Deutlich früher als erwartet, hat die EU-Kommission am 10. Juli 2023 den Angemessenheitsbeschluss für die USA, das sogenannte EU-U.S. Data Privacy Framework (DPF), erlassen. Es ist damit nach dem Safe Harbor Beschluss und dem EU-U.S. Privacy Shield – die durch die EuGH-Urteile „Schrems I“ (Rs. C-362/14 – Volltext) und „Schrems II“ (Rs. C-311/18, Volltext) gekippt wurden – der dritte Anlauf zur Absicherung von Datentransfers in die USA. Der Angemessenheitsbeschluss erleichtert in bestimmten Fällen die Übermittlung von Daten an Dienstleister, Konzerngesellschaften und sonstige Empfänger in den USA und stellt diese (vorerst) auf ein sicheres Fundament.
Aktuell sortiert sich die „Datenschutzwelt“ noch, um die Auswirkungen und Detailfragen zu dem Angemessenheitsbeschluss einzuordnen. In den folgenden Ausführungen finden Sie vorab die wichtigsten Eckpunkte und ein FAQ (inklusive Checkliste), welches wir bei Bedarf ergänzen werden.
Achtung: Beachten Sie bitte, dass der Beschluss nur für die USA gilt und ausschließlich für zertifizierte Empfänger. Je nach Zertifizierungsgegenstand kann die Absicherung auch auf bestimmte Datenarten beschränkt sein. In der Regel umfassen Leistungsketten zahlreiche (Unter-)Auftragnehmer in unterschiedlichen Ländern, so dass die Prüf- und Dokumentationsanforderungen sowie Aufwände mit Blick auf den Abschluss von Standarddatenschutzklauseln und die Durchführung von Transfer Impact Assessments häufig durch den Angemessenheitsbeschluss nicht erheblich sinken werden.
Wichtige Links:
- EU-U.S. Data Privacy Framework (DPF) (Angemessenheitsbeschluss der EU-Kommission)
- FAQ der EU-Kommission zum DPF
- Factsheet der EU-Kommission zum DPF
- Website der International Trade Administration des US-Handelsministeriums zum DPF
- FAQ der ITA zum DPF (siehe Verlinkung unten auf der Seite)
- Liste der zertifizierten Unternehmen
- Stellungnahme von NOYB (Europäisches Zentrum für digitale Rechte) mit Kritikpunkten und der Ankündigung zum Vorgehen gegen den Angemessenheitsbeschluss
- Liste der Angemessenheitsbeschlüsse der EU-Kommission
Hintergrund: Alter Wein in neuen Schläuchen?
Mit dem Urteil vom 16. Juli 2020 (Rs. C-311/18, Volltext = Schrems II) hat der EuGH das EU-U.S. Privacy Shield wegen fundamentaler Datenschutzmängel in den USA für unwirksam erklärt (siehe dazu unseren Beitrag). Seitdem herrschte Unsicherheit mit Blick auf Datenübermittlungen in die USA und auch in andere Länder außerhalb des EWR („Drittländer“).
Die von der EU-Kommission nach dem Urteil veröffentlichten Standarddatenschutzklauseln („SDK“) konnten die Situation nur bedingt entspannen (siehe dazu unseren Beitrag). Zu groß war die Unsicherheit mit Blick auf die Prüf- und Absicherungsanforderungen (insbesondere im Rahmen der Transfer Impact Assessments, kurz „TIA“) hinsichtlich der vom EuGH monierten datenschutzrechtlichen Lücken in den USA. Weiter stellten die Prüfanforderungen viele Unternehmen vor erhebliche Ressourcenprobleme (siehe dazu aber unsere Legal Tech Lösung, die eine ressourcensparende Prüfung zulässt). Selbst Stellungnahmen des Europäischen Datenschutzausschusses und diverser nationaler Datenschutzbehörden konnten hier keine Ruhe und Klarheit in das Thema bringen (siehe dazu unter anderem unseren Beitrag).
Den Verhandlungen über das neue Abkommen zwischen der EU und den USA ging eine Executive Order von Präsident Biden am 7. Oktober voraus, die den US-Rechtsrahmen und die vom EuGH in den Schrems- Urteilen monierten Mängel verbessern sollte. Auf dieser Basis hat die EU-Kommission am 10. Juli 2023 den Angemessenheitsbeschluss für die USA angenommen. Dieser trat am selben Tag in Kraft, wobei die Zulässigkeit der Datenübermittlung konkret von der Zertifizierung der Empfänger abhängt (siehe dazu unten), so dass sich der Zeitpunkt für die Zulässigkeit der Übermittlung danach richtet.
