SlideShare ist ein Scribd-Unternehmen logo

Sichere Datenübermittlung ins Ausland

M
Michael Rohrlich

Webinar "Zur sicheren Datenübermittlung ins Ausland - Praxistipps für die Anwaltschaft" für den ZAP Verlag vom 17.11.2021

Recht
1 von 48
„Zur sicheren Datenübermittlung ins Ausland - Praxistipps für die Anwaltschaft “ Webinar des ZAPVerlages am 17.11.2020, 15.30 – 17.00 Uhr
Dozent Rechtsanwalt Michael Rohrlich 2 zugelassen als Rechtsanwalt seit 03/2003 TÜV Süd zertifizierter Datenschutzbeauftragter (DSB-TÜV) seit 06/2012 HR Data Protection Manager (Beck) seit 07/2021 Data Protection Risk Manager (FOM) seit 10/2021 Vorstandsmitglied des Webmasters Europe e.V. seit 09/2010 Mitglied im Expertenrat des Webmasters Europe e.V. seit 03/2019 Fachautor seit 1997 / Buchautor seit 2005 Dozent seit 1998 Video-Trainer bei LinkedIn Learning / Microsoft (ehem. video2brain) seit 07/2012
Inhalt / Übersicht 1. Einführung / Überblick 2.Datenübermittlung an Dritte 3. Datentransfer ins Ausland 3
Inhalt / Übersicht 1. Einführung / Überblick 2.Datenübermittlung an Dritte 3. Datentransfer ins Ausland 4
1. Einführung / Überblick 5 Datenschutzrecht (DSGVO, BDSG…) Berufsrecht (BORA, BRAO) Geschäftsgeheimnisse (z.B. GeschGehG) Datenverarbeitung im Mandatsverhältnis
1. Einführung / Überblick  Wann haben Daten Personenbezug?  „Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden ‚betroffene Person‘) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung […] zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann“ 6 Art. 4 Nr. 1 DSGVO
1. Einführung / Überblick 7 • Name • Anschrift • … persönliche Daten • Bankverbindung • Überweisung • … Finanzdaten • Größe • Gewicht • Haarfarbe • … allg. äußerliche Merkmale • Fingerabdruck • DNA-Probe • … biometrische Daten • erkennbar abgebildete Personen Fotos /Videos • AU- Bescheinigung • Diagnose • … Gesundheitsdaten • AC – XY 1234 Kfz-Kennzeichen • dynamisch & statisch IP-Adressen Beispiele personenbezogener Daten:
1. Einführung / Überblick 8 besondere Kategorien personenbezogener Daten rassische / ethnische Herkunft politische Meinungen religiöse / weltanschauliche Überzeugungen Gewerkschaftszugehörigkeit genetische & biometrische Daten allg. Gesundheitsdaten Daten über Sexualleben / sexuelle Orientierung Art. 9 Abs. 1 DSGVO
1. Einführung / Überblick  Wer ist für die korrekte Datenverarbeitung verantwortlich?  „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel derVerarbeitung von personenbezogenen Daten entscheidet; […]“  Verantwortlicher = Unternehmen, Behörde oderVerein, unabhängig von Größe, Organisationsform, Mitarbeiteranzahl, Umsatz… 9 Art. 4 Nr. 7 DSGVO
1. Einführung / Überblick 10 Art. 4 Nr. 2 DSGVO Daten- verarbeitung Erheben, Erfassen Auslesen, Abfragen Verändern, Anpassen, Einschränken Speichern Löschen, Vernichten Ordnen, Organisieren Abgleichen, Verknüpfen Offenlegen durch Übermittlung, Verbreitung, Bereitstellung
1. Einführung / Überblick 11 Art. 5 Abs. 1 DSGVO Datenschutz-Grundsätze Rechtmäßigkeit Transparenz Treu und Glauben Zweckbindung Datenminimierung Richtigkeit Speicherbegrenzung Integrität & Vertraulichkeit
1. Einführung / Überblick  Rechtmäßigkeitsgrundsatz  Verbot mit Erlaubnisvorbehalt  d.h. dieVerarbeitung personenbezogener Daten ist nur dann erlaubt, wenn sie auf Basis einer Rechtsgrundlage erfolgt 12 Art. 5 Abs. 1 lit. a) DSGVO
