Dienstag, 6. Juli 2021

Internationale Datentransfers - Das How-To

In den vergangenen Wochen haben wir uns am Datenschutz-Dienstag immer wieder mit internationalen Datentransfers befasst - was das ist, wer betroffen ist und was die betroffenen Unternehmen nun tun sollten. Erläutert an bekannten und weit verbreiteten Beispielen wie Microsoft365 und Mailchimp. Heute wollen wir etwas genereller an die Sache herangehen - in Form eines How-To's. Schritt für Schritt erklären wir Ihnen, wie Sie internationale Datentransfers im Unternehmen finden, analysieren und dokumentieren. Und was es auf dem Weg alles zu beachten und zu entscheiden gibt.

Internationale Datentransfers


How-To: Internationale Datentransfers finden und analysieren


1. Internationale Datentransfers in Unternehmen finden

Die erste Aufgabe ist es, alle internationalen Datentransfers im Unternehmen zu identifizieren und aufzulisten. Dabei sind nicht nur tatsächliche Übertragungen relevant, sondern auch theoretische Zugriffsmöglichkeiten eines Anbieters mit Sitz im nicht-EU-Ausland.  

2. Alternativen prüfen 

Für jeden gefundenen Dienst muss man sich nun die Frage stellen: ist dieser für die Geschäftsprozesse zwingend nötig? Für unnötige Datenverarbeitungen gibt es keine Rechtsgrundlage, sie sind immer rechtswidrig. Bei jedem anderen Dienst muss analysiert und dokumentiert begründet werden, ob es geeignete Alternativanbieter aus der EU gibt. Diese Analyse muss - nach der Orientierungshilfe des Landesbeauftragten für den Datenschutz und die Informationssicherheit in Baden-Württemberg - umfassend und anhand fachlicher oder technischer Gesichtspunkte erfolgen. Rein wirtschaftliche Vorteile sind kein Argument dafür, beim internationalen Anbieter zu bleiben.  

3. den Wechselaufwand abschätzen

Hat sich herausgestellt, dass es geeignete Alternativanbieter gibt, ist als nächstes der Aufwand für eine Wechsel abzuschätzen. 

4. das Transferrisiko und die Dokumentationskosten abschätzen

Die nächste Abschätzung befasst sich mit dem Transferrisiko. Wie sensibel sind die betroffenen Daten? Welche Auswirkungen hätte die Untersagung eines rechtswidrigen Transfers auf das Unternehmen? Mit welchem Bußgeld wäre zu rechnen? Und nicht zuletzt: was wären die Auswirkungen einer Beschwerde oder behördlichen Maßnahme im Bereich Publicity und Kundenbeziehung? Hierbei ist zu beachten, dass ein Transfer mit hohem Risiko für die Persönlichkeitsrechte der betroffenen Personen immer rechtswidrig ist, wenn es eine weniger risikoreiche Alternative gäbe.

Ebenfalls zum Bereich Transferrisiko gehören die Kosten der datenschutzrechtlichen Dokumentation des internationalen Transfers - Verträge, Risikobewertungen und individuelle Maßnahmen zur Risikoreduzierung können tausende Euro verschlingen.

5. Entscheidung: Wechseln oder bleiben

Sind die Risiken und möglichen Alternativen bekannt, kommt es zur Managemententscheidung: wechseln oder bleiben? Auf diese Frage gibt es keine generelle Antwort, jedes Unternehmen muss hier aufgrund der eigenen Werte und der eigenen Situation selbst abwägen. Wichtig ist aus Datenschutzsicht nur, dass auch die Entscheidung und die zugrundeliegenden Fakten und Analyseergebnisse umfassend dokumentiert wird.

6. Die Dokumentation

Steht der Weg fest, muss der (alte oder neue) Datentransfer im Datenschutzmanagement dokumentiert werden - im Verzeichnis von Verarbeitungstätigkeiten, als Auftragsverarbeitung und eventuell auch in der Datenschutzerklärung oder anderen Dokumenten, die sich an die Betroffenen richten. Zur vollständigen Dokumentation gehören neben den tatsächlichen Dokumenten immer auch die Hintergründe - Analyseergebnisse, Risikoabschätzungen und Entscheidungsbegründungen.

Wir bei yourIT unterstützen unsere Kunden bei diesem aufwändigen und komplexen Prozess durch eine Vielzahl an Hilfsmitteln: von automatisierten Prozessabläufen über vorgefertigte Risikoabschätzungen und Dokumentationsunterlagen bis hin zu Schritt-für-Schritt Anleitungen zu den einzelnen Aufgaben. Und natürlich auch immer mit persönlicher Beratung - vor Ort oder remote.

Mehr über unsere Arbeitsweise und den oben geschilderten Analyseprozess erfahren Sie in unserer kostenlosen Webinarreihe Datenschutz aktuell - am kommenden Mittwoch den 21.07.2021 von 11:00-12:00 Uhr zum Thema Microsoft365.



Das könnte Sie auch interessieren:


Datenschutz-Dienstag, 13. Juli 2021
In der Cloud ist alles besser? Eine Geschichte über E-Mail-Server nach dem HAFNIUM-Angriff

Datenschutz-Dienstag, 06. Juli 2021
Internationale Datentransfers - Das How-To

Datenschutz-Dienstag, 29. Juni 2021
Internationale Datentransfers - Dokumentieren statt abschaffen! Am Beispiel Mailchimp

Datenschutz-Dienstag, 22. Juni 2021
Microsoft 365 rechtskonform einsetzen - auf die Konfiguration kommt es an!

Datenschutz-Dienstag, 15. Juni 2021
Datentransfer in die USA – eine Dauerbaustelle? Oder ein akuter Flächenbrand?!

Freitag, 4. Juni 2021
Achtung Kontrolle - Landesdatenschutzbeauftragte verschicken Fragebögen zu internationalen Datentransfers

Donnerstag, 8. April 2021
Office 365: Was sagt der Datenschutz?

Montag, 3. August 2020
Was sagen die Aufsichtsbehörden zum Aus für das Privacy Shield? Ein erster Überblick...

Samstag, 18. Juli 2020
Unternehmer-Tipps nach dem Aus für das "Privacy Shield" zwischen der EU und den USA

Freitag, 14. Juni 2019
EU-DSGVO - Das sollten Unternehmen bei der Nutzung von Public-Cloud-Diensten aus den USA beachten

Donnerstag, 9. Februar 2017
Was ist der Privacy Shield?