Internationale Datentransfers - Dokumentieren statt abschaffen! Am Beispiel Mailchimp

Bereits am Datenschutz-Dienstag letzte Woche haben wir  über die derzeit laufende bundesweite Überprüfung internationaler Datentransfers am Beispiel Microsoft 365 berichtet. Heute möchten wir nochmal darauf eingehen, dass das radikale Abschaffen aller internationalen Dienste weder praktikabel noch notwendig ist. In vielen Fällen kann die Zusammenarbeit mit dem bewährten Partner fortgeführt werden - wenn die Datenverarbeitungsprozesse rechtskonform gestaltet und vollständig dokumentiert sind.

Werbeversprechen: "Mit Mailchimp ist DSGVO‑Konformität einfach" - Laut BayLDA eher nein?!

Im Folgenden erläutern wir nochmals, worauf es bei der Gestaltung und Dokumentation internationaler Datentransfers ankommt:

Microsoft 365 rechtskonform einsetzen - Auf die Konfiguration kommt es an!

Seit dem Fall des "Privacy Shield" im vergangenen Sommer geistern viele Gerüchte durch die Datenschutzwelt: Die Einen behaupten, eine Zusammenarbeit mit US-Anbietern wie z.B. Microsoft sei jetzt komplett rechtswidrig und müsse sofort gestoppt werden. Die Anderen sagen, es gäbe überhaupt kein Problem. Man könne ja nicht einfach den Betrieb einstellen". Was ist wirklich Sache? Was müssen gerade mittelständische Unternehmen tun, um weiter Microsoft 365 einsetzen zu können?

Microsoft 365 rechtskonform einsetzen - Auf die Konfiguration kommt es an

Auf diese Fragen soll unser Blogbeitrag knappe und verständliche Antworten geben. Nicht theoretisch, sondern ganz praktisch anhand der Fragen, die uns unsere vielen Kunden aus dem Mittelstand in den letzten Wochen und Monaten gestellt haben. Eben Datenschutz von Praktikern für Praktiker.

Datentransfer in die USA – Eine Dauerbaustelle? Oder ein akuter Flächenbrand?!

Die EU-DSGVO gilt seit nunmehr drei Jahren. Ihr wesentlicher Zweck besteht darin, Rechtssicherheit im Datenschutz zu bewirken. Für Datentransfers in die USA ist dies bisher nicht gelungen. Hier liegt aktuell große Herausforderung für deutsche Unternehmen.

Datenschutz-Aufsichtsbehörden kontrollieren den Datentransfer in die USA

Ohne Übermittlungen in die USA geht kaum etwas

Die meisten Unternehmen können gar nicht anders, als personenbezogene Daten in die USA zu übermitteln. Manche gehören zu einem Konzern mit einer Konzernmutter in den USA und müssen deshalb dorthin berichten...

Achtung Kontrolle - Landesdatenschutzbeauftragte verschicken Fragebögen zu internationalen Datentransfers

Anfang Juni 2021 haben die Datenschutzaufsichtsbehörden länderübergreifend koordiniert mit der Kontrolle der internationalen Datentransfers bei deutschen Unternehmen begonnen. Überprüft werden Datenübermittlungen durch Unternehmen in sogenannte "Drittstaaten" außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums. Es drohen Untersagungsverfügungen und Bußgelder.

Ziel dieser koordinierten Prüfung ist die breite Durchsetzung der Anforderungen des Europäischen Gerichtshofs EuGH in dessen Schrems-II-Entscheidung vom 16. Juli 2020. Darin hatte das Gericht festgestellt, dass Übermittlungen in die USA nicht länger auf Basis des sogenannten "Privacy Shields" erfolgen können (Wir berichteten hier).

Achtung Kontrolle - Landesdatenschutzbeauftragte verschicken Fragebögen zu internationalen Datentransfers

Weitergabe von Mitarbeiterdaten wegen Corona

Die erste Corona-Welle ist Mitte 2020 wieder abgeebbt. Wir befinden und mittlerweile bereits in der x-ten Welle. Umso mehr sind die Gesundheitsbehörden hinter jedem „Verdachtsfall“ her. Schließlich will man alles, bloß keine weitere
Krankheitswelle. Welche Auskünfte müssen Arbeitgeber den Gesundheitsbehörden über Mitarbeiter geben?

Infektionsverfolgung und Datenschutz

In der ersten, teils schlimmen Corona-Phase dachten eher wenige über Fragen des Datenschutzes nach. Das ändert sich nun, und das ist gut so. Denn bei der „Infektionsverfolgung“ geht es um viele Daten. Dabei gibt es rechtlich gesehen zwei Aspekte: Welche Fragen darf ein Gesundheitsamt stellen? Und welche Antworten darf ein Unternehmen geben? 

Weitergabe von Gesundheitsdaten

Datenschutz-Verletzung aus dem Verbandskasten - Jetzt Verbandbuch austauschen!

Ein "Verbandbuch" ist bis heute in den orangefarbenen Verbandskästen der meisten Unternehmen auffindbar. Es sieht aus wie ein typisches Fahrtenbuch. Darin sind Arbeits- und Wegeunfälle zu dokumentieren und es enthält damit zwangsläufig Gesundheitsdaten der Mitarbeiter - oft aus mehreren Jahren. Weshalb dieses Verbandsbuch regelmäßig die nach EU-DSGVO und BDSG-neu geltenden Datenschutzvorgaben verletzt und wie Sie dies heilen können, lesen Sie in diesem Beitrag.

Ihr Verbandsbuch verletzt den Datenschutz - Jetzt austauschen!