1. Einführung / Überblick 13 Art. 6 Abs. 1 DSGVO zulässige Verarbeitung personenbezogener Daten Einwilligung anderer gesetzl. Ausnahmetatbestand überwiegende berechtigte Interessen
1. Einführung / Überblick Rechtsgrundlage: Einwilligung  Voraussetzungen als hohe Hürde (vgl. Art. 4 Nr. 11 DSGVO)  „Pferdefuß“: Einwilligung jederzeit frei widerrufbar (Art. 7 Abs. 3 S. 1 DSGVO)  Information über Widerrufsrecht muss vor Erteilung der Einwilligung erfolgen (Art. 7 Abs. 3 S. 3 DSGVO)  der Widerruf muss genauso einfach zu erklären sein wie die Einwilligung selbst (Art. 7 Abs. 3 S. 4 DSGVO) 14 Art. 6 Abs. 1 S. 1 lit. a) DSGVO
1. Einführung / Überblick 15 vorab freiwillig zweckgebunden informiert unmissverständlich aktive Handlung = EINWILLIGUNG
1. Einführung / Überblick Rechtsgrundlage: berechtigte Interessen  mehrstufige Prüfung der Voraussetzungen  (legitimes) Interesse desVerantwortlichen?  erforderlich zurWahrung der Interessen desVerantwortlichen?  keine überwiegenden Interessen des Betroffenen?  ggf. Widerspruchsrecht (vgl. Art. 21 Abs. 1 DSGVO)  Interessenabwägung muss begründet & dokumentiert werden  „Pferdefuß“: u.U. kommt Aufsichtsbehörde bzw. Gericht zu anderem Ergebnis der Interessenabwägung 16 Art. 6 Abs. 1 S. 1 lit. f) DSGVO
1. Einführung / Überblick 17 Art. 6 Abs. 1 lit. b) – e) DSGVO, § 26 BDSG andere Rechtsgrundlagen Vertragserfüllung / vorvertr. Maßnahmen Erfüllung rechtl.Verpflichtung lebenswichtige Interessen Wahrnehmung öffentlicher Aufgabe / Ausübung öffentlicher Gewalt Beschäftigtendaten (§ 26 BDSG)
Inhalt / Übersicht 1. Einführung / Überblick 2.Datenübermittlung an Dritte 3. Datentransfer ins Ausland 18
2. Datenübermittlung an Dritte  Verarbeitung personenbezogener Daten -> Rechtsgrundlage erforderlich  Übermittlung personenbezogener Daten an Dritte -> weitere Legitimation nötig 19
2. Datenübermittlung an Dritte  Beispiele Datenübermittlung  Steuerberater  IT-Dienstleister  Nutzung Cloud-Dienst  Web- / E-Mail-Hoster  Analyse-Tools (Google Analytics, Matomo, Etracker, Facebook Pixel…)  Hausbank  Versanddienstleister (Dt. Post, DPD, Hermes, UPS…)  Daten(träger)entsorgungsanbieter (Reisswolf…) 20
2. Datenübermittlung an Dritte 21 Auftrags- verarbeitung (AV) getrennte Verantwortung Daten- transfer gemeinsame Verantwortung
2. Datenübermittlung an Dritte  Wer kann Auftragsverarbeiter sein?  „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“  Auftragsverarbeiter…  handelt auf Weisung desVerantwortlichen  kann ggf. über Mittel, aber nicht über Zwecke entscheiden 22 Art. 4 Nr. 8 DSGVO
2. Datenübermittlung an Dritte  Beispiele Auftragsverarbeitung [1/2]  DV-technische Arbeiten für Lohn- und Gehaltsabrechnung  Outsourcing mittels Cloud-Computing  Werbeadressenverarbeitung in einem sog. Lettershop  Verarbeitung von Kundendaten durch Callcenter (ohne wesentliche eigene Entscheidungsspielräume)  Auslagerung der E-Mail-Verwaltung oder von sonstigen Datendiensten zu Webseiten (z.B. Betreuung von Kontaktformularen oder Nutzeranfragen)  Datenerfassung, Datenkonvertierung oder Einscannen von Dokumenten  Auslagerung der Backup-Sicherheitsspeicherung und anderer Archivierungen  Datenträgerentsorgung durch Dienstleister 23
