Hintergrundgrafik intersoft consulting services AG
Skip to content
Datenschutzberatung

Internationaler Datenschutz

Durch unsere langjährige Expertise können wir internationale Datentransfers datenschutzkonform gestalten.

Ihre Vorteile

Überzeugen Sie sich von den Vorteilen einer Zusammenarbeit.

  • Sichere Datenübermittlung ins Ausland

    Wir gestalten die Übermittlung von personenbezogenen Daten in sichere oder unsichere Drittstaaten rechtskonform.

  • Hochqualifizierte Berater

    Die vielen unterschiedlichen Qualifikationen unserer Berater im Datenschutz und IT-Bereich sind in der Branche einzigartig.

  • Pragmatische Lösungen

    Bei Datentransfers ins Ausland bieten wir praxisbewährte rechtssichere Handlungsempfehlungen für Ihre Unternehmens-Compliance.

Wir beraten Sie im internationalen Datenschutz

Rechtskonforme Gestaltung internationaler Datentransfers

Die Übermittlung von personenbezogenen Daten in Drittländer ist für international operierende Unternehmen unverzichtbar und somit auch das Thema internationaler Datenschutz. Oft fordern Konzernspitzen von Unternehmen in den USA oder Asien bestimmte Datensätze an oder ausländische Dienstleister sind mit der Verarbeitung personenbezogener Daten beauftragt. Letzteres betrifft durch die gängige Praxis des Cloud-Computing auch immer häufiger kleine und mittlere Unternehmen (KMU). Dabei ist der Datentransfer in ein Drittland nicht erst seit der Datenschutz-Grundverordnung (DSGVO) eine rechtlich anspruchsvolle Herausforderung.

Regelmäßig müssen in Unternehmen eine Vielzahl von Fragen, den internationalen Datenschutz betreffend, geklärt werden. Zum Beispiel, ob der grenzüberschreitende Datenverkehr rechtmäßig ist, wie viele Parteien an der Verarbeitung personenbezogener Daten beteiligt sind, welches nationale Recht dabei noch anwendbar ist, ob zusätzliche Rechte oder Pflichten wirksam vertraglich vereinbart werden müssen und welche Aufsichtsbehörde beziehungsweise welcher Gerichtsstand zuständig ist.

Sicherstellung eines angemessenen Schutzniveaus im internationalen Datenschutz

Die Frage der Rechtmäßigkeit eines internationalen Datentransfers richtet sich nach der 2-Stufen-Prüfung. Auf der ersten Stufe muss die Übermittlung der Daten nach den allgemeinen Vorschriften des Datenschutzes, der DSGVO, rechtmäßig sein. So ist denkbar, dass im obigen Beispiel die Übermittlung von personenbezogenen Mitarbeiterdaten an die Konzernspitze der Unternehmen zur Durchführung des Arbeitsverhältnisses gemäß § 26 Abs. 1 BDSG erforderlich ist. Auf der zweiten Stufe muss nun im Bereich internationaler Datenschutz geprüft werden, ob beim Empfänger ein angemessenes Niveau im Datenschutz besteht, also ob die personenbezogenen Daten der Mitarbeiter im Unternehmen dort einem ähnlich hohen Datenschutz unterliegen, wie im Land des Absenders. Das trifft zu, wenn sich der Konzern im Umgang mit personenbezogenen Daten verbindliche Verhaltensregeln auferlegt hat, die von den Aufsichtsbehörden überprüft und genehmigt wurden.

Durch unsere Erfahrung im internationalen Kontext mit komplexen Strukturen wissen wir nicht nur, welche datenschutzrechtlichen Lösungen zu welchen Datenübermittlungen ins Ausland passen, sondern kennen auch die landestypischen Unterschiede beim Kommunizieren dieser Maßnahmen mit den Datenempfängern. Machen Sie sich dieses Spezialwissen in der Datenschutzberatung für Ihre Vorhaben zunutze. Wir unterstützten Sie im Bereich internationaler Datenschutz angepasst auf Ihre Unternehmensbelange.

