Häufiger als vermutet, übermitteln Unternehmen personenbezogene Daten an externe Partner. Bei solchen Datentransfers sind die strengen und zahlreichen Bestimmungen der DSGVO einzuhalten. Insbesondere wenn eine Übermittlung in Drittstaaten erfolgen soll, ist Vorsicht angebracht. Andernfalls droht ein Datenschutzverstoß, der ein stattliches Bußgeld zur Folge haben kann.
Die häufigsten Stolpersteine bei Datentransfers
Datentransfers können in unterschiedlichsten Bereichen und Zusammenhängen stattfinden. Der nachfolgende Auszug an Stolpersteinen soll verdeutlichen, wie vielseitig und komplex die Thematik ist.
- Einsatz von Software und Cloud-Diensten
Zahlreichen Entscheidern ist nicht bewusst, wie viele Anwendungen und Dienste personenbezogene Daten sowohl offensichtlich als auch im Hintergrund an Dienstleister (z.B. Rechenzentren) übermitteln. - Datenübermittlung innerhalb von Konzernstrukturen
Die Weiterleitung von personenbezogenen Daten (z.B. Personaldaten) innerhalb eines Konzerns kann zwischen rechtlich eigenständigen Unternehmen erfolgen, ohne dass sich die Zuständigen darüber im Klaren sind. - Verarbeitung personenbezogener Daten in Drittländern
Für die Übermittlung von Daten mit Personenbezug in sogenannte Drittländer (Länder außerhalb des EWR) gibt es keine Pauschallösung. Für einige Länder liegt z.B. ein Angemessenheitsbeschluss der Europäischen Komission vor. Für andere Zielländer kann es sich hingegen empfehlen, zusätzliche Garantien auf Basis von Corporate Binding Rules oder Standardvertragsklauseln zu schaffen.
Die größten Risiken bei Datenübermittlungen auf einen Blick
Verantwortliche, die dem Transfer personenbezogener Daten keine vollständige Aufmerksamkeit schenken, gehen beachtliche Risiken ein.
- Unzureichende Dokumentation
Sofern den Verantwortlichen nicht bewusst ist, dass Datentransfers stattfinden (z.B. an externe Rechenzentren oder Tochtergesellschaften) besteht das Risiko einer unzureichenden Dokumentation. Es droht ein lückenhaftes und damit unvollständiges Verzeichnis von Verarbeitungstätigkeiten. - Mangel an Ressourcen
Es werden unzureichende Kriterien bei Auswahl von Dienstleistern herangezogen oder es fehlen Kontrollprozesse, um eingebundene Dienstleister im Auge zu behalten. - Verhängung eines Bußgeldes
Wie einleitend angedeutet, können unzulässige Verarbeitungen sowie andere Datenschutzverstöße, die mit der Datenübermittlung in Verbindung stehen, durch die zuständige Aufsichtsbehörde mit einem Bußgeld geahndet werden.
Rechtsvorschriften
Datentransfers sind eine vielseitige Angelegenheit, wie die zahlreichen Vorschriften der DSGVO belegen:
Art. 26 Gemeinsame Verantwortlichkeit
Art. 28 AV-Vereinbarung
Art. 32 Technische & organisatorische Maßnahmen
Art. 35 Datenschutzfolgeabschätzung
Art .44 Allgemeine Grundsätze der Datenübermittlung
Lösungsansätze für DSGVO konforme Datentransfers
Wie ein Datentransfer zu lösen ist, hängt vom jeweiligen Einzelfall ab. Nachfolgend benennen wir mehrere Lösungsansätze, die zu einer rechtssicheren Umsetzung beitragen können.
- Identifikation eingebundener Dienstleister mit Sitz in Drittländern
- Identifikation der betroffenen Verarbeitungstätigkeiten & Datenströme
- Datenschutzfolgeabschätzung
- Abschluss von EU-Standardvertragsklauseln bei offenen Vertragsverhältnissen
Mehr Sicherheit bei Datentransfers mit unserer Unterstützung
Sie übermitteln Daten mit Personenbezug und wünschen sich mehr Sicherheit? Unsere Berater verfügen über langjährige Erfahrung im betrieblichen Datenschutz. Gerne leisten wir Unterstützung bei der Einschätzung und Abwägung von risikobehafteten Verarbeitungen, ebenso bei der Dokumentation. Profitieren auch Sie von unserem Know-how aus der Datenschutzberatung. Nutzen Sie unsere kostenlose Erstberatung.