2. Datenübermittlung an Dritte  BeispieleAuftragsverarbeitung [2/2]  Prüfung oder Wartung (z.B. Fernwartung, externer Support) automatisierter Verfahren oder von EDV-Anlagen, wenn dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann  Zentralisierung bestimmter „Shared-Services-Dienstleistungen“ innerhalb eines Konzerns, wie Dienstreisen-Planungen oder Reisekostenabrechnungen  Apothekenrechenzentren (§ 300 SGBV)  Ärztliche bzw. zahnärztliche Verrechnungsstellen (ohne Forderungsverkauf)  Sicherheitsdienste, die an der Pforte Besucher- und Anliefererdaten erheben  Externe Personen, Dienstleister usw., die im Auftrag Messwerte in Mietwohnungen ablesen bzw. verarbeiten (Heizung, Strom,Wasser etc.)  Visabeschaffungsdienstleister, die hierfür vom Arbeitgeber die Beschäftigtendaten erhalten 24
2. Datenübermittlung an Dritte  AV-Vertrag  Pflichtinhalte gem. Art 28 Abs. 3 DSGVO  schriftlich abzufassen, was auch in einem elektr. Format erfolgen kann (Art. 28 Abs. 9 DSGVO)  Verwendung eines eigenen AV-Vertrages oder der EU-Standardvertragsklauseln (engl.: standard contractual clauses, kurz: SCC)  aktualisierte SCC (Stand: 04. Juni 2021)  SCC auch für Datentransfers innerhalb der EU 25
2. Datenübermittlung an Dritte 26 Standard- datenschutzklauseln Standard- vertragsklauseln (SCC) Norm Art. 46Abs. 2 lit. c, d DSGVO Art. 28Abs. 7, 8 DSGVO Zweck Datenübermittlung in Drittland ohne angemessenes Datenschutzniveau Datenübermittlung innerhalb der EU; einheitliche Regeln für Verträge zwischen Verantwortlichen und Auftragsverarbeitern Begrifflichkeit gem. Beschl. der EU- Kommission   verpflichtend?  
2. Datenübermittlung an Dritte 27 ab 04.06.2021 • Vereinbarung neuer SCC möglich bis 26.09.2021 • Vereinbarung alter SCC zulässig ab 27.12.2022 • alte SCC verlieren Gültigkeit ab 01.01.2023 • neue SCC verpflichtend
2. Datenübermittlung an Dritte  Wer kann gemeinsamVerantwortlicher* sein?  „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel derVerarbeitung von personenbezogenen Daten entscheidet; […]“ * engl.:Joint Controllership (JC) 28 Art. 4 Nr. 7 DSGVO
2. Datenübermittlung an Dritte  Beispiele gemeinsameVerantwortlichkeit  gemeinsameVerwaltung bestimmter Datenkategorien (z.B.Adressdaten) für bestimmte gleichlaufende Geschäftsprozesse mehrerer Konzernunternehmen  gemeinsame Errichtung einer IT-Infrastruktur, auf der mehrere Beteiligte ihre jeweils individuellen Zwecke verfolgen (z.B. gemeinsames Betreiben einer Online-Plattform für Reisereservierungen durch ein Reisebüro, eine Hotelkette und eine Fluggesellschaft)  klinische Arzneimittelstudien, wenn mehrere Mitwirkende (z.B. Sponsor, Studienzentren und Ärzte) jeweils inTeilbereichen Entscheidungen über dieVerarbeitung treffen  E-Government-Portal, bei dem mehrere Behörden Dokumente zum Abruf durch Bürger bereitstellen  Personalvermittlungs-Dienstleister, der für einen Arbeitgeber Bewerber sichtet und hierbei auch bei ihm eingegangene Bewerbungen einbezieht, die nicht gezielt auf Stellen beim Arbeitgeber gerichtet sind  je nach Gestaltung ggf. auch ein gemeinsamer Informationspool bzw. eine Warndatei mehrererVerantwortlicher (z.B. Banken) über säumige Schuldner 29
