Internationale Datentransfers - Dokumentieren statt abschaffen! Am Beispiel Mailchimp
Bereits am Datenschutz-Dienstag letzte Woche haben wir über die derzeit laufende bundesweite Überprüfung internationaler Datentransfers am Beispiel Microsoft 365 berichtet. Heute möchten wir nochmal darauf eingehen, dass das radikale Abschaffen aller internationalen Dienste weder praktikabel noch notwendig ist. In vielen Fällen kann die Zusammenarbeit mit dem bewährten Partner fortgeführt werden - wenn die Datenverarbeitungsprozesse rechtskonform gestaltet und vollständig dokumentiert sind.
 |
| Werbeversprechen: "Mit Mailchimp ist DSGVO‑Konformität einfach" - Laut BayLDA eher nein?! |
Vorsicht vor irreführender Werbung - nicht alles, was "DSGVO-konform" heißt ist auch tatsächlich rechtssicher!
Viele Anbieter von Software oder Clouddiensten werben auf ihren Websites mit Schlagworten wie "DSGVO-konform" oder "Datenschutz". Dabei werden zum Teil auch Dokumente für die Kunden zum Download bereitgestellt, mit denen man die Anforderungen an den Datenschutz angeblich schnell und einfach erfüllen können soll. Diese Dokumente enthalten oft u.a. die Standardvertragsklauseln der europäischen Kommission.
Standardvertragsklauseln allein sind nicht genug!
Die bayrische Datenschutzaufsicht BayLDA hat im März 2021 einem Unternehmen die Nutzung des Newsletter-Services Mailchimp mit sofortiger Wirkung untersagt. Nicht unbedingt, weil Mailchimp ein US-Unternehmen ist. Auch nicht, weil die Zusammenarbeit zwischen dem bayrischen Unternehmen und Mailchimp nicht auf den EU-Standardvertragsklauseln beruht hätte. Sondern weil das bayrische Unternehmen es versäumt hatte, zu überprüfen (und zu dokumentieren) ob die Standardvertragsklauseln ausreichen, um ein der EU vergleichbares Datenschutzniveau sicherzustellen.
Werbeversprechen: Rechtliche Anforderungen von Mailchimp genügen der EU-DSGVO nicht!
Was empfiehlt das yourIT Datenschutz-Team?
Wir gehen zunächst einmal davon aus, dass es aus unternehmerischer Sicht für Sie am besten ist, mit ihrem bisherigen Anbieter weiterhin zusammen zu arbeiten. Unser Ziel ist es deshalb, diese Zusammenarbeit rechtskonform zu gestalten. Die Empfehlung, den Anbieter zu wechseln, ist für uns das letzte Mittel wenn alle anderen Wege versperrt sind.
Die erste Frage: Warum dieser Anbieter?
Sie haben sich für diesen Anbieter entschieden - mit guten Gründen. Warum? Der erste Schritt der Dokumentation ist es, zu begründen, warum alternativ kein europäischer Anbieter in Frage kam.
Die zweite Frage: Wie läuft der Geschäftsprozess ab?
Wir dokumentieren sehr präzise, wie Ihr individueller Geschäftsprozess abläuft - sehr viel präziser, als in den meisten Verzeichnissen von Verarbeitungstätigkeiten (VvV) üblich.
Der dritte Schritt: Was stellt der Anbieter zur Verfügung?
Auftragsverarbeitungsverträge mit großen Software- oder Cloudanbietern werden in der Praxis nicht individuell verhandelt. Die Anbieter - in unserem Beispiel oben Mailchimp - stellen die Vertragsdokumente online zum Download zur Verfügung. Verhandlungen über Änderungen sind in aller Regel nicht möglich.
Der vierte Schritt: Sind die Maßnahmen des Anbieters ausreichend?
Jetzt kommen wir zu dem Punkt, den die Datenschutzaufsicht bei dem bayrischen Unternehmen bemängelt hatte: die Prüfung (und Dokumentation), ob die von Mailchimp angebotenen Maßnahmen zum Datenschutz für die konkrete Datenverarbeitung des Unternehmens ausreichend sind.
 |
| Nach Meinung des BayLDA unternimmt Mailchimp zu wenig, um die DSGVO einzuhalten |
Der fünfte Schritt: Und wenn nicht?
Stellt sich heraus, dass die angebotenen Maßnahmen nicht ausreichen, müssen Zusatzmaßnahmen getroffen werden, um ein dem Standard der EU-DSGVO entsprechendes Datenschutzniveau zu erreichen. Viele große US-Anbieter, u.a. Microsoft, haben bereits Zusatzmaßnahmen zu den Standardvertragsklauseln implementiert. Wir prüfen nun, ob diese für Ihre konkrete Verarbeitung ausreichen und empfehlen Ihnen bei Bedarf eigene, ergänzende Maßnahmen.
Der Abschluss: Eine vollständige Dokumentation
Sie haben nun den Datenverarbeitungsprozess vollständig dokumentiert:
- welche Daten für welchen Zweck verarbeitet werden;
- welches Risiko für die Betroffenen besteht;
- was getan wurde, um dieses Risiko zu minimieren;
- warum Sie der Überzeugung sind, dass diese Maßnahmen ausreichend sind, um ein der EU-DSGVO vergleichbares Datenschutzniveau zu erreichen.
Datenschutz aktuell - die kostenlose yourIT Webinar-Reihe
Näheres zur korrekten Überprüfung und Dokumentation internationaler Datentransfers erfahren Sie in unserer Webinar-Reihe Datenschutz aktuell. Die nächsten Termine am
01.07.2021 um 13:30-14:30 Uhr und 08.07.2021 um 11:00-12:00 Uhr
befassen sich mit den populären Microsoft365 Paketen.
Hier geht es zur Anmeldung
