Deutsch Intern
  • 50-jähriges Jubiläum des Rechenzentrums
Information Technology Centre

Risiken im internationalen Datentransfer

Europäischer Wirtschaftsraum

Dieser gilt durch die DSGVO als sicher.

Im Zweifel bietet es sich aber an, ein konkretes Land als Ort der Verarbeitung festzulegen.

Orientierungshilfen zum internationalen Datentransfer

Was ist eine Übermittlung im Sinne der Art. 44 ff DSGVO?

Der Europäische Datenschutzausschutz hat eine Orientierungshilfe beschlossen und zur öffentlichen Diskussion freigegeben.

Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR

Spannen ist vorallem Randnummer 13:

"XYZ Inc., a controller without an EU establishment, sends personal data of its employees/customers, all of them non-EU residents, to the processor ABC Ltd. for processing in the EU, on behalf of XYZ. ABC re-transmits the data to XYZ. The processing performed by ABC, the processor, is covered by the GDPR for processor specific obligations pursuant to Article 3(1), since ABC is established in the EU. Since XYZ is a controller in a third country, the disclosure of data from ABC to XYZ is regarded as a transfer of personal data and therefore Chapter V applies."

Da überlicherweise Verträge mit europäischen Niederlassungen der Anbieter geschlossen werden, könnte bei eine vollständigen Verarbeitung in Europa und einer vertraglichen Zusicherung des Mutterkonzerns ein internationaler Datentransfer ausgeschlossen werden.

Drittländer und Organisationen mit festgestellten angemessenem Datenschutz

Auf den Seiten der EU-Kommission findet sich eine Übersicht zu Ländern und internationalen Organisationen, für die ein angemessenes Datenschtzniveau festgestellt worden ist.

Zur Übersicht (in Englischer Sprache)

Datentransfer ohne Notwendigkeit eines angemessenen Datenschutzniveaus bei Empfängern oder Verantwortlichen

Unter den Veraussetzung des Art. 49 DSGVO können personenbezogene Daten auch ohne angemessenes Datenschutzniveau international verarbeitet werden. Die enge Auffassung des Europäischen Datenschutzausschusses wird in der juristischen Literatur nicht immer geteilt.

Drittländer mit völkerrechtlichem Anspruch auf Datentransfer

Das Zusatzprotokoll zum Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten bezüglich Kontrollstellen und grenzüberschreitendem Datenverkehr, Sammlung Europäischer Verträge - Nr. 181, gibt den Ländern, die das Abkommen ratifiziert haben, einen "Anspruch" auf Import und Export von personenbezogenen Daten.

Übersicht über die teilnehmenden Länder

Rechtsanalysen von Diensteanbietern zu einzelnen Diensten

Dienstleister im Überblick
Anbieter Produkt Datenvereinbarung Einsatz der SCC 2021 Risikoanalyse Sicherheitscenter Unterschützung zur Datenschutzfolgenabschätzung
Adobe DC, CC Auf Anfrage P2P SCC (nicht öffentlich) Auf Anfrage https://www.adobe.com/de/trust.html nicht bekannt
AWS allgemein https://d1.awsstatic.com/legal/aws-gdpr/AWS_GDPR_DPA.pdf  C2P und P2P https://d1.awsstatic.com/whitepapers/Security/navigating-compliance-with-eu-data-transfer-requirements.pdf    nicht bekannt
Meta Facebook https://www.facebook.com/legal/EU_data_transfer_addendum  P2P SCC (nicht öffentlich) nicht bekannt   nicht bekannt
  Instagram https://help.instagram.com/519522125107875  P2P SCC (nicht öffentlich) nicht bekannt   nicht bekannt
Google Google Ads https://business.safety.google/adsprocessorterms/  C2P, P2P Als Kunde auf Anfrage https://business.safety.google/data-safety/   
Microsoft Azure https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA  P2P (nicht öffentlich) nicht bekannt https://www.microsoft.com/de-de/trust-center  https://docs.microsoft.com/en-us/compliance/regulatory/gdpr-dpia-azure 
  Bing https://privacy.microsoft.com/de-de/privacystatement  C2C (nicht öffentlich) nicht bekannt Nicht bekannt nicht bekannt
  Dynamics 365 https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA  P2P nicht bekannt https://www.microsoft.com/de-de/trust-center  https://docs.microsoft.com/en-us/compliance/regulatory/gdpr-dpia-dynamics 
  Microsoft Support https://www.microsoft.com/licensing/docs/view/Professional-Services-Data-Protection-Addendum-DPA  P2P nicht bekannt https://www.microsoft.com/de-de/trust-center  https://docs.microsoft.com/en-us/compliance/regulatory/gdpr-dpia-prof-services 
  Office 365 https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA  P2P nicht bekannt https://www.microsoft.com/de-de/trust-center  https://docs.microsoft.com/en-us/compliance/regulatory/gdpr-dpia-office365 
  Windows https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA (Teilweise) P2P nicht bekannt https://www.microsoft.com/de-de/trust-center  https://docs.microsoft.com/en-us/compliance/regulatory/gdpr-dpia-windows 
WhatsApp WahtsApp https://www.whatsapp.com/legal/  unbekannte SCC (nicht öffentlich) nicht bekannt https://www.whatsapp.com/security  nicht bekannt
Zoom Meetings und Webinare https://explore.zoom.us/docs/doc/Zoom_GLOBAL_DPA.pdf 
C2P SCC
Als Kunde auf Anfrage https://explore.zoom.us/en/trust/  nicht bekannt

 

Legende:

SCC: Standarddatenschutzklauseln

C2C: Verantwortlicher zu Verantwortlicher

C2P: Verantwortlicher zu Auftragsverarbeiter

P2P: Auftragsverarbeiter zu Auftragsverarbeiter

Muster zur Beurteilung der Risiken des internationalen Datentransfers

Neben den Vorgaben des Europäischen Datenschutzausschusses hat die IAPP ein Muster veröffentlicht. Ferner gibt es eine einschätzung des amerikanischen Handelsministeriums zur Rechtslage in den Vereinigten Staaten von Amerika.