche Behörden verpflichten, ein angemessenes Schutzniveau zu gewährleisten.
  • Der High Court wollte durch die Fragen 2, 3 und 6 (Rn. 90 ff.) klären lassen, welches Schutzniveau vorausgesetzt wird, wenn personenbezogene Daten auf der Grundlage von Standarddatenschutzklauseln in ein Drittland übermittelt werden. Also einerseits welches Recht (EU-Grundrechtecharta oder nationales Recht) der Bezugspunkt ist. Andererseits welche rechtlichen und tatsächlichen Aspekte hinsichtlich der Gewährleistung dieses Schutzniveaus zu berücksichtigen sind.
  • Weiterhin wollte der High Court mit Frage 8 (Rn. 106 ff.) wissen, ob die zuständige Aufsichtsbehörde verpflichtet ist, gegen eine auf die Standarddatenschutzklauseln gestützte Übermittlung personenbezogener Daten in ein Drittland vorzugehen, wenn sie zu der Auffassung gelangen sollte, dass die Einhaltung der Klauseln in dem Drittland nicht gewährleistet werden kann.
  • Mit den Fragen 4, 5, 9 und 10 (Rn. 150 ff.) wollte der High Court die Gültigkeit des EU-US-Datenschutzschilds geklärt wissen.

Der EuGH entschied hierzu in seinem Urteil zusammengefasst Folgendes:

  • Zu Frage 7 und 11 (Gültigkeit der Standardvertragsklauseln): Der EuGH hat festgestellt, dass der Beschluss der Kommission zu den Standardvertragsklauseln gültig ist. Die Standardvertragsklauseln bleiben grundsätzlich anwendbar (Rn. 149). Denn die Standardvertragsklauseln können – wenn sie vollständig umgesetzt werden – grundsätzlich ein angemessenes Datenschutzniveau gewährleisten.
  • Zu den Fragen 2, 3 und 6 (Bestimmung des Schutzniveaus): Der EuGH stellt klar, dass die Rechte der von einer Drittlandübermittlung betroffenen Personen von einem Schutzniveau profitieren müssen, das dem der DSGVO im Lichte der EU-Grundrechtecharta gleichwertig ist. Die nationalen Aufsichtsbehörden dürfen sich also nicht nur an ihrem jeweiligen Recht orientieren.

Bei der Beurteilung, ob dieses Schutzniveau tatsächlich erreicht wird, sind einerseits die vertraglichen Regelungen zwischen Verantwortlichem und Empfänger im Drittland zu berücksichtigen, andererseits die in dem Drittland geltenden Regelungen hinsichtlich möglicher Zugriffsrechte von Behörden. Relevant sind damit auch Umstände, die von den Vertragsparteien nicht beeinflussbar sind. Im Ergebnis sind damit also die Vorgaben des Art. 45 Abs. 2 DSGVO, der das Rahmenprogramm der Prüfung von Angemessenheitsbeschlüssen festlegt, auch bei den Standardvertragsklauseln zu beachten.

  • Zu Frage 8 (Pflicht der Aufsichtsbehörden zum Einschreiten): Die zuständige Aufsichtsbehörden sind verpflichtet, Datenübermittlungen auf Grundlage von Standardvertragsklauseln auszusetzen oder zu verbieten, wenn sie unter Berücksichtigung aller Umstände zu der Auffassung gelangen, dass die Klauseln in dem Drittland nicht eingehalten werden (können) und der Schutz der personenbezogenen Daten sowie der Rechte der betroffenen Personen nicht durch andere Mittel gewährleistet werden kann. Dies gilt, wenn für das Drittland kein Angemessenheitsbeschluss vorliegt und wenn der Verantwortliche die Übermittlung nicht selbst aussetzt oder beendet …
  • … ein Umstand, den der EuGH zu Fragen 4, 5, 9 und 10 dann für die USA gleich feststellt: Denn der EuGH erklärt den Beschluss zum EU-US-Datenschutzschild der EU-Kommission für ungültig (Rn. 201), weil dort wegen der staatlichen Eingriffsbefugnisse ein angemessener Schutz trotz der mit dem Privacy Shield versprochenen Garantien gerade nicht gewährleistet ist. Datenübermittlungen in die USA sind auf dieser Grundlage nicht mehr zu rechtfertigen.

