Setzen Sie in Ihrem Unternehmen externe Dienstleister ein, die ihren Sitz außerhalb der Europäischen Union haben? Verarbeiten diese Unternehmen personenbezogen Daten?
Problem: unsichere Drittländer
Die aktuellen datenschutzrechtlichen Anforderungen sind in diesem Bereich derzeit sehr umfangreich. Ein einfacher Vertrag zur Auftragsverarbeitung (AV-Vertrag), wie er beispielsweise mit Dienstleistern innerhalb der Europäischen Union geschlossen wird, reicht leider nicht aus. Erforderlich ist eine genaue Prüfung der Art. 44 ff. DSGVO.
Angemessenheitsbeschluss
Besteht für das Land, in dem der Dienstleister seinen Sitz hat, ein Angemessenheitsbeschluss der Europäischen Kommission (Art. 45 DSGVO), ist die Sache relativ einfach. Die Liste der Länder, für die ein Angemessenheitsbeschluss veröffentlicht wurde, ist abrufbar unter: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_de. Darunter fallen beispielsweise:
- Kanada (Teile davon)
- Schweiz
- Großbritannien
Standardvertragsklauseln (Standard Contractual Clauses — SCC)
In den überwiegenden Fällen müssen Sie mit Ihrem Dienstleister die sog. EU-Standardvertragsklauseln vereinbaren. Eine einfache Unterzeichnung eines vorgefertigten Mustervertrags reicht allerdings leider nicht aus. Klausel 14 des Mustervertrags sieht vor, dass die Parteien ein sog. „Transfer Impact Assessment“ (TIA) durchführen und dies zu einem positiven Ergebnis kommt. Die groben Rahmenbedingungen sind zwar in Klausel 14 aufgeführt, allerdings keine ausfüllbare Checkliste.
Transfer Impact Assessment (TIA) Muster
Unternehmen warten daher sehnlichst darauf, dass Datenschutzexperten Muster-Checklisten für die TIA Prüfung veröffentlichen. Bisher wurden u.a. diese Vorlagen veröffentlicht:
Allgemeine Muster
BfDI — Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Der BfDI hat ein Prüfschema Drittstaatentransfer im Stil eines Entscheidungsbaumes veröffentlicht.
GDD — Gesellschaft für Datenschutz und Datensicherheit e.V.
Der GDD hat eine Praxishilfe zu den datenschutzrechtlichen Anforderungen an internationale Datentransfers veröffentlicht. Diese besteht aus 22 DIN A 4 Seiten und liegt im pdf-Format als kostenfreier Download zur Verfügung:
OneTrust
OneTrust berät Unternehmen in den Bereichen Datenschutz, Sicherheit, Data Governance und Compliance und bietet auch Softwarelösungen für diese Bereiche an.
aepb — agencia espanola proteccion datos
Die spanische Aufsichtsbehörde für den Datenschutz veröffentlichte im Juni 2021 ein kostenfreies pdf zum Thema „Risk Management und Impact Assessment in the Processing of Personal Data. Gleichzeitig wurde eine Excelliste veröffentlich, um eine konkrete Prüfung sogleich strukturiert zu dokumentieren.
Rechtsanwalt Rosenthal
Der schweizer Rechtsanwalt veröffentlichte eine Excelliste, um die Prüfung strukturiert durchzuführen und zu dokumentieren. Darin befinden sich mittlerweile auch einige Beispiele von durchgeführten TIA-Prüfungen zur Veranschaulichung.
preeco | datenschutz und informationssicherheit
Der Softwarehersteller preeco integriert seit Neuestem in seine o.g. Software ein Modul, mit dem TIA-Prüfungen durchgeführt werden können. Die Software ist kostenpflichtig. Eine kostenfreie Demo ist verfügbar.
securiserv
Muster für spezielle Anwendungsbereiche
Adobe
Adobe Inc. veröffentlicht auf seinen Webseiten eine Information zur Nutzung ihrer Produkte. Stand des Dokuments ist unklar.
Amazon Web Service
Amazon Web Services, Inc. hat für den Einsatz von AWS im September 2021 eine Vorlage bereitgestellt.
Atlassian
Der Softwarehersteller Atlassian stellt für seine Anwender ein bereits vorausgefülltes Assessment öffentlich zur Verfügung.
Microsoft (Niederländische Regierung)
Ein Data Protection Impact Assessment speziell für den Einsatz von Microsoft Teams in Kombination mit OneDrive, Sharepoint Online und Azure Active Directory veröffentlichte die niederländische Regierung zum Download.
Bild von StockSnap auf Pixabay