Mit dem Data Protection Framework oder kurz DPF kehrt nun – vorerst – Ruhe und Rechtssicherheit in das Thema „Datenübermittlung in die USA“. Die NGO „NOYB – Europäisches Zentrum für digitale Rechte“ hat bereits angekündigt, gegen den neuen Angemessenheitsbeschluss vorzugehen. NOYB war von Max Schrems gegründet worden, der auch schon die beiden älteren Angemessenheitsbeschlüsse mit seinen Klagen zu Fall gebracht hat und nun den Hattrick mit Klagen gegen das DPF vervollständigen will. Es ist nur eine Frage der Zeit, vermutlich ein bis zwei Jahre, bis sich der EuGH mit dem Thema auseinandersetzen wird und wir das „Schrems III“-Urteil erhalten werden. Der Ausgang des Urteils („bleibt der Beschluss bestehen?“) ist diesmal aber mit Blick auf die Verbesserungen des Datenschutzniveaus in den USA offen(er) als bei den ersten beiden Anläufen.
Wirkung des DPF
Wie auch die Vorgänger folgt das DPF einem anderen Ansatz als die meisten Angemessenheitsbeschlüsse:
Während anderen Ländern insgesamt ein der DSGVO entsprechendes Datenschutzniveau attestiert wurde, erlaubt das DPF Datenübermittlungen nur an zertifizierte Empfänger in den USA (zur Zertifizierung siehe Frage 2 im FAQ unten). Unterschieden wird bei der Zertifizierung zwischen der Art der Daten bzw. den betroffenen Personen (Zertifizierung für Non-HR-Daten, oder Zertifizierung für alle Daten inklusive HR-Daten).
Das DPF funktioniert wie folgt:
Liegt eine Zertifizierung des Empfängers unter dem DPF für die in Frage stehenden Daten vor, können die Daten ohne zusätzliche Prüfung und Absicherung an den Empfänger in den USA übermittelt werden (insbesondere sind weder SDK noch TIA erforderlich). Geprüft werden muss daher lediglich die Zertifizierung, inklusive regelmäßiger Prüfungen des Zertifizierungsstatus.
Theoretisch bringt das DPF damit eine erhebliche Erleichterung mit sich. Ein Blick in die Praxis zeigt aber, dass es in vielen Fällen so einfach nicht ist. Mischkonstellationen sind denkbar, bei denen in der Leistungskette Dienstleister mit und ohne passende Zertifizierung in den USA sitzen oder gegebenenfalls in Ländern ohne Angemessenheitsbeschluss (siehe Frage 10 unserer FAQ). In solchen Fällen wird man nicht ohne vertragliche Absicherung über SDK und Durchführung eines TIA auskommen. Die für das DPF umgesetzten Verbesserungen (insbesondere durch die Executive Order des U.S. Präsidenten) wirken sich aber (jedenfalls bezogen auf die USA) positiv auf die noch erforderlichen TIA und die Sicherheit der Übermittlung auf Basis der SDK aus (siehe dazu im folgenden Punkt).
Als Praxisbeispiel kann die Subunternehmerliste bei dem Einsatz von Analyse- und Marketingdiensten von Google betrachtet werden: https://business.safety.google/adssubprocessors/, die die Komplexität von Leistungsketten besonders gut zeigt.
Kurzgesagt: Für Datenexporteure aus dem EWR bietet das DPF mehr Rechtssicherheit. So einfach, wie die Zusammenarbeit mit Dienstleistern z.B. aus der Schweiz oder Neuseeland ist, wird es aber leider aufgrund der Prüfanforderungen bei der Zertifizierung und die potenziell komplexen Konstellationen in der Leistungskette nicht.
Aufgrund der Pflicht der Kommission zur regelmäßigen Überprüfung des Datenschutzniveaus nach Art. 45 Abs. 3 S. 2 DGVO (insbesondere mit Blick auf mögliche Veränderungen der politischen Landkarte nach den nächsten Wahlen in den USA; die erste Überprüfung erfolgt in einem Jahr) und nicht zuletzt der Ankündigung von NOYB gegen das DPF vorzugehen bleibt die Frage: Wie lange hält der Angemessenheitsbeschluss diesmal?
