Contact
QR code for the current URL

Story Box-ID: 1096482

DataSolution LUD GmbH Isarstrasse 13 14974 Ludwigsfelde, Germany https://www.datenschutzberater365.de/
Contact Mr Andreas Thurmann +49 3378 202513
Company logo of DataSolution LUD GmbH
DataSolution LUD GmbH

Datenschutzrechtliche Prüfungen bei Nutzung von Dienstleistern aus Drittländern werden für jedes Unternehmen zur Pflicht

Was beim TIA (Transfer Impact Assessment) beachtet werden muss

(PresseBox) (Ludwigsfelde, )
Am 04.06.2021 wurden die neuen Standardvertragsklauseln (SCC) für den Datentransfer von personenbezogenen Daten in Drittländer ohne Angemessenheitsbeschluss verabschiedet. Diese sind seit dem 27.09.2021 bei neuen Verträgen anzuwenden. Bereits bestehende Verträge müssen bis Ende 2022 auf die neuen SCC umgestellt werden.

Bereits mit den bisherigen Standardvertragsklauseln bestand die Pflicht, dass Datenschutzniveau im Zielland zu prüfen und ggf. ergänzende Maßnahmen zu ergreifen. Dabei spielen vor allem Zugriffsbefugnisse seitens staatlicher Behörden eine Rolle. Mit den neuen SCC wurde die Bewertung in der Klausel 14 nun zur Pflicht. D.h. die Vertragsparteien müssen bewerten, inwieweit staatliche Behörden Zugriffsmöglichkeiten auf Daten von EU-Bürgern haben und wie der Datenimporteur diese vermeiden bzw. abwehren kann.

Bei der Bewertung der Rechtslage im Drittland ist der Datenexporteur auf die Unterstützung des Datenimporteurs angewiesen, denn nur dieser kann beurteilen, ob und wie Zugriffe staatlicher Behörden möglich und durchsetzbar sind. Wie in Klausel 14 beschrieben, sollen beide Vertragsparteien daran mitwirken.

Viele Systemanbieter haben auf die neuen Vorgaben bereits reagiert und stellen weitreichende Informationen zur Verfügung. Bei anderen Dienstleistern ist es mittels Anfragen erforderlich, die notwendigen Informationen einzuholen. Ein Fragebogen kann dabei eine erste Hilfestellung sein. Ein Beispiel für US-Dienstleister finden Sie hier.

TIA Schritt für Schritt

Neben der rechtlichen Bewertung bzgl. des Datenzugriffs ist eine Risikoabschätzung der Datenverarbeitung hilfreich, um einzuschätzen, ob ein Datentransfer möglich ist. Dazu ist zunächst herauszufinden, bei welchen Datenverarbeitungen ein Datentransfer in ein Drittland, z.B. bei Verwendung eines Dienstleisters stattfindet. Wann ein Drittlandstransfer erfolgt, wurde erst kürzlich in den Guidelines 05/2021 des European Data Protection Bord (EDPB) näher beleuchtet.

Datentransfer

Einmal mehr ist das Verzeichnis für Verarbeitungstätigkeiten als Grundlage heranzuziehen. Mit Hilfe der Verfahrensbeschreibung kann genau bestimmt werden, welche Empfänger beteiligt sind und wann ein Drittlandstransfer stattfindet. In den Verfahren sind die Kategorien der Datenarten, die betroffenen Personen und weitere Risikofaktoren bereits beschrieben und können so gleich berücksichtigt werden.

Datenimporteur bzw. Dienstleister

Informationen zum Dienstleister sind zu ermitteln. In welchem Land hat dieser seinen (Haupt)Sitz, wo werden die Daten verarbeitet und welche Dienstleistung wird durchgeführt bzw. in Anspruch genommen.

Gesetzgebung im Drittland und Auswirkung auf den Datentransfer

Es erfolgt in diesem Schritt die Ausarbeitung der Gesetzgebung. Wie bereits beschrieben, ist dazu die Zusammenarbeit mit dem Datenimporteur erforderlich, um die nationalspezifischen Aspekte zu beleuchten. In diesem Zusammenhang ist ebenfalls zu ermitteln, ob es bereits Anfragen staatlicher Behörden gab und wie seitens des Anbieters mit diesen umgegangen wird. Es ist für das TIA von Vorteil, wenn der Datenimporteur einen Transparenzbericht bereitstellen kann.