2. Datenübermittlung an Dritte  JC-Vertrag  Pflichtinhalte gem. Art 26 Abs. 1 S. 2, 3, Abs. 2 DSGVO  keine Formvorgaben (ideal: schriftlich / elektr.)  wichtige Regelung: wer ist für welcheVerarbeitungen verantwortlich?  „DieVereinbarung […] muss die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsamVerantwortlichen gegenüber betroffenen Personen gebührend widerspiegeln.“ (Art. 26 Abs. 2 S. 1 DSGVO) 30
2. Datenübermittlung an Dritte  Wer kann getrennter / eigenerVerantwortlicher sein?  „[…] die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel derVerarbeitung von personenbezogenen Daten entscheidet; […]“  versch.Verantwortliche, d.h. kein gesonderter Datenschutz- Vertrag erforderlich 31 Art. 4 Nr. 7 DSGVO
2. Datenübermittlung an Dritte  Beispiele getrennteVerantwortlichkeit  Versanddienstleister (Dt. Post etc.)  Kreditinstitute  Steuerberater (vgl. § 11 Abs. 2 S. 2 StBerG)  Angehörige freier Berufe (Anwälte, Ärzte…) 32
2. Datenübermittlung an Dritte 33 Vertragspartner Einordnung Vertrag vorhanden? Steuerberater XYZ getr.Verantwortung - IT-DienstleisterZYX AV-Verhältnis  Facebook (Fanpage) JC-Verhältnis  Web-Hoster ABC AV-Verhältnis  … … … Praxistipp: Übersicht mit Dienstleistern / Auftragnehmern anlegen
Inhalt / Übersicht 1. Einführung / Überblick 2.Datenübermittlung an Dritte 3. Datentransfer ins Ausland 34
3. Datentransfer ins Ausland  Verarbeitung personenbezogener Daten -> Rechtsgrundlage erforderlich  Übermittlung personenbezogener Daten an Dritte -> weitere Legitimation nötig  Übermittlung personenbezogener Daten ins Ausland -> zusätzlicheVoraussetzungen zu erfüllen 35
3. Datentransfer ins Ausland  Datentransfer innerhalb EU / EWR  gleiches Datenschutzniveau aufgrund der Vollharmonisierung durch die DSGVO  AV- / JC-Vertrag  AV-Verhältnis: aktuelle SCC für Datenübermittlung innerhalb EU / EWR empfehlenswert (vgl. Art. 28 Abs. 7, 8 DSGVO) 36
3. Datentransfer ins Ausland  Datentransfer in Drittstaat mit Angemessenheitsbeschluss  kein EU- / EWR-Mitglied  aber: nach Prüfung der EU-Kommission ein mit der EU vergleichbares, angemessenes Datenschutzniveau bescheinigt  wird datenschutzrechtlich behandelt wie EU- / EWR-Mitglied  AV- / JC-Vertrag  AV-Verhältnis: aktuelle SCC für Datenübermittlung in Drittstaat empfehlenswert (vgl. Art. 46 Abs. 2 lit. c, d DSGVO) 37
3. Datentransfer ins Ausland  Drittstaaten mit Angemessenheitsbeschluss (Stand: 10/2021)  Andorra  Argentinien  Kanada  Färöer Inseln  Großbritannien (seit 1. Juli 2021)  Guernsey  Israel  Isle of Man  Japan  Jersey  Neuseeland  Schweiz  Uruguay  geplant: Republik Süd-Korea  nicht mehr mit dabei: USA (seit 16. Juli 2020) 38
3. Datentransfer ins Ausland  Datentransfer in unsicheren Drittstaat [1/2]  kein EU- / EWR-Mitglied  kein Angemessenheitsbeschluss  z.B. China, Indien, Russland  spezieller Angemessenheitsbeschluss der USA in Form des sog. EU-US-Privacy-Shield seit dem sog. „Schrems II“-Urteil des EuGH vom 16.07.2020 (Az. C-311/18) unwirksam, d.h. auch die USA sind inzwischen ein unsicherer Drittstaat 39
3. Datentransfer ins Ausland  Datentransfer in unsicheren Drittstaat [2/2]  angemessenes Datenschutzniveau muss auf andere Weise hergestellt werden  z.B. durch Verwendung der aktuellen SCC  aber: zusätzliche Maßnahmen erforderlich 40