So können wir Sie unterstützen

  • Analyse, wer in Ihrem Fall die datenschutzrechtliche Verantwortlichkeit für welche Prozesse trägt
  • Prüfung zu den gesetzlichen Anforderungen an eine Datenverarbeitung im Drittland
  • Beratung bei der Datenübermittlung oder Auftragsverarbeitung – je nach Sachlage sind unterschiedliche Maßnahmen erforderlich
  • Beratung, mit welchen vertraglichen Lösungen Sie Ihre Ziele am besten erreichen (z. B. Standardvertragsklauseln oder Individualverträge)
  • Unterstützung bei der Erstellung der erforderlichen Verträge und Dokumente im internationalen Datenschutz
Hintergrundgrafik intersoft consulting services AG
Datenschutz-Profis: alle Branchen, alle Unternehmensstrukturen. Hier unverbindlich anfragen

Weitere Informationen

Wir sagen Ihnen, was Sie zum internationalen Datenschutz wissen sollten.

Die Datenschutz-Grundverordnung (DSGVO) ist ein verbindlicher Rechtsakt der Europäischen Union, den die Mitgliedsstaaten unmittelbar anzuwenden haben. Dieser wurde zudem in das EWR-Abkommen übernommen. Somit gelten beim Datenschutz im gesamten europäischen Wirtschaftsraum auf dem Papier die gleichen Spielregeln. Eine gesonderte Prüfung, ob beim Empfänger ein angemessener Datenschutz vorliegt, ist somit nicht nötig.

Dennoch kann es erforderlich sein, das angestrebte Ziel der Datenverarbeitung noch einmal zu prüfen. Denn die DSGVO enthält eine Vielzahl von Öffnungsklauseln beziehungsweise Konkretisierungsklauseln. Diese erlauben es den nationalen Gesetzgebern in bestimmten Sachverhalten, abweichende Regelungen zu treffen. Mehr und mehr europäische Staaten haben von dieser Möglichkeit Gebrauch gemacht. Hierdurch entstehen wieder nationale Unterschiede bei den Anforderungen an eine rechtskonforme Verarbeitung von Daten für Unternehmen. Weite Spielräume lässt die DSGVO etwa bei der Datenverarbeitung im Beschäftigtenverhältnis oder der Verarbeitung von besonderen Kategorien personenbezogener Daten zu.

In Deutschland kann im Datenschutz beispielsweise die Verarbeitung eines Datensatzes inklusive Angaben zur Gewerkschaftszugehörigkeit durch die Einwilligung des Betroffenen im Unternehmen zulässig sein. Werden diese Daten im Bereich internationaler Datenschutz an einen Datenimporteur in Spanien übermittelt, der diese Daten für eigene Zwecke verarbeitet, gilt die Feststellung, dass dort prinzipiell ein angemessenes Niveau im Datenschutz besteht. Das spanische nationale Datenschutzgesetz sieht jedoch weitere Beschränkungen für die Verarbeitung besonderer Kategorien personenbezogener Daten vor. Daten aus denen die rassische und ethnische Herkunft, politische Meinungen, Gewerkschaftszugehörigkeit, religiöse Überzeugungen oder sexuelle Orientierung hervorgehen, können hier nicht alleine aufgrund einer Einwilligung des Betroffenen verarbeitet werden.

Neben den EU- und EWR-Ländern, in denen ein angemessenes Datenschutzniveau herrscht, gibt es eine Reihe von sicheren Drittstaaten. Dies sind Staaten für welche die europäische Kommission einen Angemessenheitsbeschluss gefasst hat. Nach Prüfung der Rechtslage kam man zu dem Ergebnis, dass die nationalen Gesetze zwar nicht dem Angemessenheitsbeschluss gleichen, aber einen mit der DSGVO vergleichbaren Schutz für personenbezogene Daten bieten. Sichere Drittstaaten, denen ein angemessenes Datenschutzniveau attestiert wird, sind Andorra, Argentinien, Färöer, Guernsey, Israel, Isle of Man, Jersey, Neuseeland, Schweiz, Uruguay und Japan. Mit Südkorea gibt es zurzeit einen weiteren Anwärter auf einen Angemessenheitsbeschluss.

