2. Dozent
Rechtsanwalt Michael Rohrlich
2
zugelassen als Rechtsanwalt
seit 03/2003
TÜV Süd zertifizierter
Datenschutzbeauftragter
(DSB-TÜV) seit 06/2012
HR Data Protection
Manager (Beck) seit 07/2021
Data Protection Risk
Manager (FOM) seit 10/2021
Vorstandsmitglied des
Webmasters Europe e.V. seit
09/2010
Mitglied im Expertenrat des
Webmasters Europe e.V. seit
03/2019
Fachautor seit 1997 /
Buchautor seit 2005
Dozent seit 1998
Video-Trainer bei LinkedIn
Learning / Microsoft (ehem.
video2brain) seit 07/2012
3. Inhalt / Übersicht
1. Einführung / Überblick
2.Datenübermittlung an Dritte
3. Datentransfer ins Ausland
3
4. Inhalt / Übersicht
1. Einführung / Überblick
2.Datenübermittlung an Dritte
3. Datentransfer ins Ausland
4
6. 1. Einführung / Überblick
Wann haben Daten Personenbezug?
„Informationen, die sich auf eine identifizierte oder
identifizierbare natürliche Person (im Folgenden ‚betroffene
Person‘) beziehen; als identifizierbar wird eine natürliche Person
angesehen, die direkt oder indirekt, insbesondere mittels
Zuordnung […] zu einem oder mehreren besonderen Merkmalen,
die Ausdruck der physischen, physiologischen, genetischen,
psychischen, wirtschaftlichen, kulturellen oder sozialen Identität
dieser natürlichen Person sind, identifiziert werden kann“
6
Art. 4 Nr. 1 DSGVO
9. 1. Einführung / Überblick
Wer ist für die korrekte Datenverarbeitung verantwortlich?
„die natürliche oder juristische Person, Behörde, Einrichtung oder
andere Stelle, die allein oder gemeinsam mit anderen über die
Zwecke und Mittel derVerarbeitung von personenbezogenen
Daten entscheidet; […]“
Verantwortlicher = Unternehmen, Behörde oderVerein,
unabhängig von Größe, Organisationsform, Mitarbeiteranzahl,
Umsatz… 9
Art. 4 Nr. 7 DSGVO
12. 1. Einführung / Überblick
Rechtmäßigkeitsgrundsatz
Verbot mit Erlaubnisvorbehalt
d.h. dieVerarbeitung personenbezogener Daten ist nur dann
erlaubt, wenn sie auf Basis einer Rechtsgrundlage erfolgt
12
Art. 5 Abs. 1 lit. a) DSGVO
14. 1. Einführung / Überblick
Rechtsgrundlage: Einwilligung
Voraussetzungen als hohe Hürde (vgl. Art. 4 Nr. 11 DSGVO)
„Pferdefuß“: Einwilligung jederzeit frei widerrufbar (Art. 7 Abs. 3
S. 1 DSGVO)
Information über Widerrufsrecht muss vor Erteilung der
Einwilligung erfolgen (Art. 7 Abs. 3 S. 3 DSGVO)
der Widerruf muss genauso einfach zu erklären sein wie die
Einwilligung selbst (Art. 7 Abs. 3 S. 4 DSGVO)
14
Art. 6 Abs. 1 S. 1 lit. a) DSGVO
21. 2. Datenübermittlung an Dritte
21
Auftrags-
verarbeitung
(AV)
getrennte
Verantwortung
Daten-
transfer
gemeinsame
Verantwortung
22. 2. Datenübermittlung an Dritte
Wer kann Auftragsverarbeiter sein?