2. Teil: Die Bedeutung des Urteils

Datenübermittlungen in die USA

Das Urteil des EuGH bedeutet nicht weniger, als dass die bislang wichtigste Grundlage für die Übermittlung von personenbezogenen Daten an Empfänger in den USA unwirksam ist. Datenübermittlungen an US-Unternehmen können ab sofort nicht mehr auf den EU-US-Datenschutzschild gestützt werden.

Die Entscheidung stellt zudem – worin die weitere Sprengkraft des Urteils liegt – auch alle sonstigen Möglichkeiten der Drittlandübertragung in die USA in Zweifel: Denn die Anforderungen, die der EuGH (s. oben zu den Fragen 2, 3 und 6) an eine Drittlandübermittlung unter Verwendung der Standardvertragsklauseln stellt, sind in der Praxis nicht einzuhalten. Hierfür müssten die empfangenden Unternehmen (Datenimporteur) dem Verantwortlichen in EU/EWR (Datenexporteur) zusichern, die Daten nicht an US-Behörden weiterzuleiten – wozu sie aber gesetzlich in den USA durch verschiedene Gesetze verpflichtet sind.

Hierbei handelt es sich nicht nur um eine akademische Frage. Der EuGH schreibt den Aufsichtsbehörden die Pflicht in ihr Aufgabenheft, Datenübermittlungen zu verbieten, wenn Sie zu der Auffassung kommen, dass die Standardvertragsklauseln de facto nicht eingehalten werden können. Da der EuGH für die USA bereits seine Rechtsauffassung hierzu mitgeteilt hat, können die Aufsichtsbehörden hier auch nicht untätig bleiben.

Zu den Binding Corporate Rules trifft der EuGH keine Aussage, da dies nicht Frage des Verfahrens war. Auch hier gilt jedoch, was mit Blick auf die Datenübermittlung auf Basis der Standarddatenschutzklauseln festgelegt wurde: Solange behördliche Zugriffe eine Gefährdung der Daten mit sich bringen, kann kein entsprechendes Datenschutzniveau sichergestellt werden. Wenn nicht vertraglich, dann erst recht nicht durch eine Selbstverpflichtung der sich den Binding Corporate Rules unterwerfenden Unternehmen.

Damit bleiben für Datenübermittlungen in die USA nur noch die Ausnahmen des Art. 49 DSGVO, insb. also die Einwilligung der betroffenen Person oder die Erforderlichkeit der Übermittlung zur Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen bzw. zur Durchführung vorvertraglicher Maßnahmen auf Anfrage der betroffenen Person. Das sind Ausnahmen für konkrete Verarbeitungstätigkeiten, die etwa bei zentralisierten Datenverarbeitungen im Konzern oder der Nutzung globaler Cloud-Services in der eigenen IT-Infrastruktur nicht greifen.

Datenübermittlungen in andere Drittländer

Auch für Datenübermittlungen in andere Drittländer sind die Vorgaben des EuGH umzusetzen. Hierdurch entsteht ein erheblicher zusätzlicher Prüfungsaufwand. So ist zum Beispiel an die Praxis zu denken, dass Support-Dienstleistungen regelmäßig in asiatische Länder auszulagern, etwa nach Indien oder Vietnam, dies unter Verwendung von Standardvertragsklauseln. Anlässlich des endgültigen Ausscheiden des Vereinigten Königreichs aus der EU zum 31.12.2020 nach dem Brexit droht zudem die Gefahr, dass bei einem „harten Brexit“ ab dem 1.1.2021 das Vereinigte Königreich wie jedes andere Drittland zu behandeln ist. Die gemeinsame Überwachungspraxis mit den USA als Teil der sog. „Five Eyes“ dürfte daher Großbritannien und die USA in eine Linie stellen

3. Teil: Praktische Folgen – Was müssen Sie tun?

Welche Verarbeitungen sind betroffen?