Einmal kurz nicht aufgepasst - und schon ist es passiert: Ein Unfall im Betrieb. Ein Unfall ist versicherungstechnisch definiert als ein Plötzlich von Außen Unfreiwillig auf den Körper Einwirkendes Ereignis, das zur Gesundheitsschädigung führt (kurz "PAUKE"). Laut dem Bundesministerium für Arbeit und Soziales (BMAS) gilt grundsätzlich: „Arbeitsunfälle sind die Unfälle, die versicherte Personen infolge einer versicherten Tätigkeit erleiden.“

Externer Datenschutzbeauftragter und interner Datenschutzkoordinator - ein unschlagbares Team

Die EU-Datenschutzgrundverordnung (EU-DSGVO) und das neue Bundesdatenschutzgesetz (BDSG-neu) verpflichten viele Unternehmen zur Bestellung eines Datenschutzbeauftragten. Es lässt Ihnen dabei die Wahlfreiheit, Ihren Datenschutzbeauftragten entweder intern oder extern zu bestellen. Optimal erweist sich die Kombination aus einem internen Datenschutz-Team aus einem oder mehreren Koordinatoren sowie einem externen Datenschutz-Team rund um den externen Datenschutzbeauftragten.

Betrachtet man die hohen Anforderungen an einen internen betrieblichen Datenschutzbeauftragten (bDSB) und insbesondere dessen Sonderkündigungsschutz realistisch, bietet sich die Bestellung eines externen Datenschutzbeauftragten geradezu an:

Vergleich interner vs. externer Datenschutzbeauftragter (DSB)

	interner DSB	externer DSB
unternehmerisches Risiko	hoch - nur Arbeitnehmerhaftung	gering - Beraterhaftung - auf Versicherungsschutz achten
Start	später - erst notwendige Fachkunde aufbauen	sofort - Knowhow und Erfahrung aus unterschiedlichen Projekten vorhanden
Kosten	hoch - Achtung "eh da"-Kosten	gering - nur tatsächlicher Aufwand wird bezahlt
Schulungskosten	hoch - mind. jährliche Fortbildung ist Pflicht	gering - auf mehrere Schultern (= Kunden) verteilt
Sonderkündigungsschutz	ja	nein
Betriebsblindheit	möglich	keine
Interessenskonflikte	möglich	keine
Ausfallrisiko	hoch - da keine Vertretung bei Krankheit, Elternzeit, ...	gering, da Vertretung geregelt

Wer darf eigentlich zum Datenschutzbeauftragten bestellt werden?

Firmeninhaber/innen kamen in der Vergangenheit häufig zum Entschluss, den Lebenspartner zum internen Datenschutzbeauftragten zu bestellen, da dieser sich ja eh um die Beschäftigten-Daten und die Gehaltsabrechnung kümmert und die Kunden- und Lieferanten-Kontaktdaten pflegt. Solche Konstellationen schließt der Gesetzgeber in Art. 38 Abs. 6 EU-DSGVO aber aus. Es darf bei der Bestellung nicht zu einem Interessenkonflikt kommen.

Wichtige Info hierzu: Falsch bestellt ist nicht bestellt!

Interessenskonflikte können auch bei weiteren Konstellationen von Tätigkeit und Position unterstellt werden:

• Geschäftsführer, Vorstand
• Unternehmensinhaber, Gesellschafter
• direkte Familiengehörige
• alle Positionen des leitenden Managements wie
• IT-Leiter
• Marketing-Leiter
• Leiter Rechtsabteilung
• Personal-Leiter
• Verkaufs-Leiter
• Einkaufs-Leiter

Klarstellung: Diese Positionen dürfen nicht gleichzeitig die Position des Datenschutzbeauftragten begleiten, sehr wohl aber die Position eines internen Datenschutzkoordinators.

Stellt man der obigen "Ausschlussliste" die in Art. 37 Abs. 5 EU-DSGVO genannten Anforderungen "berufliche Qualifikation und Fachwissen auf dem gebiet des Datenschutzrechts und der Datenschutzpraxis" gegenüber, bleiben bei vielen Unternehmen kaum Mitarbeiter übrig, die für die Tätigkeit als interner Datenschutzbeauftragter in Frage kommen.

Betrachtet man dazu noch die weiteren Vorteile, welche die Bestellung eines externen Datenschutzbeauftragten mit sich bringt, wird klar:

In den meisten Unternehmen wird heute eine Kombination aus internem Datenschutz-Team von einem oder besser mehreren Datenschutz-Koordinatoren und einem externen Datenschutz-Team rund um einen externen Datenschutzbeauftragten gewählt.

Zusammenfassung Vorteile eines externen Datenschutzbeauftragten:

Die yourIT-Academy für Weiterbildungen zum Thema Datenschutz & Informationssicherheit - Jetzt mit Fördermitteln!

Nicht verpassen: Als Teilnehmer von Schulungen in der yourIT-Academy erhalten Sie bis zu 50% Fördermittel auf die Teilnehmergebühr. Füllen Sie einfach den von uns bereitgestellten Fragebogen aus. Wir kümmern uns um den Rest. Wir präsentieren Ihnen die yourIT-Academy in Balingen. Mit vielen spannenden Schulungen / Seminaren zum Thema Datenschutz & Informationssicherheit, Software-Entwicklung und IT-Technik.

Mit dem erfolgreichen Umzug in unsere neue Firmenzentrale in Balingen bietet sich uns jetzt die Möglichkeit, Schulungen zu unseren Fachbereichen 

• Softwareentwicklung
• Netzwerk & Security
• Datenschutz & Informationssicherheit
• Digitalisierung

im eigenen Haus anzubieten. Diese Fachbereiche und das darin enthaltene Fachwissen wollen wir mit unserer Academy an Kunden und Interessenten bringen.

Moderne gut ausgestattete Schulungsräume erwarten Sie in der yourIT Academy