„eine natürliche oder juristische Person, Behörde, Einrichtung oder
andere Stelle, die personenbezogene Daten im Auftrag des
Verantwortlichen verarbeitet“
Auftragsverarbeiter…
handelt auf Weisung desVerantwortlichen
kann ggf. über Mittel, aber nicht über Zwecke entscheiden
22
Art. 4 Nr. 8 DSGVO
23. 2. Datenübermittlung an Dritte
Beispiele Auftragsverarbeitung [1/2]
DV-technische Arbeiten für Lohn- und Gehaltsabrechnung
Outsourcing mittels Cloud-Computing
Werbeadressenverarbeitung in einem sog. Lettershop
Verarbeitung von Kundendaten durch Callcenter (ohne wesentliche eigene
Entscheidungsspielräume)
Auslagerung der E-Mail-Verwaltung oder von sonstigen Datendiensten zu
Webseiten (z.B. Betreuung von Kontaktformularen oder Nutzeranfragen)
Datenerfassung, Datenkonvertierung oder Einscannen von Dokumenten
Auslagerung der Backup-Sicherheitsspeicherung und anderer
Archivierungen
Datenträgerentsorgung durch Dienstleister
23
24. 2. Datenübermittlung an Dritte
BeispieleAuftragsverarbeitung [2/2]
Prüfung oder Wartung (z.B. Fernwartung, externer Support) automatisierter
Verfahren oder von EDV-Anlagen, wenn dabei ein Zugriff auf personenbezogene
Daten nicht ausgeschlossen werden kann
Zentralisierung bestimmter „Shared-Services-Dienstleistungen“ innerhalb eines
Konzerns, wie Dienstreisen-Planungen oder Reisekostenabrechnungen
Apothekenrechenzentren (§ 300 SGBV)
Ärztliche bzw. zahnärztliche Verrechnungsstellen (ohne Forderungsverkauf)
Sicherheitsdienste, die an der Pforte Besucher- und Anliefererdaten erheben
Externe Personen, Dienstleister usw., die im Auftrag Messwerte in Mietwohnungen
ablesen bzw. verarbeiten (Heizung, Strom,Wasser etc.)
Visabeschaffungsdienstleister, die hierfür vom Arbeitgeber die Beschäftigtendaten
erhalten 24
25. 2. Datenübermittlung an Dritte
AV-Vertrag
Pflichtinhalte gem. Art 28 Abs. 3 DSGVO
schriftlich abzufassen, was auch in einem elektr. Format
erfolgen kann (Art. 28 Abs. 9 DSGVO)
Verwendung eines eigenen AV-Vertrages oder der
EU-Standardvertragsklauseln (engl.: standard contractual
clauses, kurz: SCC)
aktualisierte SCC (Stand: 04. Juni 2021)
SCC auch für Datentransfers innerhalb der EU
25
26. 2. Datenübermittlung an Dritte
26
Standard-
datenschutzklauseln
Standard-
vertragsklauseln
(SCC)
Norm Art. 46Abs. 2 lit. c, d DSGVO Art. 28Abs. 7, 8
DSGVO
Zweck Datenübermittlung in
Drittland ohne
angemessenes
Datenschutzniveau
Datenübermittlung
innerhalb der EU;
einheitliche Regeln für
Verträge zwischen
Verantwortlichen und
Auftragsverarbeitern
Begrifflichkeit gem.
Beschl. der EU-
Kommission
verpflichtend?
27. 2. Datenübermittlung an Dritte
27
ab
04.06.2021
• Vereinbarung neuer SCC möglich
bis
26.09.2021
• Vereinbarung alter SCC zulässig
ab 27.12.2022
• alte SCC verlieren Gültigkeit
ab 01.01.2023
• neue SCC verpflichtend
28. 2. Datenübermittlung an Dritte
Wer kann gemeinsamVerantwortlicher* sein?