Das Urteil des EuGH sorgt branchenübergreifend bei allen Unternehmen und Organisationen für Aufruhr:

Wegen der Vernetzung im internationalen Datenverkehr sind kaum Verarbeitungsvorgänge denkbar, bei denen es aktuell nicht auch zu Übermittlungen personenbezogener Daten in die USA oder anderer Drittländer ohne Angemessenheitsbeschluss kommt. Es muss nicht einmal der direkte Datenimporteur dort sitzen – es genügt, wenn in der Leistungskette die Daten an einem Punkt etwa in die USA oder durch die USA „durchgereicht“ werden. Exemplarisch können die folgenden Punkte genannt werden, die zeigen, wo Handlungsbedarf und die Gefahr rechtswidriger Datenverarbeitung bestehen:

  • Websites (z.B. Unternehmens-Websites, Online-Shops und Nachrichtenportale): Das Hosting, aber auch zahlreiche zusätzliche Tools, Dienste und Funktionen (z.B. Google Analytics, Facebook Custom Audiences, HubSpot) werden von US-Unternehmen angeboten, die sich trotz etwaiger Tochtergesellschaften in der EU auch Datenübermittlungen an die Muttergesellschaften in die USA vorbehalten. Hier werden die bereits bestehenden datenschutzrechtlichen Fallstricke (z.B. mit Blick auf den Einsatz von Cookies und die gemeinsame Verantwortlichkeit, dazu der ausführliche Beitrag auf unserer Website) durch eine weitere, ohne Änderung der Datenströme bei diesen Unternehmen (oder der Befugnisse der US-Sicherheitsbehörden…) kaum einzufangende, Problematik ergänzt.
  • Social Media (z.B. Facebook Fanpage, Instagram, Twitter): Der Betrieb von Social Media Seiten ist von dem Urteil betroffen, da nach einer früheren Entscheidung des EuGH eine gemeinsame Verantwortlichkeit zwischen Fanpage-Betreiber und Betreiber des sozialen Netzwerks besteht (siehe ausführlich den Beitrag auf unserer Website). Die Betreiber der Netzwerke behalten sich i.d.R. entsprechende Datenübermittlungen an die Muttergesellschaften in den USA vor, die sich jetzt datenschutzrechtlich nicht mehr abbilden lassen. Gleichwohl hat der EuGH es sich nicht nehmen lassen, das Urteil über den eigenen Twitter-Account zu verbreiten (was nach dem Grundsatz „keine Gleichheit im Unrecht“ aber keinen Schutz vor Aufsichtsbehörden bietet – leider).
  • Cloud-Computing und allgemein Cloud-Dienste: Auch bei Cloud Services wie Amazon Web Services (AWS) und Microsoft Azure behalten sich die Dienstanbieter Datenübermittlungen in Drittländer vor, insbesondere in die USA.
  • Analysedienste und Tools für Websites: Google übermittelt etwa bei der Nutzung von Google Analytics die erhobenen personenbezogenen Daten auch an Konzerngesellschaften in Drittländer, etwa in den USA. Dies gilt ebenso für andere Analysedienste und Tools für Websites, etwa Vimeo. Perfide wird es, wenn das Tool selbst zwar personenbezogene Daten nur in EU/EWR verarbeitet, aber Huckepack ein weiteres Analysetool wie Google Analytics mitbringt. Auch diese Fälle sind betroffen.
  • Microsoft 365 / Office 365: Microsoft behält sich eine Datenübermittlung in die USA vor und nimmt deshalb in den Online Services Terms (OST) nebst zugehörigem Datenschutzvertrag zwingend die Standarddatenschutzklauseln auf. Damit stellt sich die Frage, ob und wie die zugehörigen Produkte mit Blick auf das EuGH-Urteil noch datenschutzkonform genutzt werden können. (Spoiler: Ohne erhebliche Veränderungen in der Datenverarbeitung durch Microsoft gar nicht.)
  • Video-Dienste, etwa Zoom oder Microsoft Teams, die in der Corona-Krise massiv an Bedeutung gewonnen haben und vielfach aus dem beruflichen Alltag nicht mehr wegzudenken sind, sind ebenfalls betroffen.

