Hintergrundgrafik intersoft consulting services AG
Weiter zum Inhalt
Datenschutzberatung

Internationaler Datenschutz

Durch unsere langjährige Expertise können wir internationale Datentransfers datenschutzkonform gestalten.

Ihre Vorteile

Überzeugen Sie sich von den Vorteilen einer Zusammenarbeit.

  • Sichere Datenübermittlung in Drittländer

    Bei Datentransfers in Staaten außerhalb der EU (und des EWR, sog. Drittländer) bieten wir praxisbewährte rechtssichere Handlungsempfehlungen.

  • Erfahrene Berater

    Seit Jahren beraten wir internationale Konzerne bei der Übermittlung von Kunden- und Beschäftigtendaten in Drittländer.

  • Pragmatische Lösungen

    Wir empfehlen Ihnen vertragliche, organisatorische und technische Maßnahmen, um Ihre Datenübermittlungen in Drittländer mit verhältnismäßigem Aufwand abzusichern.

Wir beraten Sie im internationalen Datenschutz

Rechtskonforme Gestaltung internationaler Datentransfers

International operierende Unternehmen übermitteln täglich massenhaft personenbezogene Daten in Drittländer (Staaten außerhalb der EU und des Europäischen Wirtschaftsraums), schon allein aufgrund eines konzernweiten Kontaktverzeichnisses oder einer konzernübergreifenden Kundendatenbank. Oft fordern Konzernspitzen in den USA oder Asien von deutschen Tochtergesellschaften bestimmte Datensätze an oder ausländische Dienstleister sind mit der Verarbeitung personenbezogener Daten beauftragt. Letzteres betrifft durch die gängige Praxis des Cloud-Computing auch immer häufiger kleine und mittlere Unternehmen (KMU).

Deshalb müssen in Unternehmen eine Vielzahl von Fragen geklärt werden. Zum Beispiel, wie die Datenflüsse im Konzern verlaufen, wie viele Parteien an der Verarbeitung personenbezogener Daten beteiligt sind, welches nationale Recht dabei noch anwendbar ist, ob zusätzliche Rechte oder Pflichten wirksam vertraglich vereinbart werden müssen und welche Aufsichtsbehörde zuständig ist.

Sicherstellung eines angemessenen Schutzniveaus im internationalen Datenschutz

Die Frage der Rechtmäßigkeit eines internationalen Datentransfers richtet sich nach der 2-Stufen-Prüfung. Auf der ersten Stufe muss die Übermittlung der Daten nach den allgemeinen Vorgaben der DSGVO rechtmäßig sein. So ist denkbar, dass die Übermittlung von Mitarbeiterdaten an die Konzernspitze zur Erfüllung des Arbeitsvertrags erforderlich ist. Auf der zweiten Stufe muss nun im Bereich internationaler Datenschutz geprüft werden, ob beim Empfänger ein angemessenes Niveau im Datenschutz besteht, also ob die personenbezogenen Daten der Mitarbeiter im Unternehmen dort einem ähnlich hohen Datenschutz unterliegen, wie im Land des Absenders. Das trifft etwa zu, wenn sich der Konzern im Umgang mit personenbezogenen Daten verbindliche Verhaltensregeln (Binding Corporate Rules) auferlegt hat, die von den Aufsichtsbehörden überprüft und genehmigt wurden. Es kann aber auch zutreffen, wenn ein Angemessenheitsbeschluss zu dem Drittland besteht, wie etwa im Rahmen des Data Privacy Framework zu den USA.

Durch unsere Erfahrung im internationalen Kontext mit komplexen Strukturen wissen wir nicht nur, welche datenschutzrechtlichen Lösungen zu welchen Datenübermittlungen ins Ausland passen, sondern kennen auch die landestypischen Unterschiede beim Kommunizieren dieser Maßnahmen mit den Datenempfängern. Machen Sie sich dieses Spezialwissen in der Datenschutzberatung für Ihre Vorhaben zunutze. Wir unterstützten Sie im Bereich internationaler Datenschutz angepasst auf Ihre Unternehmensbelange.