3. Datentransfer ins Ausland 41 SCC-Konstellationen Verantwortlicher ->Verantwortlicher (C2C) Bsp.: RA tritt Forderung an ausl. Inkassounternehmen ab Verantwortlicher –> Auftragsverarbeiter (C2P) Bsp.: RA nutzt ausl. E-Mail-Hoster Auftragsverarbeiter –> (Unter-) Auftragsverarbeiter (P2P) Bsp.: Auftragsverarbeiter beauftragt ausl. Subunternehmer Auftragsverarbeiter –>Verantwortlicher (P2C) Bsp.: ausl. Unternehmen beauftragt EU-Auftragsverarbeiter
3. Datentransfer ins Ausland  Bsp. SCC-Generatoren  http://www.taylorwessing.com/de/online-services/scc-generator  http://www.essentialguarantees.com/scc/  https://shop.haerting.ch/scc-generator/  https://www.eco.de/services/scc-generator/  https://www.oppenhoff.eu/de/legaltech/scc-generator  https://www.fieldfisher.com/de- de/locations/germany/services/datenschutz/myscccreator  https://www.decidea.com/books/1324 42
3. Datentransfer ins Ausland 43 Modul Inhalt Abschnitt I allg. Regelungen Abschnitt II Pflichten derVertragsparteien, spez. Regelungen für Transferkonstellation Abschnitt III Auswirkungen lokaler Gesetze, Pflichten des Datenimporteurs Abschnitt IV Schlussbestimmungen (z.B. Kündigungsregeln, anwendbares Recht) Anhang I Details zuVertragsparteien, Daten, zust. Aufsichtsbehörden, Übermittlungskonstellation Anhang II Beschreibung derTOMs Anhang III ggf. Angaben zu weiteren (Unter-) Auftragnehmern
3. Datentransfer ins Ausland Datenübermittlungs-Folgenabschätzung = Data Transfer Impact Assessment oder kurz: (D)TIA vgl. SCC Abschnitt III, Klausel 14: „Durchführung einer Prüfung des Bestimmungsdrittlands auf Grundlage spezifischer Umstände der Rechtsordnung des Drittlandes“ Datenexporteur muss sich davon überzeugen, dass Datenimporteur seinen SCC-Pflichten nachkommen kann und nicht durch lokale Gesetze daran gehindert wird (vgl. z.B. CLOUDAct oder FISA in den USA) 44
3. Datentransfer ins Ausland insbesondere beiTIA zu berücksichtigen: die Zwecke derVerarbeitung Kategorien & Format der personenbezogenen Daten Länge der Verarbeitungskette & Anzahl der beteiligten Akteure Übertragungskanäle & beabsichtigte Datenweiterleitungen tatsächliche Umstände der Übermittlung, z.B. ob Daten im Drittland gespeichert werden oder es lediglich zu Zugriffen aus dem Drittland kommt alle relevanten vertraglichen, technischen oder organisatorischen Garantien & angewandte Maßnahmen 45
3. Datentransfer ins Ausland 46 Prüfreihenfolge* Know your transfers (Übersicht Datentransfers) Prüfung Rechtsgrundlage (innerhalb EU/EWR? Angemessenheitsbeschluss? SCC?) Risikoabschätzung (TIA) ggf. zusätzliche Maßnahmen (Anonymisierung, Pseudonymisierung, Verschlüsselung…) ggf. formale Schritte (z.B. Anpassung der SCC) regelmäßige Prüfung (z.B. der ausl. Rechtslage) * gem. EDSA „Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung vonÜbermittlungstools zur Gewährleistung des unionsrechtlichenSchutzniveaus für personenbezogene Daten“
3. Datentransfer ins Ausland  Bsp. zusätzlicher Maßnahmen*  vertraglich  organisatorisch  technisch • Verschlüsselung • Pseudonymisierung • Anonymisierung • … * EDSA „Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten“ 47
Rechtsanwalt Michael Rohrlich Heinestr. 9 52146Würselen Tel.: 02405 – 1408040 Fax: 02405 – 1408041 Mobil: 0177 – 5554462 E-Mail: info@ra-rohrlich.de WWW: ra-rohrlich.de Facebook: facebook.com/ra.rohrlich Twitter: twitter.com/MichaelRohrlich Xing: xing.com/profile/Michael_Rohrlich LinkedIn: linkedin.com/in/michael-rohrlich- 3577b3109 Internet: www.ra-rohrlich.de www.rechtssicher.info 48

