Internationale Datentransfers - Das How-To
In den vergangenen Wochen haben wir uns am Datenschutz-Dienstag immer wieder mit internationalen Datentransfers befasst - was das ist, wer betroffen ist und was die betroffenen Unternehmen nun tun sollten. Erläutert an bekannten und weit verbreiteten Beispielen wie Microsoft365 und Mailchimp. Heute wollen wir etwas genereller an die Sache herangehen - in Form eines How-To's. Schritt für Schritt erklären wir Ihnen, wie Sie internationale Datentransfers im Unternehmen finden, analysieren und dokumentieren.
 |
| Internationale Datentransfers |
Und was es auf dem Weg alles zu beachten und zu entscheiden gibt.
How-To: Internationale Datentransfers finden und analysieren
1. Internationale Datentransfers in Unternehmen finden
Die erste Aufgabe ist es, alle internationalen Datentransfers im Unternehmen zu identifizieren und aufzulisten. Dabei sind nicht nur tatsächliche Übertragungen relevant, sondern auch theoretische Zugriffsmöglichkeiten eines Anbieters mit Sitz im nicht-EU-Ausland.
2. Alternativen prüfen
Für jeden gefundenen Dienst muss man sich nun die Frage stellen: ist dieser für die Geschäftsprozesse zwingend nötig? Für unnötige Datenverarbeitungen gibt es keine Rechtsgrundlage, sie sind immer rechtswidrig. Bei jedem anderen Dienst muss analysiert und dokumentiert begründet werden, ob es geeignete Alternativanbieter aus der EU gibt. Diese Analyse muss - nach der Orientierungshilfe des Landesbeauftragten für den Datenschutz und die Informationssicherheit in Baden-Württemberg - umfassend und anhand fachlicher oder technischer Gesichtspunkte erfolgen. Rein wirtschaftliche Vorteile sind kein Argument dafür, beim internationalen Anbieter zu bleiben.
3. den Wechselaufwand abschätzen
Hat sich herausgestellt, dass es geeignete Alternativanbieter gibt, ist als nächstes der Aufwand für eine Wechsel abzuschätzen.
4. das Transferrisiko und die Dokumentationskosten abschätzen
Die nächste Abschätzung befasst sich mit dem Transferrisiko. Wie sensibel sind die betroffenen Daten? Welche Auswirkungen hätte die Untersagung eines rechtswidrigen Transfers auf das Unternehmen? Mit welchem Bußgeld wäre zu rechnen? Und nicht zuletzt: was wären die Auswirkungen einer Beschwerde oder behördlichen Maßnahme im Bereich Publicity und Kundenbeziehung? Hierbei ist zu beachten, dass ein Transfer mit hohem Risiko für die Persönlichkeitsrechte der betroffenen Personen immer rechtswidrig ist, wenn es eine weniger risikoreiche Alternative gäbe.
Ebenfalls zum Bereich Transferrisiko gehören die Kosten der datenschutzrechtlichen Dokumentation des internationalen Transfers - Verträge, Risikobewertungen und individuelle Maßnahmen zur Risikoreduzierung können tausende Euro verschlingen.
5. Entscheidung: Wechseln oder bleiben
Sind die Risiken und möglichen Alternativen bekannt, kommt es zur Managemententscheidung: wechseln oder bleiben? Auf diese Frage gibt es keine generelle Antwort, jedes Unternehmen muss hier aufgrund der eigenen Werte und der eigenen Situation selbst abwägen. Wichtig ist aus Datenschutzsicht nur, dass auch die Entscheidung und die zugrundeliegenden Fakten und Analyseergebnisse umfassend dokumentiert wird.
6. Die Dokumentation
Steht der Weg fest, muss der (alte oder neue) Datentransfer im Datenschutzmanagement dokumentiert werden - im Verzeichnis von Verarbeitungstätigkeiten, als Auftragsverarbeitung und eventuell auch in der Datenschutzerklärung oder anderen Dokumenten, die sich an die Betroffenen richten. Zur vollständigen Dokumentation gehören neben den tatsächlichen Dokumenten immer auch die Hintergründe - Analyseergebnisse, Risikoabschätzungen und Entscheidungsbegründungen.
Wir bei yourIT unterstützen unsere Kunden bei diesem aufwändigen und komplexen Prozess durch eine Vielzahl an Hilfsmitteln: von automatisierten Prozessabläufen über vorgefertigte Risikoabschätzungen und Dokumentationsunterlagen bis hin zu Schritt-für-Schritt Anleitungen zu den einzelnen Aufgaben. Und natürlich auch immer mit persönlicher Beratung - vor Ort oder remote.
Mehr über unsere Arbeitsweise und den oben geschilderten Analyseprozess erfahren Sie in unserer kostenlosen Webinarreihe Datenschutz aktuell - am kommenden Mittwoch den 21.07.2021 von 11:00-12:00 Uhr zum Thema Microsoft365.