Sind sie selbst Auftragsverarbeiter oder nutzen Auftragsverarbeiter, gelten die obigen Anmerkungen gleichermaßen. Der Auftragsverarbeiter haftet für Verstöße seiner weiteren Auftragsverarbeiter („Unterauftragnehmer“) wie für eigenes Verschulden. Gibt es in der Leistungskette (weitere) Auftragsverarbeiter, die sich eine Datenübermittlung etwa in die USA vorbehalten (z.B. mit der Nutzung von AWS), geht die Haftungskette hoch bis zum Verantwortlichen.

Checkliste zum weiteren Vorgehen

Ihre Aufgabe ist es, die möglichen Risiken nach dem EuGH-Urteil aus Drittlandübermittlungen zu identifizieren, zu bewerten und hiernach die erforderlichen Maßnahmen zu ergreifen:

  1. Schritt: Verschaffen Sie sich einen Überblick, bei welchen Verarbeitungstätigkeiten es zu Datenübermittlungen in ein Drittland kommt, insbesondere in die USA. Die Antwort hierauf sollte sich aus dem Verzeichnis von Verarbeitungstätigkeiten (VVT) ergeben.
  2. Schritt: Prüfen Sie für jede Verarbeitung und jedes Drittland, auf welcher Grundlage die Datenübermittlungen dorthin erfolgen. Handelt es sich hierbei nicht um einen Angemessenheitsbeschluss der EU-Kommission, sondern um Standardvertragsklauseln oder Binding Corporate Rules, müssen Sie bewerten, ob es im Drittland – zusammen mit den Standardvertragsklauseln oder BCR – ein angemessenes Datenschutzniveau gibt oder dem insbesondere staatliche Zugriffsbefugnisse auf die personenbezogenen Daten entgegenstehen. Fragen Sie beim Datenempfänger im Drittland nach, ob dieser sich in der Lage sieht den Vertragsklauseln zu entsprechen und vollständig datenschutzkonform zu handeln. Ziehen Sie ggf. ergänzend zukünftige Empfehlungen des Europäischen Datenschutzausschusses oder der EU-Kommission heran.
  3. Schritt: Liegt eine Datenübermittlung in die USA vor oder kommen Sie sonst zu dem Ergebnis, dass die Standarddatenschutzklauseln beim Datenempfänger im Drittland nicht vollständig durchsetzbar sind, ist die Datenübermittlung in die USA oder das andere Drittland mit hoher Wahrscheinlichkeit unzulässig.

Sollte die Datenübermittlung leicht unterbunden werden können (z.B. durch Deaktivierung von Tools auf der eigenen Website, die personenbezogene Daten auch in die USA übermitteln) sollte dies kurzfristig umgesetzt werden. Greifen die erforderlichen Änderungen demgegenüber in Kernprozesse ein oder sind nur mit erheblichem Aufwand umsetzbar sollte eine Prüfung erfolgen, ob und ggf. wie und mit welchem Zeitaufwand Alternativen genutzt werden können, bei denen es nicht zu den Drittlandübermittlungen kommt.

Gibt es keine Alternativen oder ist der Aufwand für den Wechsel wirtschaftlich oder tatsächlich unzumutbar, muss insoweit der datenschutzrechtswidrige Zustand akzeptiert und regelmäßig erneut geprüft werden, ob eine Änderung möglich ist (vgl. dazu auch den Hinweis des LfDI Baden-Württemberg in seiner Orientierungshilfe vom 24.8.2020, S. 9 f.). Der Sachverhalt und dessen Bewertung sollten vollständig dokumentiert sein, ebenso die getroffenen Maßnahmen, wo ein Verzicht auf Drittlandübermittlungen realisierbar war. Unmögliches kann die DSGVO nicht verlangen und auch nicht sanktionieren.