Auswirkungen auf SDK und Binding Corporate Rules (BCR)?
Die EU-Kommission vertritt die Ansicht, dass die von den USA eingeführten Garantien (einschließlich der Rechtsbehelfsverfahren) das Datenschutzniveau in den USA insgesamt verbessert haben. Das wirkt sich positiv auf Datenübermittlungen auf Basis von SDK oder auf Basis von verbindlichen internen Datenschutzvorschriften („BCR“) aus (siehe Frage 7 im FAQ der EU-Kommission). TIA für Datenübermittlungen in die USA sollten daher zu einem positiven Ergebnis kommen. Die Rechtsunsicherheiten beim Datenschutzniveau und den erforderlichen technischen und organisatorischen Maßnahmen („TOM“) erledigen sich damit.
Unsere Empfehlungen und Unterstützungsmöglichkeiten
Auch in einfachen Konstellationen mit nur einem in den USA zertifizierten Empfänger empfehlen wir, die Datenübermittlungen auch weiterhin (zusätzlich) auf SDK zu stützen. Jedenfalls dann, wenn die Dienstleister dies mitgehen oder die eigene Verhandlungsposition ausreichend stark ist, um die zusätzlichen SDK als Anforderung für die Zusammenarbeit zu formulieren.
Warum?
- SDK können in der Regel unkompliziert abgeschlossen werden und auch die Durchführung des TIA wird erheblich vereinfacht, wenn man sich der Linie der EU-Kommission anschließt (siehe oben).
- Sollte der Angemessenheitsbeschluss doch zukünftig für unwirksam erklärt werden, wären die SDK als Sicherheitsnetz weiterhin vorhanden. Datenübermittlungen müssten also (je nach Inhalt eines künftigen EuGH-Urteils) nicht sofort eingestellt werden. Die Unsicherheitsphase, die nach dem Schrems II Urteil herrschte, gäbe es nicht noch einmal.
Hinweis: Bei komplexeren Konstellationen mit mehreren Empfängern und unterschiedlichem Zertifizierungsstatus oder Importeuren in unterschiedlichen Drittländern bleibt der Abschluss von SDK sowieso erforderlich, um Daten sicher übermitteln zu können (siehe Frage 10 in unseren FAQ unten).
Wie können wir Sie unterstützen?
Gerne helfen wir Ihnen bei der Aufarbeitung der relevanten Datenübermittlungen in Ihrer Organisation und clustern diese:
(1) Übermittlungen, die vollständig über das DPF laufen können und bei denen wir den Abschluss von SDK nur noch empfehlen, und
(2) Mischkonstellationen, die SDK und ggf. auch TIA oder andere Absicherungsmechanismen (siehe Frage 10 in unserem FAQ unten) zwingend erfordern.
Für die Prüfung von Drittlandübermittlungen und den Abschluss von SDK bieten wir auch eine Legal Tech Lösung an, die wir Ihnen gerne vorstellen und die Sie auch im Self-Service nutzen können, um die Datenübermittlungen zu bewerten.
Frequently Asked Questions (Stand: 11. August 2023)
1. (In a nutshell) Was sind Drittlandübermittlungen und welche Anforderungen gelten hierfür?
Die DSGVO setzt voraus, dass personenbezogenen Daten, die dem Anwendungsbereich der DSGVO unterfallen, nur in Länder außerhalb des EWR (Drittländer) übermittelt werden dürfen, wenn bei der Verarbeitung der Daten in den Drittländern ein der DSGVO grundsätzlich vergleichbares Datenschutzniveau herrscht. Die Grundannahme ist dabei zunächst, dass in Drittländern ein solches Schutzniveau nicht gegeben ist, so dass es einer Absicherung bedarf oder eine Ausnahme nach Art. 49 DSGVO vorliegen muss. Die Datenübermittlung ist danach nur zulässig, wenn einer der folgenden, in der Praxis auch relevanten Absicherungsmechanismen greift:
- Die EU-Kommission erlässt einen Angemessenheitsbeschluss gem. Art.45 Abs.1 DSGVO(z.B. Schweiz, Japan, Neuseeland oder die USA), wobei hier je nach Angemessenheitsbeschluss bestimmte Einschränkungen greifen können (vgl. das hier betrachtete DFP für die USA, siehe Frage 4);
- Vertragliche Absicherung über Standarddatenschutzklauseln der EU-Kommission (SDK) nach positivem Abschluss des von den SDK vorausgesetzten Transfer Impact Assessment (TIA);
- Übermittlung der Daten auf Basis von verbindlichen internen Datenschutzvorschriften sogenannte Binding Corporate Rules (BCR) und vorherige Prüfung des Datenschutzniveaus (TIA). Eine Übersicht der genehmigten BCR finden Sie hier; oder
- Zulässige Übermittlung ohne weitere Absicherung als Ausnahme gemäß Art. 49 Abs. 1 DSGVO (z.B. Erfüllung eines Vertrags mit der betroffenen Person, Einwilligung oder Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen)
2. Was ist das DPF und welche Wirkung hat es? Sind durch das DPF alle Datenübermittlungen in die USA ohne weitere Absicherung rechtmäßig?
