Datentransfer DSGVO konform: Stolpersteine und Lösungsansätze

30.11.2021

Häufiger als vermutet, übermitteln Unternehmen personenbezogene Daten an externe Partner. Bei solchen Datentransfers sind die strengen und zahlreichen Bestimmungen der DSGVO einzuhalten. Insbesondere wenn eine Übermittlung in Drittstaaten erfolgen soll, ist Vorsicht angebracht. Andernfalls droht ein Datenschutzverstoß, der ein stattliches Bußgeld zur Folge haben kann.

Die häufigsten Stolpersteine bei Datentransfers

Datentransfers können in unterschiedlichsten Bereichen und Zusammenhängen stattfinden. Der nachfolgende Auszug an Stolpersteinen soll verdeutlichen, wie vielseitig und komplex die Thematik ist.

  • Einsatz von Software und Cloud-Diensten
    Zahlreichen Entscheidern ist nicht bewusst, wie viele Anwendungen und Dienste personenbezogene Daten sowohl offensichtlich als auch im Hintergrund an Dienstleister (z.B. Rechenzentren) übermitteln.
  • Datenübermittlung innerhalb von Konzernstrukturen
    Die Weiterleitung von personenbezogenen Daten (z.B. Personaldaten) innerhalb eines Konzerns kann zwischen rechtlichen eigenständigen Unternehmen erfolgen, ohne dass sich die Zuständigen darüber im Klaren sind.
  • Verarbeitung personenbezogener Daten in Drittländern
    Für die Übermittlung von Daten mit Personenbezug in sogenannte Drittländer steht weiterhin keine Pauschallösung, die 100-prozentige Sicherheit verspricht, bereit. Je nach Zielland können unterschiedliche Lösungsansätze notwendig sein. Dies betrifft insbesondere die Schaffung zusätzlicher Garantien ergänzend zu Standardvertragsklauseln.

Die größten Risiken bei Datenübermittlungen auf einen Blick

Verantwortliche, die dem Transfer personenbezogener Daten keine vollständige Aufmerksamkeit schenken, gehen beachtliche Risiken ein.

  • Unzureichende Dokumentation
    Sofern den Verantwortlichen nicht bewusst ist, dass Datentransfers stattfinden (z.B. an externe Rechenzentren oder Tochtergesellschaften) besteht das Risiko einer unzureichenden Dokumentation. Es droht ein lückenhaftes und damit unvollständiges Verzeichnis von Verarbeitungstätigkeiten.
  • Mangel an Ressourcen
    Es werden unzureichende Kriterien bei Auswahl von Dienstleistern herangezogen oder es fehlen Kontrollprozesse, um eingebundene Dienstleister im Auge zu behalten.
  • Verhängung eines Bußgeldes
    Wie einleitend angedeutet, können unzulässige Verarbeitungen sowie andere Datenschutzverstöße, die mit der Datenübermittlung in Verbindung stehen, durch die zuständige Aufsichtsbehörde mit einem Bußgeld geahndet werden.

Rechtsvorschriften

Datentransfers sind eine vielseitige Angelegenheit, wie die zahlreichen Vorschriften der DSGVO belegen:

Art. 26 Gemeinsame Verantwortlichkeit
Art. 28 AV-Vereinbarung
Art. 32 Technische & organisatorische Maßnahmen
Art. 35 Datenschutzfolgeabschätzung
Art .44 Allgemeine Grundsätze der Datenübermittlung

Lösungsansätze für DSGVO konforme Datentransfers

Wie ein Datentransfer zu lösen ist, hängt vom jeweiligen Einzelfall ab. Nachfolgend benennen wir mehrere Lösungsansätze, die zu einer rechtssicheren Umsetzung beitragen können.

  • Identifikation eingebundener Dienstleister mit Sitz in Drittländern
  • Identifikation der betroffenen Verarbeitungstätigkeiten & Datenströme
  • Datenschutzfolgeabschätzung
  • Abschluss von EU-Standardvertragsklauseln bei offenen Vertragsverhältnissen

Mehr Sicherheit bei Datentransfers mit unserer Unterstützung

Sie übermitteln Daten mit Personenbezug und wünschen sich mehr Sicherheit? Unsere Berater verfügen über langjährige Erfahrung im betrieblichen Datenschutz. Gerne leisten wir Unterstützung bei der Einschätzung und Abwägung von risikobehafteten Verarbeiten, ebenso bei der Dokumentation. Profitieren auch Sie von unserem Know-how aus der Datenschutzberatung. Nutzen Sie unsere kostenlose Erstberatung.