So können wir Sie unterstützen

  • Analyse der Datenflüsse und Klärung der datenschutzrechtlichen Verantwortlichkeit für Verarbeitungsprozesse in Ihrem Unternehmen
  • Durchführung von Transfer Impact Assessments
  • Beratung zu sog. Zusätzlichen Maßnahmen (vertraglicher, organisatorischer und technischer Art) nach Empfehlungen des Europäischen Datenschutzausschusses
  • Beratung zu vertraglichen Lösungen über Standardvertragsklauseln und dem jeweils passenden Modul
  • Dokumentation der vertraglichen Lösungen, der zusätzlichen Maßnahmen und der Transfer Impact Assessments in unserer Datenschutzmanagement Software Guardileo
  • Beratung bei der Datenübermittlung oder Auftragsverarbeitung – je nach Sachlage sind unterschiedliche Maßnahmen erforderlich
Hintergrundgrafik intersoft consulting services AG
Datenschutz-Profis: alle Branchen, alle Unternehmensstrukturen. Hier unverbindlich anfragen

Weitere Informationen

Wir sagen Ihnen, was Sie zum internationalen Datenschutz wissen sollten.

Die Datenschutz-Grundverordnung (DSGVO) ist ein verbindlicher Rechtsakt der Europäischen Union, den die Mitgliedsstaaten unmittelbar anzuwenden haben. Dieser wurde zudem in das EWR‑Abkommen übernommen. Somit gelten beim Datenschutz im gesamten europäischen Wirtschaftsraum auf dem Papier die gleichen Spielregeln.

Dennoch kann es erforderlich sein, das angestrebte Ziel der Datenverarbeitung noch einmal zu prüfen. Denn die DSGVO enthält eine Vielzahl von Öffnungsklauseln beziehungsweise Konkretisierungsklauseln. Diese erlauben es den nationalen Gesetzgebern in bestimmten Sachverhalten, abweichende Regelungen zu treffen. Mehr und mehr europäische Staaten haben von dieser Möglichkeit Gebrauch gemacht. Hierdurch entstehen wieder nationale Unterschiede bei den Anforderungen an eine rechtskonforme Verarbeitung von Daten für Unternehmen. Weite Spielräume lässt die DSGVO etwa bei der Datenverarbeitung im Beschäftigtenverhältnis oder der Verarbeitung von besonderen Kategorien personenbezogener Daten zu.

In Deutschland kann im Datenschutz beispielsweise die Verarbeitung eines Datensatzes inklusive Angaben zur Gewerkschaftszugehörigkeit durch die Einwilligung des Betroffenen im Unternehmen zulässig sein. Werden diese Daten im Bereich internationaler Datenschutz an einen Datenimporteur in Spanien übermittelt, der diese Daten für eigene Zwecke verarbeitet, gilt die Feststellung, dass dort prinzipiell ein angemessenes Niveau im Datenschutz besteht. Das spanische nationale Datenschutzgesetz sieht jedoch weitere Beschränkungen für die Verarbeitung besonderer Kategorien personenbezogener Daten vor. Daten aus denen die rassische und ethnische Herkunft, politische Meinungen, Gewerkschaftszugehörigkeit, religiöse Überzeugungen oder sexuelle Orientierung hervorgehen, können hier nicht alleine aufgrund einer Einwilligung des Betroffenen verarbeitet werden.

Neben den EU- und EWR‑Ländern, in denen ein angemessenes Datenschutzniveau herrscht, gibt es eine Reihe von sicheren Drittstaaten. Dies sind Staaten, für welche die europäische Kommission einen Angemessenheitsbeschluss gefasst hat. Nach Prüfung der Rechtslage kam man zu dem Ergebnis, dass die nationalen Gesetze zwar nicht dem Angemessenheitsbeschluss gleichen, aber einen mit der DSGVO vergleichbaren Schutz für personenbezogene Daten bieten. Sichere Drittstaaten, denen ein angemessenes Datenschutzniveau attestiert wird, sind Andorra, Argentinien, Färöer, Guernsey, Israel, Isle of Man, Jersey, Neuseeland, Schweiz, Südkorea, Uruguay und Japan. Für das Großbritannien gibt es ebenfalls einen Angemessenheitsbeschluss, der bis 2025 befristet ist.

Die EU‑Kommission hat auch schon Angemessenheitsbeschlüsse mit eingeschränktem Umfang verabschiedet. Ein Beispiel ist Kanada. Die Adäquanzentscheidung gilt nur für Datenverarbeitungen mit kommerziellem Charakter, da auch nur diese dem Personal Information Protection and Electronic Documents Act unterfallen. Personenbezogene Daten können in sichere Drittstaaten meistens genauso wie innerhalb Deutschlands oder den EU- oder EWR‑Ländern aufgrund einer Rechtsgrundlage ohne weitere Vorkehrungen übermittelt werden.

