Wir unterstützen und beraten Sie bei Datentransfers in die USA

Seit Wegfall des Privacy Shield Abkommens erhöhtes Bußgeldrisiko!

Zertifiziert
Wir sind ein Team von mehreren zertifizierten Datenschutzbeauftragten.

Interdisziplinäres Team
Wir verfügen sowohl über technische als auch über juristische Experten.

Erfahren
Wir verfügen über eine langjährige Beratungserfahrung (mehr als 20 Jahre).

National und international
Wir verfügen über Erfahrungen bei der Beratung von Unternehmen mit  internationalen Konzernstrukturen.

Wir beraten branchenübergreifend
z.B. Industrie, international tätiger Konzern, Gesundheitswesen,
Behörden, Versicherungsbereich, Bildungsbereich, Handel, Telekommunikation.

GDDcert.EU
FK Datenschutz_072021_ger_tc_p
gdd-mitglied-pos
2016_01_29_Logo_Mitglieder_lowres

Was zeichnet die Arbeit von bITs aus?

Nicht verhinderns sonder ermöglichen
Wir sehen uns nicht als Verhinderer, sondern als Ermöglicher:
Wir helfen unseren Mandanten, Verarbeitungen so umzusetzen, dass sie  datenschutzkonform sind und verlieren dabei nicht das   betriebswirtschaftliche Ziel aus den Augen.

Pragmatisch, kunden- und risikoorientiert
Wir erarbeiten gemeinsam mit unserem Kunden die bestmögliche Lösung - dabei haben wir sowohl das datenschutzrechtliche Risiko, also auch Aufwand und Kosten für den Kunden stets im Blick.

Branchen- und Fachübergreifend
Wir beraten branchenübergreifend und verfügen über ein Team mit technischem und juristischem Studium.

Kosten, Effizienz und Motivation im Einklang
Wir unterstützen unsere Kunden mit kostenlosen Standardvorlagen immer wenn dies sinnvoll ist.

Handlungsbedarf durch das EuGH-Urteil

Alle Übermittlungen in die USA auf Basis des Privacy Shield Abkommens sind unrechtmäßig.

Am 16.07.2020 entschied der Europäische Gerichtshof (EuGH) in einem ausführlichen Urteil unter anderem, dass das EU-U.S.-PrivacyShield-Abkommen ungültig ist.

Damit fehlen allen Verarbeitungen, in deren Rahmen personenbezogene Daten aus der EU in die USA übermittelt werden, die sogenannten notwendigen Garantien gemäß Art. 44 ff DSGVO. Das heißt kurz gesagt: Jegliche Übermittlung personenbezogener Daten in die USA auf Basis des PrivacyShield-Abkommens ist seit der Entscheidung rechtswidrig. Das Risiko für Unternehmen, die mit Dienstleistern in den USA zusammenarbeiten, Ärger mit den Aufsichtsbehörden für den Datenschutz zu bekommen, steigt.

Glücklicher Weise war das PrivacyShield-Abkommen nur eines mehrerer möglichen Mittel, um für ein angemessenes Datenschutzniveau in den USA zu sorgen. Genau genommen war es sogar ein Sonderweg, der extra für die Zusammenarbeit mit Unternehmen in den USA geschaffen wurde. Es handelte sich dabei um einen sogenannten Angemessenheitsbeschluss. Dieser war allerdings – anders als die Angemessenheitsbeschlüsse für andere Drittstaaten – an Bedingungen geknüpft, die vom Datenempfänger zu erfüllen waren.

Daher ist es auch weiterhin möglich, nach Wegfall des Abkommens auf andere Garantien umzuschwenken. Zur Auswahl stehen hier hauptsächlich die sogenannten EU-Standardvertragsklauseln (Standard contractual clauses, SCC) oder Bindende Unternehmensrichtlinien (Binding corporate rules, BCR). Darüber hinaus definiert die DSGVO einige Ausnahmen, in denen in bestimmten Fällen sogar von der Schaffung der Garantien beim Empfänger abgesehen werden kann.

Welcher Weg der richtige ist, muss für jedes Unternehmen und sogar für jeden Anwendungsfall individuell ermittelt und entschieden werden.

Wir unterstützen Sie bei der Analyse Ihrer individuellen Verarbeitungssituation und der Schaffung der notwendigen Garantien. Sofern es weitere Möglichkeiten gibt, unterstützen wir Sie auch bei der notwendigen Dokumentation der Situation, um Ihrer Rechenschaftspflicht gegenüber Aufsichtsbehörden für den Datenschutz und Ihrer Auskunftspflicht gegenüber betroffenen Personen nachkommen zu können. Und selbstverständlich kümmern wir uns auch um notwendige Anpassungen in Datenschutzhinweisen, Verträgen und sonstigen Dokumenten.

