piwik-script

Deutsch Intern
    Information Technology Centre

    Risiken im internationalen Datentransfer

    Europäischer Wirtschaftsraum

    Dieser gilt durch die DSGVO als sicher.

    Im Zweifel bietet es sich aber an, ein konkretes Land als Ort der Verarbeitung festzulegen.

    Orientierungshilfen zum internationalen Datentransfer

    Was ist eine Übermittlung im Sinne der Art. 44 ff DSGVO?

    Der Europäische Datenschutzausschutz hat eine Orientierungshilfe beschlossen und zur öffentlichen Diskussion freigegeben.

    Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR

    Spannen ist vorallem Randnummer 13:

    "XYZ Inc., a controller without an EU establishment, sends personal data of its employees/customers, all of them non-EU residents, to the processor ABC Ltd. for processing in the EU, on behalf of XYZ. ABC re-transmits the data to XYZ. The processing performed by ABC, the processor, is covered by the GDPR for processor specific obligations pursuant to Article 3(1), since ABC is established in the EU. Since XYZ is a controller in a third country, the disclosure of data from ABC to XYZ is regarded as a transfer of personal data and therefore Chapter V applies."

    Da überlicherweise Verträge mit europäischen Niederlassungen der Anbieter geschlossen werden, könnte bei eine vollständigen Verarbeitung in Europa und einer vertraglichen Zusicherung des Mutterkonzerns ein internationaler Datentransfer ausgeschlossen werden.

    Drittländer und Organisationen mit festgestellten angemessenem Datenschutz

    Auf den Seiten der EU-Kommission findet sich eine Übersicht zu Ländern und internationalen Organisationen, für die ein angemessenes Datenschtzniveau festgestellt worden ist.

    Zur Übersicht (in Englischer Sprache)

    Datentransfer ohne Notwendigkeit eines angemessenen Datenschutzniveaus bei Empfängern oder Verantwortlichen

    Unter den Veraussetzung des Art. 49 DSGVO können personenbezogene Daten auch ohne angemessenes Datenschutzniveau international verarbeitet werden. Die enge Auffassung des Europäischen Datenschutzausschusses wird in der juristischen Literatur nicht immer geteilt.

    Drittländer mit völkerrechtlichem Anspruch auf Datentransfer

    Das Zusatzprotokoll zum Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten bezüglich Kontrollstellen und grenzüberschreitendem Datenverkehr, Sammlung Europäischer Verträge - Nr. 181, gibt den Ländern, die das Abkommen ratifiziert haben, einen "Anspruch" auf Import und Export von personenbezogenen Daten.

    Übersicht über die teilnehmenden Länder

    Rechtsanalysen von Diensteanbietern zu einzelnen Diensten

    Dienstleister im Überblick
    Anbieter Produkt Datenvereinbarung Einsatz der SCC 2021 Risikoanalyse Sicherheitscenter Unterschützung zur Datenschutzfolgenabschätzung
    Adobe DC, CC Auf Anfrage P2P SCC (nicht öffentlich) Auf Anfrage https://www.adobe.com/de/trust.html nicht bekannt
    AWS allgemein https://d1.awsstatic.com/legal/aws-gdpr/AWS_GDPR_DPA.pdf  C2P und P2P https://d1.awsstatic.com/whitepapers/Security/navigating-compliance-with-eu-data-transfer-requirements.pdf    nicht bekannt
    Meta Facebook https://www.facebook.com/legal/EU_data_transfer_addendum  P2P SCC (nicht öffentlich) nicht bekannt   nicht bekannt
      Instagram https://help.instagram.com/519522125107875  P2P SCC (nicht öffentlich) nicht bekannt   nicht bekannt
    Google Google Ads https://business.safety.google/adsprocessorterms/  C2P, P2P Als Kunde auf Anfrage https://business.safety.google/data-safety/   
    Microsoft Azure https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA  P2P (nicht öffentlich) nicht bekannt https://www.microsoft.com/de-de/trust-center  https://docs.microsoft.com/en-us/compliance/regulatory/gdpr-dpia-azure 
      Bing https://privacy.microsoft.com/de-de/privacystatement  C2C (nicht öffentlich) nicht bekannt Nicht bekannt nicht bekannt
      Dynamics 365 https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA  P2P nicht bekannt https://www.microsoft.com/de-de/trust-center  https://docs.microsoft.com/en-us/compliance/regulatory/gdpr-dpia-dynamics 
      Microsoft Support https://www.microsoft.com/licensing/docs/view/Professional-Services-Data-Protection-Addendum-DPA  P2P nicht bekannt https://www.microsoft.com/de-de/trust-center  https://docs.microsoft.com/en-us/compliance/regulatory/gdpr-dpia-prof-services 
      Office 365 https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA  P2P nicht bekannt https://www.microsoft.com/de-de/trust-center  https://docs.microsoft.com/en-us/compliance/regulatory/gdpr-dpia-office365 
      Windows https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA (Teilweise) P2P nicht bekannt https://www.microsoft.com/de-de/trust-center  https://docs.microsoft.com/en-us/compliance/regulatory/gdpr-dpia-windows 
    WhatsApp WahtsApp https://www.whatsapp.com/legal/  unbekannte SCC (nicht öffentlich) nicht bekannt https://www.whatsapp.com/security  nicht bekannt
    Zoom Meetings und Webinare https://explore.zoom.us/docs/doc/Zoom_GLOBAL_DPA.pdf 
    C2P SCC
    Als Kunde auf Anfrage https://explore.zoom.us/en/trust/  nicht bekannt

     

    Legende:

    SCC: Standarddatenschutzklauseln

    C2C: Verantwortlicher zu Verantwortlicher

    C2P: Verantwortlicher zu Auftragsverarbeiter

    P2P: Auftragsverarbeiter zu Auftragsverarbeiter

    Muster zur Beurteilung der Risiken des internationalen Datentransfers

    Neben den Vorgaben des Europäischen Datenschutzausschusses hat die IAPP ein Muster veröffentlicht. Ferner gibt es eine einschätzung des amerikanischen Handelsministeriums zur Rechtslage in den Vereinigten Staaten von Amerika.