Neben sicheren Drittstaaten gibt es auch Angemessenheitsbeschlüsse mit eingeschränktem Umfang. Das bekannteste Beispiel ist das Privacy-Shield-Abkommen mit der USA. Hier wird ein angemessenes Niveau im Datenschutz nur bei Unternehmen angenommen, die sich dem Reglungswerk des Privacy Shield unterworfen haben. Ein weiteres Beispiel ist Kanada. Auch dieses gilt nicht vollständig als sicherer Drittstaat. Vielmehr gilt die Adäquanzentscheidung nur für Datenverarbeitungen mit kommerziellen Charakter, da auch nur diese dem Personal Information Protection and Electronic Documents Act unterfallen. Personenbezogene Daten können in sichere Drittstaaten meistens genauso wie innerhalb Deutschlands oder den EU- oder EWR-Ländern aufgrund einer Rechtsgrundlage ohne weitere Vorkehrungen übermittelt werden. Problematisch im Bereich internationaler Datenschutz wird es aber bei der Übermittlung in sichere Drittstaaten, wenn eine Öffnungsklausel der DSGVO ins Spiel kommt. Diese erlauben es, den Mitgliedstaaten Datenverarbeitungen aufgrund nationaler Gesetze zu legitimieren. Nach Art. 6 Iit c) DSGVO können etwa Daten zur Erfüllung einer rechtlichen Verpflichtung verarbeitet werden. Diese können die Mitgliedstaaten gemäß Absatz 2 selbst erlassen, wie etwa die Pflicht aus § 147 AO, bestimmte Unterlagen für die Finanzbehörde einen gewissen Zeitraum aufzubewahren. Solche Gesetze gibt es auch in sicheren Drittstaaten. Da diese sich aber nicht auf die Öffnungsklausel aus Absatz 2 berufen können, kann die Datenverarbeitung nicht nach Art. 6 Iit c) DSGVO legitimiert werden.

Länder, die nicht Teil der EU oder des EWR sind und für die auch kein Angemessenheitsbeschluss der EU-Kommission besteht, sind als unsichere Drittstaaten einzustufen. Damit im internationalen Datenschutz eine Datenübertragung in diese Länder zulässig ist, muss für jeden einzelnen Datentransfer ein angemessenes Datenschutzniveau hergestellt werden. Dafür hat der Gesetzgeber für Unternehmen mehrere Werkzeuge vorgesehen. Das wohl meist genutzte Werkzeug im Bereich internationaler Datenschutz sind die Standard-Datenschutzklauseln. Soll das angemessene Datenschutzniveau durch die Verwendung eines EU-Standardvertrages sichergestellt werden, muss in einem ersten Schritt das richtige Klauselwerk / Klausel-Set ausgewählt werden. Die EU-Kommission stellt dafür drei verschiedene Werke zur Verfügung, wovon Set I und II die Übertragung von verantwortlicher Stelle zu verantwortlicher Stelle regeln. Das dritte Klauselwerk adressiert Datenübertragungen der verantwortlichen Stelle zu einem Auftragsverarbeiter. Bevor die Verträge ausgefüllt werden, muss zunächst entschieden werden, welches Verhältnis mit dem Datenimporteur im Drittland vorliegt.

Weitere Möglichkeiten im internationalen Datenschutz Daten in unsichere Drittstaaten zu übertragen sind für große Konzerne Binding Corporate Rules (Verbindliche interne Datenschutzvorschriften). Diese sind ein selbstauferlegtes und von den Datenschutzaufsichtsbehörden abgesegnetes Regelwerk beim Umgang mit personenbezogenen Daten, welche Datenübertragungen nur innerhalb der Konzernstruktur legitimieren. Für KMUs gibt es die Möglichkeit der Datenübertragung auf branchenspezifischen Regelungen oder durch genehmigte Zertifizierungsmechanismen. Kann ein angemessenes Datenschutzniveau nicht sichergestellt werden, ist eine Datenübertragung nicht grundsätzlich ausgeschlossen. Im Einzelfall kann diese etwa auf die Einwilligung des Betroffenen gestützt werden, zur Vertragserfüllung oder im Rahmen der Vertragsanbahnung sowie zur Vertragserfüllung mit einem Dritten geschehen. Wir bieten Ihnen rechtssichere Lösungen im Datenschutz und Klarheit für internationale Datentransfers. Dabei beleuchten und analysieren wir die individuellen Prozesse und die darauf zutreffenden gesetzlichen Bestimmungen.