 

 

Unsere Empfehlung: Analysieren Sie, welche Datenübermittlungen in die USA in Ihrem Unternehmen stattfinden und minimieren Sie das Risiko.

 

Gerne ermitteln wir mit Ihnen gemeinsam, welche Datenübermittlungen personenbezogener Daten in die USA in Ihrem Unternehmen erfolgen und begleiten Sie bei den notwendigen Maßnahmen. Hierbei gehen wir folgendermaßen vor:

Welche Datenübermittlungen in die USA finden in Ihrem Unternehmen statt?
In einem ersten Schritt gilt es, herauszufinden, welche Übermittlungen in die USA stattfinden. Neben Dienstleistern mit Sitz in den USA sind auch Übermittlungen von Dienstleistern mit Sitz in EU/EWR an deren Konzernmutter oder weitere Dienstleister mit Sitz in den USA  zu berücksichtigen.

Wir suchen gemeinsam Alternativen
Häufig kann es eine Alternative sein, einen anderen gleichwertigen Dienstleister auszuwählen, der seinen Sitz in der EU/EWR oder einem sicheren Drittland hat. Dieser Schritt ist notwendig, wie beispielsweise die Aufsichtsbehörde in Baden-Württemberg ausführt. Sie hat für den Fall, dass diese Prüfung unterbleibt, bereits angekündigt, Verarbeitungen zu untersagen (siehe hier). Wir kennen bereits viele Anbieter und unterstützen Sie bei der Auswahl eines geeigneten Dienstleisters.

Welche alternativen Garantien kommen in Frage? Gibt es Ausnahmen?
Kommt kein alternativer Dienstleister in Betracht, ist zu prüfen, ob es alternative Möglichkeiten gibt, die für eine weitere Übermittlung an den US-Dienstleister genutzt werden können. Die DSGVO definiert hierzu weitere Garantien und einige Ausnahmen. Wir finden für Ihre Verarbeitungen eine geeignete Lösung – sei es die die Verwendung von angepassten Standardvertragsklauseln oder einen der Ausnahmetatbestände für Sonderfälle wie beispielsweise die Einwilligung.

Erstellung der Dokumente
Unabhängig davon, ob für die Verarbeitung am Ende die Standardvertragsklauseln, die Einwilligung oder eine andere Ausnahmeregelung aus Art. 49 DSGVO zur Anwendung kommt: Wir haben die passenden Muster vorbereitet und passen diese für Ihren konkreten Anwendungsbereich an.

Abstimmung mit den Vertragspartnern
Häufig sind Abstimmungen mit den Dienstleistern notwendig, da diese andere Vorstellungen zu möglichen Vorgehensweisen haben oder mit bestimmten Formulierungen nicht einverstanden sind. Auf Wunsch unterstützen wir Sie gerne bei der Abstimmung mit den Dienstleistern.

Oliver Baldner - ihr direkter Ansprechpartner im bITs Team

Baldner_Oliver

„Seit 2009 beraten wir unsere Mandanten im Großraum um Paderborn / OWL, Bielefeld, Kassel, dem Sauerland und dem östlichen Ruhrgebiet. Unsere zertifizierten Datenschutzbeauftragten betreuen Sie langfristig als Ihr externer Datenschutzbeauftragter oder beraten Sie temporär in Ihren Projekten. Wichtig ist uns bei allen Beratungen eine pragmatische Vorgehensweise. Gesetzliche Vorgaben des Datenschutzes müssen erfüllt und technische und organisatorische Maßnahmen müssen umgesetzt werden. Genauso wichtig ist es aber, den reibungslosen Ablauf Ihrer geschäftlichen Prozesse im Auge zu behalten und nicht zu gefährden.“

 

Dipl.-Wirt.-Ing Oliver Baldner
Zertifizierter Datenschutzbeauftragter (GDDcert.EU; GDD-Datenschutz-Akademie)
Zertifizierter Datenschutzbeauftragter (TÜV Nord Zertifizierung)

Wir beraten Sie gerne, rufen Sie uns einfach an.

bITs Datenschutz: 05251 / 688 948-0

Wir freuen uns auf Ihren Anruf.

Sie möchten lieber angerufen werden?

Bitte tragen Sie Ihre Telefonnummer und eine Uhrzeit zwischen 8:00 und 17:00 Uhr ein.
Wir werden Sie zum gewünschten Zeitpunkt anrufen.