Empfohlen

Datenschutz im Internet
Datenschutz im InternetDatenschutz im Internet
Datenschutz im InternetMichael Rohrlich
 
Die Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzDie Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzMichael Rohrlich
 
Begriffe und Grundsätze des Datenschutzrechts
Begriffe und Grundsätze des DatenschutzrechtsBegriffe und Grundsätze des Datenschutzrechts
Begriffe und Grundsätze des DatenschutzrechtsMichael Rohrlich
 
EU-Datenschutzgrundverordnung (DSGVO)
EU-Datenschutzgrundverordnung (DSGVO)EU-Datenschutzgrundverordnung (DSGVO)
EU-Datenschutzgrundverordnung (DSGVO)Michael Rohrlich
 
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma umDSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma umMichael Rohrlich
 
Lezione n. 11 - Trattamento dei dati personali: La tutela delle persone nel G...
Lezione n. 11 - Trattamento dei dati personali: La tutela delle persone nel G...Lezione n. 11 - Trattamento dei dati personali: La tutela delle persone nel G...
Lezione n. 11 - Trattamento dei dati personali: La tutela delle persone nel G...Simone Chiarelli
 
ENJ-300 Recurso de Casación - Seminario Fundamentación de los Recursos
ENJ-300 Recurso de Casación - Seminario Fundamentación de los RecursosENJ-300 Recurso de Casación - Seminario Fundamentación de los Recursos
ENJ-300 Recurso de Casación - Seminario Fundamentación de los RecursosENJ
 
Modelo laudo pericial de ação renovatória
Modelo laudo pericial de ação renovatóriaModelo laudo pericial de ação renovatória
Modelo laudo pericial de ação renovatóriaCelso Daví Rodrigues
 

Empfohlen

Datenschutz im Internet
Datenschutz im InternetDatenschutz im Internet
Datenschutz im InternetMichael Rohrlich
 
Die Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzDie Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzMichael Rohrlich
 
Begriffe und Grundsätze des Datenschutzrechts
Begriffe und Grundsätze des DatenschutzrechtsBegriffe und Grundsätze des Datenschutzrechts
Begriffe und Grundsätze des DatenschutzrechtsMichael Rohrlich
 
EU-Datenschutzgrundverordnung (DSGVO)
EU-Datenschutzgrundverordnung (DSGVO)EU-Datenschutzgrundverordnung (DSGVO)
EU-Datenschutzgrundverordnung (DSGVO)Michael Rohrlich
 
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma umDSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma umMichael Rohrlich
 
Lezione n. 11 - Trattamento dei dati personali: La tutela delle persone nel G...
Lezione n. 11 - Trattamento dei dati personali: La tutela delle persone nel G...Lezione n. 11 - Trattamento dei dati personali: La tutela delle persone nel G...
Lezione n. 11 - Trattamento dei dati personali: La tutela delle persone nel G...Simone Chiarelli
 
ENJ-300 Recurso de Casación - Seminario Fundamentación de los Recursos
ENJ-300 Recurso de Casación - Seminario Fundamentación de los RecursosENJ-300 Recurso de Casación - Seminario Fundamentación de los Recursos
ENJ-300 Recurso de Casación - Seminario Fundamentación de los RecursosENJ
 
Modelo laudo pericial de ação renovatória
Modelo laudo pericial de ação renovatóriaModelo laudo pericial de ação renovatória
Modelo laudo pericial de ação renovatóriaCelso Daví Rodrigues
 
Rodo bezpieczenstwo _dla_pracownikow
Rodo bezpieczenstwo _dla_pracownikowRodo bezpieczenstwo _dla_pracownikow
Rodo bezpieczenstwo _dla_pracownikowSzymon Konkol - Publikacje Cyfrowe
 