Cloud Computing ist zu einem festen Bestandteil der IT-Infrastruktur vieler großer und kleiner deutscher Unternehmen geworden. Ob Infrastructure as a Service (IaaS), Plattform as a Service (PaaS) oder Software as a Service (SaaS): Heute lassen sich so einfach wie nie Server, Speicher, Datenbanken oder eine umfassende Palette von Anwendungsservices mit der notwendigen Hardware anmieten. Dabei kommen vor allem die großen Public-Cloud-Anbieter aus den USA, einem unsicheren Drittstaat. Meistens muss deswegen neben einem Auftragsverarbeitungsvertrag auch ein sicheres Niveau im Datenschutz beim Empfänger hergestellt werden. Dies geschieht wie im Beispiel USA entweder über das Privacy-Shield-Abkommen oder über Standard-Datenschutzklauseln.

Neben den vertraglichen Absicherungen müssen Unternehmen im internationalen Datenschutz auch angemessene technische und organisatorische Maßnahmen treffen, um die Datenübermittlung abzusichern. So kann es beispielsweise geboten sein, dass die übersendeten Daten nur verschlüsselt auf dem Server des Cloud-Anbieters gespeichert werden. Neben der Public Cloud gibt es auch eine Private Cloud, für welche die Vorgaben des internationalen Datenschutzes gelten, etwa, wenn die US-Muttergesellschaft eine zentrale Kundendatenbank inkl. Kundenmanagement-Software auf ihrem Server hostet und die EU-Tochterunternehmen auf die darin gespeicherten Kundendaten Zugriff haben. Da der gesetzliche Begriff der Verarbeitung weit auszulegen ist, handelt es sich auch beim Abruf von Daten wie in diesem Beispiel um eine Verarbeitung, welche dementsprechend abgesichert werden muss.

Kompetenz von mehr als 40 Beratern

Mehr als 40 Berater liefern passende Lösungen für Ihr Unternehmen. Lernen Sie hier einige ausgewählte Berater kennen.

Aufgelistet finden Sie Zertifikate und Mitgliedschaften der Unternehmensgruppe, die unseren hohen Anspruch belegen.

iapp Corporate Member

iapp Corporate Member

Durch die Firmenmitgliedschaft in der International Association of Privacy Professionals (IAPP) sind unsere Berater weltweit mit führenden Datenschutz- und IT-Sicherheitsexperten vernetzt. Als international anerkannter Standard signalisiert IAPP großes Vertrauen und gewinnt durch die neue DSGVO einen hohen Stellenwert.

Top-Berater

Top-Berater

intersoft consulting services hat die Auszeichnung „Top-Berater“ erhalten und ist somit ins Qualitätsregister für Berater von ServiceValue aufgenommen. Im Rahmen eines Prüfverfahrens von ServiceValue und dem Hamburger Consulting Club (HCC) wurden die Gebiete Company, Collaboration und Competence bewertet sowie das Testat mit herausragendem Prüfergebnis erstellt.

TÜV-Datenschutzbeauftragte

TÜV-Datenschutzbeauftragte

intersoft consulting services beschäftigt TÜV-geprüfte Datenschutzbeauftragte. Diese Auszeichnung wird von der TÜV NORD Akademie vergeben und bescheinigt die Fachkenntnisse im Sinne der Datenschutz-Grundverordnung (DSGVO).

Nach Verbandskriterien des BvD verpflichtet

Nach Verbandskriterien des BvD verpflichtet

intersoft consulting services ist mit ihren externen Datenschutzbeauftragten nach den Verbandskriterien „Fachkunde“ und „Zuverlässigkeit“ des Berufsverband der Datenschutzbeauftragten e.V. (BvD) verpflichtet. Die Kriterien gewährleisten ein hohes und konstantes Datenschutzniveau.