Das DPF ist ein Angemessenheitsbeschluss im Sinne des Art. 45 Abs. 1 DSGVO (siehe Frage 1). Es ist jedoch zu beachten, dass das DPF ausschließlich Datenübermittlungen an zertifizierte Empfänger erlaubt (siehe Liste der Unternehmen). Es bedarf dann keiner anderen Absicherungsmechanismen wie z.B. der Standarddatenschutzklauseln (SDK) der EU-Kommission (siehe aber oben „Unsere Empfehlungen und Unterstützungsmöglichkeiten“). Zu beachten ist, dass das DPF auch bei einer Zertifizierung nicht uneingeschränkt alle Datenübermittlungen erlaubt (siehe Fragen 4 und 6).
3. Ist das DPF nur für Verantwortliche relevant oder auch für Auftragsverarbeiter aus dem EWR, die Unterauftragnehmer in den USA einsetzen?
Es können sich sowohl Verantwortliche als auch Auftragsverarbeiter auf den Angemessenheitsbeschluss stützen (vgl. Ziff. 1 (8) des Angemessenheitsbeschlusses).
4. Wie unterscheidet sich das DPA von anderen Angemessenheitsbeschlüssen?
Die meisten Angemessenheitsbeschlüsse kennen keine (z.B. Schweiz) oder nur wenige Einschränkungen (z.B. Kanada), sodass die Länder aus datenschutzrechtlicher Sicht insgesamt als sicher betrachtet werden (eine Übersicht aller Angemessenheitsbeschlüsse der EU-Kommission findet sich hier). In diesen Fällen ist also keine anderweitige Absicherung und Prüfung der Drittlandübermittlung erforderlich. Beim DPF greift (wie schon unter dem früheren Privacy Shield) ein abweichender Ansatz: Es handelt sich – untechnisch formuliert – um einen Angemessenheitsbeschluss, der sich ausschließlich auf bestimmte, in den USA zertifizierte Empfänger bezieht. Das DPF gestattet also die Übermittlung von (bestimmten) Daten (siehe Frage 6) an bestimmte Empfänger in den USA.
5. Was wurde durch das DPF im Vergleich zum EU-U.S. Privacy Shield verbessert? Besteht die Gefahr, dass der Angemessenheitsbeschluss wieder ungültig wird wie bereits das Privacy Shield?
Im Vorfeld des Angemessenheitsbeschlusses wurden in den USA umfassende Anpassungen mit Blick auf EU-Daten vorgenommen (siehe „Hintergrund: Alter Wein in neuen Schläuchen?“), so dass das Datenschutzniveau im Vergleich zur Situation, die dem Schrems II Urteil zu Grunde lag, erheblich verbessert wurde. Inwiefern dies aber langfristig reicht, ist aktuell kaum absehbar. Die Chancen stehen aber diesmal besser als bei den Schrems I und Schrems II-Urteilen. Hervorzuheben ist, dass die EU-Kommission die Anpassungen der datenschutzrechtlichen Situation in den USA sogar so positiv sieht, dass nach ihrer Einschätzung auch entsprechende positive Auswirkungen für Absicherung durch SDK und BCR gelten (siehe oben „Auswirkungen auf SDK und Binding Corporate Rules (BCR)?“)
6. Gibt es unter dem DPF mögliche Einschränkungen mit Blick auf die Daten, die an zertifizierte Empfänger übermittelt werden?