Problematisch im Bereich internationaler Datenschutz wird es aber bei der Übermittlung in sichere Drittstaaten, wenn eine Öffnungsklausel der DSGVO ins Spiel kommt. Diese erlauben es, den Mitgliedstaaten Datenverarbeitungen aufgrund nationaler Gesetze zu legitimieren. Nach Art. 6 Iit c) DSGVO können etwa Daten zur Erfüllung einer rechtlichen Verpflichtung verarbeitet werden. Diese können die Mitgliedstaaten gemäß Absatz 2 selbst erlassen, wie etwa die Pflicht aus § 147 AO, bestimmte Unterlagen für die Finanzbehörde einen gewissen Zeitraum aufzubewahren. Solche Gesetze gibt es auch in sicheren Drittstaaten. Da diese sich aber nicht auf die Öffnungsklausel aus Absatz 2 berufen können, weil sie keine Mitgliedsstaaten der EU sind, kann die Datenverarbeitung nicht nach Art. 6 Iit c) DSGVO legitimiert werden.

Länder, die nicht Teil der EU oder des EWR sind und für die auch kein Angemessenheitsbeschluss der EU-Kommission besteht, sind als unsichere Drittstaaten einzustufen. Damit im internationalen Datenschutz eine Datenübertragung in diese Länder zulässig ist, muss für jeden einzelnen Datentransfer ein angemessenes Datenschutzniveau hergestellt werden. Dafür hat der Gesetzgeber für Unternehmen mehrere Werkzeuge vorgesehen. Das wohl meistgenutzte Werkzeug im Bereich internationaler Datenschutz sind die Standard‑Datenschutzklauseln. Ziel dieser Standardvertragsklauseln (SCCs) ist die vertragliche Vereinbarung eines Datenschutzstandards, der dem der Europäischen Union entspricht.

Weitere Möglichkeiten im internationalen Datenschutz Daten in unsichere Drittstaaten zu übertragen sind für große Konzerne Binding Corporate Rules „BCRs“ (verbindliche interne Datenschutzvorschriften). Diese sind ein selbstauferlegtes und von den Datenschutzaufsichtsbehörden abgesegnetes Regelwerk beim Umgang mit personenbezogenen Daten, welche Datenübertragungen nur innerhalb der Konzernstruktur legitimieren. Für KMUs gibt es die Möglichkeit der Datenübertragung auf branchenspezifischen Regelungen oder durch genehmigte Zertifizierungsmechanismen.

Der Europäische Gerichtshof (EuGH) hat jedoch 2020 in seinem Schrems II Urteil entschieden, dass das bloße Abstellen auf SCCs oder BCRs nicht mehr ausreicht, um ein angemessenes Datenschutzniveau zu gewährleisten. Als Reaktion auf das Urteil aktualisierte die EU‑Kommission die Standardvertragsklauseln.

Eine wesentliche Neuheit der aktuellen SCCs ist die Pflicht des Datenexporteurs, nach Klausel 14 eine Datentransfer‑Folgenabschätzung (bzw. Transfer Impact Assessment – TIA) vorzunehmen. Der Exporteur muss sich vergewissern, dass sein Vertragspartner aus einem Drittstaat in der Lage ist, die Pflichten aus den neuen SCCs zu erfüllen. Die Folgeabschätzung muss dokumentiert werden und den zuständigen Aufsichtsbehörden im Zweifel vorgelegt werden können. Wichtig ist, dass keine allgemeine Bewertung des Schutzniveaus im Empfängerland erfolgt, sondern das konkrete Schutzniveau für die übertragenen Daten bewertet wird. Der konkrete Übertragungsweg der Daten, die Anzahl der Akteure und die Stationen der Verarbeitungskette müssen insbesondere in die Risikoanalyse miteinbezogen werden. Außerdem sollte in Erwägung gezogen werden, ob zumutbare Alternativen existieren, die keinen Datentransfer in Drittstaaten erfordern.

Wenn nach dem TIA erkennbar ist, dass das Schutzniveau für den konkreten Sachverhalt im Drittstaat nicht mit dem europäischen Standard vergleichbar ist, muss der Datenexporteur zusätzliche Maßnahmen ergreifen, um die zu übermittelnden Daten besser zu schützen. Sollte es nicht möglich sein, das Schutzniveau zu erhöhen, dürfen personenbezogene Daten nicht mehr mittels SCCs übertragen werden. In diesem Fall ist ein Datentransfer in unsichere Drittländer nur noch in Ausnahmefällen zulässig, beispielsweise wenn eine Einwilligung des Betroffenen vorliegt oder die Datenübermittlung zur Vertragserfüllung zwischen dem Betroffenen und dem Verantwortlichen erforderlich ist. Wir bieten Ihnen rechtssichere Lösungen im Datenschutz und Klarheit für internationale Datentransfers. Dabei beleuchten und analysieren wir die individuellen Prozesse und die darauf zutreffenden gesetzlichen Bestimmungen.