„die natürliche oder juristische Person, Behörde, Einrichtung oder
andere Stelle, die allein oder gemeinsam mit anderen über die
Zwecke und Mittel derVerarbeitung von personenbezogenen
Daten entscheidet; […]“
* engl.:Joint Controllership (JC)
28
Art. 4 Nr. 7 DSGVO
29. 2. Datenübermittlung an Dritte
Beispiele gemeinsameVerantwortlichkeit
gemeinsameVerwaltung bestimmter Datenkategorien (z.B.Adressdaten) für bestimmte
gleichlaufende Geschäftsprozesse mehrerer Konzernunternehmen
gemeinsame Errichtung einer IT-Infrastruktur, auf der mehrere Beteiligte ihre jeweils
individuellen Zwecke verfolgen (z.B. gemeinsames Betreiben einer Online-Plattform für
Reisereservierungen durch ein Reisebüro, eine Hotelkette und eine Fluggesellschaft)
klinische Arzneimittelstudien, wenn mehrere Mitwirkende (z.B. Sponsor, Studienzentren
und Ärzte) jeweils inTeilbereichen Entscheidungen über dieVerarbeitung treffen
E-Government-Portal, bei dem mehrere Behörden Dokumente zum Abruf durch Bürger
bereitstellen
Personalvermittlungs-Dienstleister, der für einen Arbeitgeber Bewerber sichtet und
hierbei auch bei ihm eingegangene Bewerbungen einbezieht, die nicht gezielt auf Stellen
beim Arbeitgeber gerichtet sind
je nach Gestaltung ggf. auch ein gemeinsamer Informationspool bzw. eine Warndatei
mehrererVerantwortlicher (z.B. Banken) über säumige Schuldner 29
30. 2. Datenübermittlung an Dritte
JC-Vertrag
Pflichtinhalte gem. Art 26 Abs. 1 S. 2, 3, Abs. 2 DSGVO
keine Formvorgaben (ideal: schriftlich / elektr.)
wichtige Regelung: wer ist für welcheVerarbeitungen
verantwortlich?
„DieVereinbarung […] muss die jeweiligen tatsächlichen
Funktionen und Beziehungen der gemeinsamVerantwortlichen
gegenüber betroffenen Personen gebührend widerspiegeln.“
(Art. 26 Abs. 2 S. 1 DSGVO)
30
31. 2. Datenübermittlung an Dritte
Wer kann getrennter / eigenerVerantwortlicher sein?
„[…] die natürliche oder juristische Person, Behörde, Einrichtung
oder andere Stelle, die allein oder gemeinsam mit anderen über
die Zwecke und Mittel derVerarbeitung von personenbezogenen
Daten entscheidet; […]“
versch.Verantwortliche, d.h. kein gesonderter Datenschutz-
Vertrag erforderlich
31
Art. 4 Nr. 7 DSGVO
34. Inhalt / Übersicht
1. Einführung / Überblick
2.Datenübermittlung an Dritte
3. Datentransfer ins Ausland
34
35. 3. Datentransfer ins Ausland
Verarbeitung personenbezogener Daten -> Rechtsgrundlage
erforderlich
Übermittlung personenbezogener Daten an Dritte -> weitere
Legitimation nötig
Übermittlung personenbezogener Daten ins Ausland ->
zusätzlicheVoraussetzungen zu erfüllen
35
36. 3. Datentransfer ins Ausland
Datentransfer innerhalb EU / EWR
gleiches Datenschutzniveau aufgrund der Vollharmonisierung
durch die DSGVO
AV- / JC-Vertrag
AV-Verhältnis: aktuelle SCC für Datenübermittlung innerhalb
EU / EWR empfehlenswert (vgl. Art. 28 Abs. 7, 8 DSGVO)
36
37. 3. Datentransfer ins Ausland
Datentransfer in Drittstaat mit Angemessenheitsbeschluss
kein EU- / EWR-Mitglied
aber: nach Prüfung der EU-Kommission ein mit der EU
vergleichbares, angemessenes Datenschutzniveau bescheinigt
wird datenschutzrechtlich behandelt wie EU- / EWR-Mitglied
AV- / JC-Vertrag
AV-Verhältnis: aktuelle SCC für Datenübermittlung in
Drittstaat empfehlenswert (vgl. Art. 46 Abs. 2 lit. c, d DSGVO) 37
38. 3. Datentransfer ins Ausland
Drittstaaten mit Angemessenheitsbeschluss (Stand: 10/2021)
Andorra
Argentinien
Kanada
Färöer Inseln
Großbritannien (seit 1. Juli 2021)
Guernsey
Israel
Isle of Man
Japan
Jersey
Neuseeland
Schweiz
Uruguay
geplant: Republik Süd-Korea
nicht mehr mit dabei: USA (seit 16. Juli 2020)
38
39. 3. Datentransfer ins Ausland
Datentransfer in unsicheren Drittstaat [1/2]
kein EU- / EWR-Mitglied
kein Angemessenheitsbeschluss
z.B. China, Indien, Russland
spezieller Angemessenheitsbeschluss der USA in Form des sog.