Ja, wie bei dem EU-U.S. Privacy Shield wird bei der Zertifizierung der Unternehmen unter dem DPF zwischen Personal-Daten (HR-Daten) und allen anderen personenbezogenen Daten unterschieden (siehe Screenshot unten aus der Suchmaske der DPF Liste). Wenn Sie Daten an einen Empfänger übermitteln, müssen Sie also vorab prüfen, ob der Empfänger für die in Frage stehenden Daten (HR- Daten und/oder alle anderen Daten) zertifiziert ist (siehe dazu Frage 9). Ist das nicht der Fall, kann die Übermittlung insoweit nicht auf das DPF gestützt werden, so dass ein anderer Transfermechanismus erforderlich ist (z.B. SDK, siehe oben Frage 1).
(Quelle: https://www.dataprivacyframework.gov/s/participant-search, Datum: 11.08.2023)
7. Was sind Human-Ressource-Daten (HR-Daten) im Sinne des DPF?
Der Angemessenheitsbeschluss definiert den Begriff der HR-Daten nicht, sondern setzt diesen als bekannt voraus. Aus Annex I, II. Supplemental Principles, Ziff. 9 (Human Ressource Data) des DPF (siehe auch FAQ der ITA zum DPF) folgt, dass Daten von aktuellen und ausgeschiedenen Beschäftigten erfasst sind. Gemeint sind danach Vorgänge, bei denen es zur Datenübermittlung (aus dem ERW) an Muttergesellschaften, Tochtergesellschaften oder nicht verbundene Dienstleister kommt:
„Where an organization in the EU transfers personal information about its employees (past or present) collected in the context of the employment relationship, to a parent, affiliate, or unaffiliated service provider in the United States participating in the EU-U.S. DPF, the transfer enjoys the benefits of the EU-U.S. DPF.“
Erfasst sind auch Fälle, in denen EU-/EWR-Verantwortliche Auftragsverarbeiter in den USA einsetzen, die Personaldaten verarbeiten sollen. US-Unternehmen, die sich für HR-Daten unter dem DPF zertifizieren lassen, müssen sich zur Kooperation mit den zuständigen EU-Behörden im Rahmen von Prüfungen und Anweisungen verpflichten:
„A U.S. organization participating in the EU-U.S. DPF that uses EU human resources data transferred from the EU in the context of the employment relationship and that wishes such transfers to be covered by the EU-U.S. DPF must therefore commit to cooperate in investigations by and to comply with the advice of competent EU authorities in such cases.“
8. Ab wann gilt der Angemessenheitsbeschluss (DPF)?
Der Angemessenheitsbeschluss wurde am 10. Juli 2023 von der EU-Kommission angenommen und trat am selben Tag in Kraft. Die Zulässigkeit der Datenübermittlung setzt jedoch die Selbstzertifizierung der jeweiligen Empfänger in den USA voraus. Die entsprechende Liste der zertifizierten Unternehmen ist seit dem 17. Juli 2023 hier abrufbar. Entsprechend können sich Stellen, die der DSGVO unterworfen sind und Daten aus dem EWR an Empfänger in den USA übermitteln, auf den Angemessenheitsbeschluss als Transfermechanismus stützen, sobald der in Frage stehende Empfänger (und etwaige weitere Empfänger in der Leistungskette, siehe Frage 10) entsprechend zertifiziert sind, sie also den Status „Active“ haben (siehe Screenshot unter Frage 6).
9. Wie funktioniert die Zertifizierung und wo kann ich prüfen, ob meine (zukünftigen) Vertragspartner zertifiziert sind?
Die Unternehmen durchlaufen ein Selbstzertifizierung nach den DPF-Vorgaben und reichen diese bei der International Trade Administration (ITA) ein, die als Teil des Handelsministeriums (Department of Commerce („DOC“)) die Zertifizierungsverfahren administriert. Das ITA prüft die eingereichten Anträge und nimmt die Unternehmen in die Liste der zertifizierten Unternehmen auf (Status „Active“) oder lehnt die Zertifizierung ab, wenn die Kriterien nicht erfüllt werden (Details zu dem Zertifizierungsverfahren finden Sie im FAQ der ITA zum DPF).