Cloud Computing ist zu einem festen Bestandteil der IT‑Infrastruktur vieler großer und kleiner deutscher Unternehmen geworden. Ob Infrastructure as a Service (IaaS), Plattform as a Service (PaaS) oder Software as a Service (SaaS): Heute lassen sich so einfach wie nie Server, Speicher, Datenbanken oder eine umfassende Palette von Anwendungsservices mit der notwendigen Hardware anmieten. Dabei kommen vor allem die großen Public‑Cloud‑Anbieter aus den USA, einem unsicheren Drittstaat. Seit dem Schrems II Urteil des EuGHs ist die Nutzung von amerikanischen Anbietern jedoch zu einer Herausforderung geworden. Denn seit Schrems II ist das EU‑U.S. Privacy‑Shield ungültig. Das Privacy Shield diente als Grundlage für Datenübermittlungen in die USA, sofern die Übermittlung an US‑Unternehmen erfolgte, die eine gültige Privacy-Shield-Zertifizierung besaßen. Da auch kein Angemessenheitsbeschluss für die USA vorliegt, kann ein Datentransfer in die USA nur aufgrund von Standardvertragsklauseln oder internen Datenschutzvorschriften erfolgen. In diesem Zuge muss ein Transfer Impact Assessment vorgenommen werden.

Neben den vertraglichen Absicherungen müssen Unternehmen im internationalen Datenschutz auch angemessene technische und organisatorische Maßnahmen treffen, um die Datenübermittlung abzusichern. So kann es beispielsweise geboten sein, dass die übersendeten Daten nur verschlüsselt auf dem Server des Cloud‑Anbieters gespeichert werden. Neben der Public Cloud gibt es auch eine Private Cloud, für welche die Vorgaben des internationalen Datenschutzes gelten, etwa, wenn die US‑Muttergesellschaft eine zentrale Kundendatenbank inkl. Kundenmanagement-Software auf ihrem Server hostet und die EU‑Tochterunternehmen auf die darin gespeicherten Kundendaten Zugriff haben. Da der gesetzliche Begriff der Verarbeitung weit auszulegen ist, handelt es sich auch beim Abruf von Daten wie in diesem Beispiel um eine Verarbeitung, welche dementsprechend abgesichert werden muss.

Kompetenz von mehr als 70 Beratern

Mehr als 70 Berater liefern passende Lösungen für Ihr Unternehmen. Lernen Sie hier einige ausgewählte Berater kennen.

Aufgelistet finden Sie Zertifikate und Mitgliedschaften der Unternehmensgruppe, die unseren hohen Anspruch belegen.

CIPM-Zertifizierung

CIPM-Zertifizierung

Berater der intersoft consulting services AG sind durch die International Association of Privacy Professionals (IAPP) zum Certified Information Privacy Manager (CIPM) zertifiziert worden. Die CIPM ist die einzige weltweit akkreditierte Zertifizierung im Datenschutzmanagement und bildet Ansprechpartner mit hoher Expertise für das Tagesgeschäft in allen Belangen des Datenschutzes aus. Die Zertifizierung ist zudem ISO akkreditiert (ISO 17024:2012).

IAPP Corporate Member

IAPP Corporate Member

Durch die Firmenmitgliedschaft in der International Association of Privacy Professionals (IAPP) sind unsere Berater weltweit mit führenden Datenschutz- und IT‑Sicherheitsexperten vernetzt. Als international anerkannter Standard signalisiert IAPP großes Vertrauen und gewinnt durch die neue DSGVO einen hohen Stellenwert.

ISO 9001 zertifiziert

ISO 9001 zertifiziert

Mit der Zertifizierung seines Qualitätsmanagements nach ISO 9001 dokumentiert die intersoft consulting services AG ihr Streben nach stetiger Verbesserung der Dienstleistungen, Prozesse und Kosteneffizienz, um die Zufriedenheit von Kunden und Mitarbeitern weiter zu erhöhen.
Zertifikat öffnen

Deutsche Vereinigung für Datenschutz e.V. (DVD)

Deutsche Vereinigung für Datenschutz e.V. (DVD)

Die DVD verfolgt das Ziel, die Interessen von Bürgerinnen und Bürgern in allen Fragen des Datenschutzes, der Datenverarbeitung und der Datensicherung wahrzunehmen. Die Mitgliedschaft ermöglicht uns den Zugang zu umfangreichem Fachwissen und Netzwerkmöglichkeiten in der Datenschutzwelt.