Ziel sollte es immer sein, möglichst geringe Reibungsverluste im betrieblichen Ablauf zu verursachen, damit nicht die Hektik von heute mehr Schaden verursacht als das (vielleicht anfallende) Bußgeld von morgen.

Gerne unterstützen wir Sie bei der Aufarbeitung dieser Fragestellungen und entwickeln gemeinsam mit Ihnen Lösungsoptionen für eine datenschutzkonforme Gestaltung der Verarbeitungsprozesse. Hierbei können wir auch auf unsere Erfahrung mit Anbietern zurückgreifen, die bereits vor diesem Urteil durch ihren Sitz ausschließlich in der EU und den Verzicht auf Datenübermittlungen in Drittländer diese Probleme vermieden haben.

Wer sind KREMER RECHTSANWÄLTE und Ihre Ansprechpartner dort?

KREMER RECHTSANWÄLTE ist eine auf Digitalisierungsberatung spezialisierte Sozietät und berät ihre Mandanten und Auftraggeber hochspezialisiert an der Schnittstelle zwischen Technik und Recht. Zu unseren Mandanten und Auftraggebern gehören DAX-Konzerne, KMU, Kreditinstitute und Finanzdienstleister jeglicher Größe, kirchliche Einrichtungen und Startups. Die Sozietät hat in verschiedenen Branchen- und Dachverbänden an der Umsetzung der DSGVO durch die jeweiligen Mitglieder mitgewirkt und selbst mehrere Großprojekte zur Umsetzung der DSGVO erfolgreich geführt oder begleitet.

Die Rechtsanwältinnen, Rechtsanwälte, Wirtschaftsjuristinnen und Wirtschaftsjuristen veröffentlichen regelmäßig Fachbeiträge, Muster und Bücher zum Datenschutz und sind in der Aus- und Weiterbildung von Datenschutzbeauftragten, Personalverantwortlichen, Unternehmensleitungen, Juristinnen und Juristen sowie Referendar/inn/en und Studierenden tätig. KREMER RECHTSANWÄLTE ist von der WirtschaftsWoche 2019 als TOP Kanzlei im Datenschutzrecht ausgezeichnet worden. Außerdem wird die Sozietät im kanzleimonitor.de 2018/2019 als von Unternehmensjuristinnen und -juristen empfohlene Kanzlei im IT- und Datenschutzrecht geführt.

Wenn Sie von uns im Datenschutz bereits beraten werden wenden Sie sich bitte an die/den Sie betreuende Rechtsanwältin/Rechtsanwalt. Nehmen Sie anderenfalls jederzeit gerne Kontakt zu einer/einem der folgenden Ansprechpartner/innen auf:

Sascha Kremer, Fachanwalt für IT-Recht, externer Datenschutzbeauftragter (TÜV),
sascha.kremer@kremer-recht.de

Daniela Köhnlechner, Rechtsanwältin, Datenschutzbeauftragte (TÜV),
daniela.koehnlechner@kremer-recht.de

Kristof Kamm, Rechtsanwalt, Datenschutzbeauftragter (TÜV),
kristof.kamm@kremer-recht.de

Nadine Schneider, Rechtsanwältin, Datenschutzbeauftragte (TÜV),
nadine.schneider@kremer-recht.de

Michael Matejek, LL.M., Wirtschaftsjurist,
michael.matejek@kremer-recht.de

Alle Ansprechpartner/innen erreichen Sie telefonisch unter 0221/27141874 und persönlich in der Brückenstraße 21, 50667 Köln.

Von Sascha Kremer

Rechtsanwalt, Datenschutzbeauftragter, Unternehmer, Vater.