EU-US-Privacy-Shield seit dem sog. „Schrems II“-Urteil des
EuGH vom 16.07.2020 (Az. C-311/18) unwirksam, d.h. auch die
USA sind inzwischen ein unsicherer Drittstaat
39
40. 3. Datentransfer ins Ausland
Datentransfer in unsicheren Drittstaat [2/2]
angemessenes Datenschutzniveau muss auf andere Weise
hergestellt werden
z.B. durch Verwendung der aktuellen SCC
aber: zusätzliche Maßnahmen erforderlich
40
41. 3. Datentransfer ins Ausland
41
SCC-Konstellationen
Verantwortlicher ->Verantwortlicher (C2C)
Bsp.: RA tritt Forderung an ausl. Inkassounternehmen ab
Verantwortlicher –> Auftragsverarbeiter (C2P)
Bsp.: RA nutzt ausl. E-Mail-Hoster
Auftragsverarbeiter –> (Unter-) Auftragsverarbeiter
(P2P)
Bsp.: Auftragsverarbeiter beauftragt ausl. Subunternehmer
Auftragsverarbeiter –>Verantwortlicher (P2C)
Bsp.: ausl. Unternehmen beauftragt EU-Auftragsverarbeiter
43. 3. Datentransfer ins Ausland
43
Modul Inhalt
Abschnitt I allg. Regelungen
Abschnitt II Pflichten derVertragsparteien, spez. Regelungen für
Transferkonstellation
Abschnitt III Auswirkungen lokaler Gesetze, Pflichten des
Datenimporteurs
Abschnitt IV Schlussbestimmungen (z.B. Kündigungsregeln,
anwendbares Recht)
Anhang I Details zuVertragsparteien, Daten, zust.
Aufsichtsbehörden, Übermittlungskonstellation
Anhang II Beschreibung derTOMs
Anhang III ggf. Angaben zu weiteren (Unter-) Auftragnehmern
44. 3. Datentransfer ins Ausland
Datenübermittlungs-Folgenabschätzung = Data Transfer
Impact Assessment oder kurz: (D)TIA
vgl. SCC Abschnitt III, Klausel 14: „Durchführung einer Prüfung
des Bestimmungsdrittlands auf Grundlage spezifischer
Umstände der Rechtsordnung des Drittlandes“
Datenexporteur muss sich davon überzeugen, dass
Datenimporteur seinen SCC-Pflichten nachkommen kann
und nicht durch lokale Gesetze daran gehindert wird
(vgl. z.B. CLOUDAct oder FISA in den USA)
44
45. 3. Datentransfer ins Ausland
insbesondere beiTIA zu berücksichtigen:
die Zwecke derVerarbeitung
Kategorien & Format der personenbezogenen Daten
Länge der Verarbeitungskette & Anzahl der beteiligten
Akteure
Übertragungskanäle & beabsichtigte Datenweiterleitungen
tatsächliche Umstände der Übermittlung, z.B. ob Daten im
Drittland gespeichert werden oder es lediglich zu Zugriffen
aus dem Drittland kommt
alle relevanten vertraglichen, technischen oder
organisatorischen Garantien & angewandte Maßnahmen
45
46. 3. Datentransfer ins Ausland
46
Prüfreihenfolge*
Know your transfers (Übersicht Datentransfers)
Prüfung Rechtsgrundlage (innerhalb EU/EWR?
Angemessenheitsbeschluss? SCC?)
Risikoabschätzung (TIA)
ggf. zusätzliche Maßnahmen (Anonymisierung,
Pseudonymisierung, Verschlüsselung…)
ggf. formale Schritte (z.B. Anpassung der SCC)
regelmäßige Prüfung (z.B. der ausl. Rechtslage)
* gem. EDSA „Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung vonÜbermittlungstools zur
Gewährleistung des unionsrechtlichenSchutzniveaus für personenbezogene Daten“
47. 3. Datentransfer ins Ausland
Bsp. zusätzlicher Maßnahmen*
vertraglich
organisatorisch
technisch
• Verschlüsselung
• Pseudonymisierung
• Anonymisierung
• …
* EDSA „Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des
unionsrechtlichen Schutzniveaus für personenbezogene Daten“
47