Hamburger Datenschutzgesellschaft e.V. (HDG)

Hamburger Datenschutzgesellschaft e.V. (HDG)

Die “Hamburger Gesellschaft zur Förderung des Datenschutzes e.V.” wurde als Forum für den Datenschutz von Vertreterinnen und Vertreter aus Wirtschaft, Wissenschaft und Medien gegründet. Als Mitglied beim HDG wirken wir aktiv an der Weiterentwicklung von Datenschutzthemen mit.

CIPP/E-Zertifizierung

CIPP/E-Zertifizierung

Berater der intersoft consulting services AG sind durch die International Association of Privacy Professionals (IAPP) zum Certified Information Privacy Professional (CIPP/E) zertifiziert worden. Das Zertifikat ist ANSI- und ISO-konform (ISO 17024) und weist den Berater aus, über anerkannte Qualifikationen im europäischen Datenschutzbereich zu verfügen.

Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD)

Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD)

Als gemeinnütziger Verein setzt sich die GDD für einen angemessenen, vertretbaren und technisch umsetzbaren Datenschutz ein. Ihr Zweck besteht darin, datenverarbeitende Stellen bei der Bearbeitung und Erfüllung von rechtlichen, technischen und organisatorischen Anforderungen in Bezug auf Datenschutz und Datensicherheit zu unterstützen. Wir engagieren uns im ERFA-Kreis Nord und schätzen den fachlichen Austausch.

Nach Verbandskriterien des BvD verpflichtet

Nach Verbandskriterien des BvD verpflichtet

intersoft consulting services ist mit ihren externen Datenschutzbeauftragten nach den Verbandskriterien „Fachkunde“ und „Zuverlässigkeit“ des Berufsverband der Datenschutzbeauftragten e.V. (BvD) verpflichtet. Die Kriterien gewährleisten ein hohes und konstantes Datenschutzniveau.

  • Volljuristen (2 Staatsexamina), darunter promovierte Rechtsanwälte
  • Fachanwälte für IT‑Recht, gewerblichen Rechtsschutz, Urheber- und Medienrecht, Versicherungsrecht und Sozialrecht
  • Master of Laws in IT‑Recht, Medienrecht, Immaterialgüterrecht, Gewerblichen Rechtsschutz und Recht des geistigen Eigentums
  • Bachelor of Laws für Informationsrecht und Wirtschaftsrecht
  • ISO 27701 Lead Implementer
  • TÜV‑zertifizierte Datenschutzbeauftragte und Datenschutzauditoren
  • Certified Information Privacy Manager (CIPM), Certified Information Privacy Professional (CIPP/E)
  • IT‑Compliance-Manager (ISACA) und Compliance-Officer (TÜV)
  • Datenschutzbeauftragte nach Verbandkriterien verpflichtet (BvD)
  • BSI-zertifizierte Auditteamleiter für ISO 27001 auf der Basis von IT‑Grundschutz
  • ISO/IEC 27001 Lead Auditor, ISO/IEC 27001 Implementer, ISO/IEC 27001 Practitioner
  • GIAC Certified Forensic Examiner, GIAC Certified Forensic Analyst, GIAC Battlefield Forensics and Acquisition
  • IT-Sicherheitsbeauftragte (TÜV)
  • Business Continuity Manager (TÜV)
  • Informatiker und Wirtschaftsinformatiker
  • Master of Science Informationsmanagement
  • Bachelor of Science Informatik
  • Cyber Security Practitioner (ISACA), IT Information Security Practitioner (ISACA)
  • Cloud Information Security (ISO 27017/27018)

Referenzen

Wir beraten deutschlandweit hunderte Unternehmen und sind daher in allen Branchen vertreten. Dies ist nur ein Auszug unserer Referenzen.

SYZYGY
Gemeinsamer Bundesausschuss
Porsche Consulting
Tourismusverband Hamburg
Mann + Hummel
GWH Wohnungsgesellschaft
IQTIG Institut für Qualitätssicherung und Transparenz im Gesundheitswesen
Panasonic Electric Works Europe

Standorte

Standorte
Mit bundesweiten Niederlassungen sind wir auch in Ihrer Nähe vertreten.

Kontaktieren Sie uns

Hintergrundgrafik intersoft consulting services AG
Julia Reiter
Vertriebsleiterin
Gern beantworten wir Ihre Fragen oder erstellen Ihnen ein individuelles Angebot. Hier unverbindlich anfragen

PDF-Download

NEWSLETTERInfos zum Unternehmenkostenlose WebinareFachbeiträge