Hamburger Datenschutzgesellschaft e.V. (HDG)

Hamburger Datenschutzgesellschaft e.V. (HDG)

Die „Hamburger Gesellschaft zur Förderung des Datenschutzes e.V.“ wurde als Forum für den Datenschutz von Vertreterinnen und Vertreter aus Wirtschaft, Wissenschaft und Medien gegründet. Als Mitglied beim HDG wirken wir aktiv an der Weiterentwicklung von Datenschutzthemen mit.

Gesellschaft für Datenschutz und Datensicherheit e.V (GDD)

Gesellschaft für Datenschutz und Datensicherheit e.V (GDD)

intersoft consulting services ist Mitglied der Gesellschaft für Datenschutz und Datensicherheit e.V (GDD). Die GDD tritt für einen sinnvollen, vertretbaren und technisch realisierbaren Datenschutz ein.

ISO 9001 zertifiziert

ISO 9001 zertifiziert

Mit der Zertifizierung seines Qualitätsmanagements nach ISO 9001 dokumentiert die intersoft consulting services AG ihr Streben nach stetiger Verbesserung der Dienstleistungen, Prozesse und Kosteneffizienz, um die Zufriedenheit von Kunden und Mitarbeitern weiter zu erhöhen.
Zertifikat öffnen

ISO 27001 zertifiziert

ISO 27001 zertifiziert

Mit der Zertifizierung ihres Informationssicherheits-managementsystems (ISMS) nach ISO 27001 dokumentiert die intersoft consulting services AG ihre Fähigkeit, Vertraulichkeit, Integrität und Verfügbarkeit der ihr anvertrauten Informationen zu wahren. Die Kunden können damit auf eine angemessene Steuerung von Risiken vertrauen.
Zertifikat öffnen

  • Volljuristen (2 Staatsexamina), darunter promovierte Rechtsanwälte
  • Fachanwälte für IT‑Recht, gewerblichen Rechtsschutz, Urheber- und Medienrecht, Versicherungsrecht und Sozialrecht
  • Master of Laws in IT‑Recht, Medienrecht, Immaterialgüterrecht, Gewerblichen Rechtsschutz und Recht des geistigen Eigentums
  • Bachelor of Laws für Informationsrecht und Wirtschaftsrecht
  • TÜV‑zertifizierte Datenschutzbeauftragte und Datenschutzauditoren
  • IT‑Compliance-Manager (ISACA) und Compliance-Officer (TÜV)
  • Datenschutzbeauftragte nach Verbandkriterien verpflichtet (BvD)
  • BSI-zertifizierte Auditteamleiter für ISO 27001 auf der Basis von IT‑Grundschutz, De‑Mail‑Auditor und IS‑Revisor
  • Certified ISO/IEC 27001 Lead Auditor, ISO/IEC 27001 Implementer, ISO/IEC 27001 Practitioner
  • IT-Sicherheitsbeauftragte (TÜV)
  • Informatiker und Wirtschaftsinformatiker
  • Master of Engineering IT‑Sicherheit und Forensik
  • Cyber Security Practitioner (ISACA), IT Information Security Practitioner (ISACA)
  • GIAC Penetration Tester, GIAC Certified Forensic Examiner, GIAC Advanced Smartphone Forensics, GIAC Reverse Engineering Malware

Referenzen

Wir beraten deutschlandweit hunderte Unternehmen und sind daher in allen Branchen vertreten. Dies ist nur ein Auszug unserer Referenzen.

IQTIG Institut für Qualitätssicherung und Transparenz im Gesundheitswesen
Messe Berlin
Mann + Hummel
Porsche Consulting
GWH Wohnungsgesellschaft
Panasonic Electric Works Europe
Tourismusverband Hamburg
Gemeinsamer Bundesausschuss

Standorte

Standorte
Mit bundesweiten Niederlassungen sind wir auch in Ihrer Nähe vertreten.

Kontaktieren Sie uns

Hintergrundgrafik intersoft consulting services AG
Julia Reiter
Vertriebsleiterin
Gern beantworten wir Ihre Fragen oder erstellen Ihnen ein individuelles Angebot. Hier unverbindlich anfragen

PDF-Download