Maßnahmen

Es ist zu prüfen, welche vertraglichen Maßnahmen getroffen wurden, um die Rechte der Betroffenen zu schützen. Welche technischen sowie organisatorischen Maßnahmen (TOM) sind erforderlich bzw. bereits vorhanden? Das sind zum einen die Maßnahmen, die vom Anbieter bereitgestellt werden sowie auch eigene vom Unternehmen getroffene Sicherheitsmaßnahmen. Es ist für das TIA von Vorteil, wenn der Datenimporteur ein Datenschutz- und Datensicherheitskonzept bereitstellen kann.

Beurteilung

Nach der ausführlichen Beschreibung der vorhergehenden Schritte ist im letzten Schritt eine Bewertung vorzunehmen, ob ein Datentransfer unter den gegebenen Umständen möglich ist. Evtl. sind weitere zusätzliche Sicherheitsmaßnahmen zu ergreifen. Zu prüfen ist auch, ob es adäquate Alternativen zu den verwendeten Dienstleistern gibt und ob diese verwendet werden können.

Die Beurteilung des Datentransfers ergibt sich letztendlich aus dem TIA und der Risikoabschätzung in Bezug zur Datenverarbeitung, also zum Verfahren.

Dokumentation

Um die Vorgaben aus den neuen SCC und der Klausel 14 zu erfüllen ist es sinnvoll, dass TIA und die weitere Risikoabschätzung pro Verfahren zu dokumentieren.

In unserem Datenschutz-Management-System (DSMS) haben wir seit kurzem eine Möglichkeit integriert, das TIA und eine Risikobewertung systemgestützt durchzuführen. Das TIA wird beim jeweiligen Anbieter bzw. Dienstleister hinterlegt, die Risikoabschätzung und die Dokumentation der zusätzlichen Maßnahmen erfolgen in den einzelnen Verfahren. Mittels einer automatischen Berechnung aller Faktoren ergibt sich ein Risikolevel, welches für die Beurteilung nützlich ist. Durch das Zusammenwirken der einzelnen Funktionen im DSMS und sinnvolle Verknüpfungen sparen Sie Zeit und müssen nicht alle Einzelheiten neu eingeben. Bei Interesse an einer Demonstration des ZDMS in Zusammenhang mit dem TIA können Sie sich gern an uns wenden. Vereinbaren Sie doch gleich einen online Termin hier.

DataSolution LUD GmbH

Die DataSolution LUD GmbH entwickelte sich aus einem kleinen Beratungsunternehmen, welches 2006 gegründet wurde. Schwerpunktbranchen der Beratungstätigkeit sind die Hotellerie, Bildungsträger, Sozialdienste und Startups, aber auch Arztpraxen und Apotheken.

Neben der eigentlichen Beratungstätigkeit wurden aus der Praxis heraus eigene Tools entwickelt, welche die tägliche Arbeit eines Datenschutzbeauftragten unterstützen. So wurde zuletzt ein eigenes Datenschutz-Management-System (DSMS) entwickelt, um die zahlreichen Excel- und Word Dateien zu ersetzen und ein Dokumentationssystem im Sinne der EU Datenschutz-Grundverordnung (DSGVO) einzusetzen.

Datenschutz soll aber auch für kleinere Unternehmen, die nicht zwingend einen Datenschutzbeauftragten benötigen, praktikabel sein. Die Anforderungen der DSGVO gelten für alle Unternehmen! Aus diesem Grund hat die DataSolution LUD GmbH in 2021 Produktpakete zusammengestellt, die zunächst der Hotellerie und Arztpraxen angeboten werden. Hier wurden die eigenen Tools zusammengefasst und um branchenspezifische Vorlagen ergänzt. Die DataSolution LUD GmbH arbeitet zudem eng mit einem Startup aus Hamburg im Bereich der Webseitenanalyse und Consent Manager Plattform zusammen, welches das Paket abrundet.

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.
Important note:

Systematic data storage as well as the use of even parts of this database are only permitted with the written consent of unn | UNITED NEWS NETWORK GmbH.

unn | UNITED NEWS NETWORK GmbH 2002–2024, All rights reserved

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.