10. Gelten Zertifizierungen unter dem EU-U.S. Privacy Shield fort?
Ein klares „Jein“: Unternehmen, die unter dem Privacy Shield zertifiziert waren und sich nicht unter dem DPF zertifizieren möchten, müssen einen Rückzugsprozess durchlaufen. Wurde der Prozess nicht initiiert, wird die Zertifizierung zunächst auf das DPF übertragen. Die Organisationen erhalten jedoch eine dreimonatige Frist, um die neuen Anforderungen zu erfüllen (siehe Q3 im FAQ der ITA zum DPF). Nach unserer aktuellen Bewertung gelten die Unternehmen in dieser Übergangsphase als zertifiziert, sofern sie den Status „Active“ haben. Wir empfehlen also jetzt schon, entsprechende Wiedervorlagen einzustellen und den Zertifizierungsstatus in drei Monaten (plus Karenzzeit) erneut zu überprüfen.
11. Wie wirken sich Datenübermittlungen an andere Empfänger in der Leistungskette aus, wenn diese z.B. noch nicht zertifiziert sind oder sogar in anderen Drittländern sitzen?
Im einfachsten Fall besteht die gesamte Leistungskette nur aus dem Exporteur im EWR und einem Empfänger in den USA; der für alle relevanten Daten unter dem DPF zertifiziert ist. Betrachtet man nun aber komplexere Szenarien (die in der Praxis die Regel und nicht die Ausnahme sind) wird es kompliziert und man muss verschiedenen Konstellationen unterscheiden:
- Der zertifizierte Importeur in den USA setzt weitere Unterauftragnehmer in den USA ein, die alle über eine entsprechende Zertifizierung verfügen: Der Angemessenheitsbeschluss deckt die Datenübermittlung vollständig ab.
- Der zertifizierte Importeur in den USA setzt Unterauftragnehmer in den USA ein, die keine Zertifizierung aufweisen: Diese Konstellation ist wohl noch nicht in der Literatur und in den Hilfestellungen und FAQ zum DPF diskutiert worden. In diesen Fällen reicht das DPF als Absicherung nicht aus, so dass auf weitere Absicherungsmechanismen wie die SDK zurückgegriffen werden muss (siehe Frage 1). Wie dies vertraglich aufgesetzt wird (wer schließt welche SDK-Module mit wem?) und ob sich die zertifizierten Dienstleister in den USA hierauf einlassen, muss im Einzelfall geklärt werden.
- Der zertifizierte Importeur in den USA setzt weitere Unterauftragnehmer in anderen Drittländern ein: Sitzen die anderen Unterauftragnehmer nicht ausschließlich in Ländern mit passenden Angemessenheitsbeschlüssen, ist auch hier ein anderer Absicherungsmechanismus erforderlich (siehe Frage 1).
Bei der Prüfung der Absicherung und der Bewertung der Konstellationen sind auch die unterschiedlichen datenschutzrechtlichen Konstellationen zu berücksichtigen (Auftragsverarbeitung, Übermittlung zwischen gemeinsam Verantwortlichen oder Übermittlung zwischen zwei allein Verantwortlichen).
12. Sind die Standarddatenschutzklauseln durch den Beschluss (insgesamt) obsolet geworden?
Nein, die Standarddatenschutzklauseln sind weiterhin ein zentraler Absicherungsmechanismus für Drittlandübermittlungen. Dies gilt aus folgenden Gründen und für folgende Fälle:
- Absicherung von Datenübermittlungen an Empfänger in den USA, die nicht nach dem DPF zertifiziert sind bzw. deren Zertifizierung im konkreten Fall relevante HR-Daten nicht abdeckt. Dies gilt auch, wenn es in der Leistungskette entsprechende Lücken gibt (siehe Frage 11). Diese sollten dann durch SDK geschlossen werden, wenn keine andere Absicherung greift (siehe Frage 1).
- Absicherung von Datenübermittlungen an Empfänger in anderen Drittländern in der Leistungskette (siehe auch Frage 11).
- Zusätzlicher Absicherungsmechanismus als Ergänzung zum DPF, insbesondere für den Fall, dass das DPF gegebenenfalls in Zukunft angegriffen und für unwirksam befunden wird (siehe Frage 5 und „Unsere Empfehlungen und Unterstützungsmöglichkeiten“).
13. Was muss nun zusammengefasst beachtet werden, wenn Daten an Empfänger in den USA übermittelt werden sollen?
Folgende Checkliste soll Ihnen einen Überblick über Ihre ToDos geben:
Identifikation der relevanten Drittlandübermittlungen | |
Prüfung der Zertifizierung der relevanten Empfänger in den USA, gegebenenfalls auch für HR-Daten | |
Prüfung der Konstellationen in der Leistungskette und Identifikation etwaiger Lücken und Anpassungsbedarfe durch andere Absicherungen | |
Etwaiger Abschluss von SDK und Aktualisierung des TIA bzgl. der US-Übermittlungen (siehe „Auswirkungen auf SDK und Binding Corporate Rules (BCR)?“) | |
Aktualisierung der datenschutzrechtlichen Dokumentation (Updates der Angaben zu Drittlandübermittlungen z.B. in Datenschutzinformationen, Einwilligungen und im Verzeichnis von Verarbeitungstätigkeiten; gegebenenfalls Anpassung bestehender Datenschutz-Folgenabschätzungen) | |
Regelmäßige Prüfung der Zertifizierung der Dienstleister |
Wer sind Ihre Ansprechpartner?
Wenn Sie von uns im Datenschutz bereits beraten werden, wenden Sie sich bitte an die/den Sie betreuende/n Rechtsanwältin/Rechtsanwalt – zu unserem Team hier entlang. Nehmen Sie anderenfalls jederzeit gerne Kontakt zu einer/einem der folgenden Ansprechpartner/innen auf:
- Sascha Kremer, Fachanwalt für IT-Recht, externer Datenschutzbeauftragter (TÜV), sascha.kremer@kremer-recht.de
- Julia Christmann-Thoma, LL.M., Rechtsanwältin,
julia-christmann-thoma@kremer-recht.de - Kristof Kamm, Rechtsanwalt, Datenschutzbeauftragter (TÜV),
kristof.kamm@kremer-recht.de - Patrick Koetsier, LL.M., Rechtsanwalt,
patrick.koetsier@kremer-recht.de - Jana Lenzen, LL.M., Rechtsanwältin, Datenschutzbeauftragte (TÜV),
jana.lenzen@kremer-recht.de
- Michael Matejek, LLM., Wirtschaftsjurist,
michael.matejek@kremer-recht.de - Malte Mennemann, Rechtsanwalt,
malte.mennemann@kremer-recht.de - Dr. Judith Nink, Rechtsanwältin,
Judith.nink@kremer-recht.de - Nadine Schneider, Rechtsanwältin, Datenschutzbeauftragte (TÜV), nadine.schneider@kremer-recht.de
Alle Ansprechpartner/innen erreichen Sie unter 0221/27141874 und persönlich in der Brückenstraße 21, 50667 Köln (Innenstadt) oder in der Kölner Stra0e 78, 41812 Erkelenz.
Wer sind KREMER RECHTSANWÄLTE?
KREMER RECHTSANWÄLTE ist eine auf Digitalisierungsberatung spezialisierte Sozietät und berät ihre Mandanten und Auftraggeber hochspezialisiert an der Schnittstelle zwischen Technik und Recht. Zu unseren Mandanten und Auftraggebern gehören DAX-Konzerne, KMU, Kreditinstitute und Finanzdienstleister jeglicher Größe, kirchliche Einrichtungen und Startups. Die Sozietät berät regelmäßig in auch internationalen Großprojekten, begleitet IT-, Datenschutz- sowie HR-Projekte und erstellt passende Standardvertragswerke für ihre Mandanten.
Die Rechtsanwältinnen, Rechtsanwälte, Wirtschaftsjuristinnen und Wirtschaftsjuristen veröffentlichen regelmäßig Fachbeiträge, Muster und Bücher zum Datenschutz und sind in der Aus- und Weiterbildung von Datenschutzbeauftragten, Personalverantwortlichen, Unternehmensleitungen, Jurist:innen sowie Referendar:innen und Studierenden tätig. KREMER RECHTSANWÄLTE ist von der WirtschaftsWoche 2019, 2021 und 2023 als TOP Kanzlei im Datenschutzrecht ausgezeichnet worden, ebenso vom FOCUS 2021 als TOP Wirtschaftskanzlei Datenschutzrecht. Außerdem wird die Sozietät im kanzleimonitor.de 2018/2019 und 2020/2021 als von Unternehmensjuristinnen und -juristen empfohlene, führende Kanzlei im IT- und Datenschutzrecht geführt.