El régimen de los reglamentos en el ordenamiento jurídico peruano jorge danós...
El régimen de los reglamentos en el ordenamiento jurídico peruano jorge danós...El régimen de los reglamentos en el ordenamiento jurídico peruano jorge danós...
El régimen de los reglamentos en el ordenamiento jurídico peruano jorge danós...Juan Amado Cárdenas Huarcaya
 
Dlgs 33 2013
Dlgs 33 2013Dlgs 33 2013
Dlgs 33 2013Halley Veneto Srl
 
FALLO Romero feris (BOLILLA 4)
FALLO Romero feris (BOLILLA 4)FALLO Romero feris (BOLILLA 4)
FALLO Romero feris (BOLILLA 4)Dcho Constitucional Dra Grillo
 
Minjus - Guía práctica sobre la revisión de los actos administrativos en el o...
Minjus - Guía práctica sobre la revisión de los actos administrativos en el o...Minjus - Guía práctica sobre la revisión de los actos administrativos en el o...
Minjus - Guía práctica sobre la revisión de los actos administrativos en el o...Rooswelth Gerardo Zavaleta Benites
 
DA POSSIBILIDADE DA PROCURAÇÃO IN REM SUAM, OU "EM CAUSA PRÓPRIA" NO INVENTÁR...
DA POSSIBILIDADE DA PROCURAÇÃO IN REM SUAM, OU "EM CAUSA PRÓPRIA" NO INVENTÁR...DA POSSIBILIDADE DA PROCURAÇÃO IN REM SUAM, OU "EM CAUSA PRÓPRIA" NO INVENTÁR...
DA POSSIBILIDADE DA PROCURAÇÃO IN REM SUAM, OU "EM CAUSA PRÓPRIA" NO INVENTÁR...Ivanildo de Lima
 
La audiencia inicial
La audiencia inicialLa audiencia inicial
La audiencia inicialEscuela de Capacitación Judicial - Poder Judicial de San Juan - Argentina
 
GDPR e trattamento dei dati personali - 25 settembre 2018
GDPR e trattamento dei dati personali - 25 settembre 2018GDPR e trattamento dei dati personali - 25 settembre 2018
GDPR e trattamento dei dati personali - 25 settembre 2018Simone Chiarelli
 
AULA OAB XX ESTRATÉGIA DIREITO CONSTITUCIONAL 02
AULA OAB XX ESTRATÉGIA DIREITO CONSTITUCIONAL 02AULA OAB XX ESTRATÉGIA DIREITO CONSTITUCIONAL 02
AULA OAB XX ESTRATÉGIA DIREITO CONSTITUCIONAL 02Esdras Arthur Lopes Pessoa
 
Amparo Laboral
Amparo LaboralAmparo Laboral
Amparo LaboralMoisesc1975
 
Deliberacion y sentencia
Deliberacion y sentenciaDeliberacion y sentencia
Deliberacion y sentenciaBerenice cc
 
2012.1 semana 8 fato jurídico atualizado
2012.1 semana 8 fato jurídico atualizado2012.1 semana 8 fato jurídico atualizado
2012.1 semana 8 fato jurídico atualizadoNilo Tavares
 
Misure di prevenzione personali
Misure di prevenzione personaliMisure di prevenzione personali
Misure di prevenzione personaliFederico Fava
 
Social Media & Datenschutzrecht
Social Media & DatenschutzrechtSocial Media & Datenschutzrecht
Social Media & DatenschutzrechtMichael Rohrlich
 
ENJ-300 Pensión Alimentaría
ENJ-300 Pensión AlimentaríaENJ-300 Pensión Alimentaría
ENJ-300 Pensión AlimentaríaENJ
 
Marco Legal de la Alienación Parental
Marco Legal de la Alienación ParentalMarco Legal de la Alienación Parental
Marco Legal de la Alienación ParentalIgnacio González Sarrió
 
ENJ-400-Presentación Curso Vías de Ejecución. M-1.
ENJ-400-Presentación Curso Vías de Ejecución. M-1.ENJ-400-Presentación Curso Vías de Ejecución. M-1.
ENJ-400-Presentación Curso Vías de Ejecución. M-1.ENJ
 
Caderno de fluxogramas processo civil
Caderno de fluxogramas processo civilCaderno de fluxogramas processo civil
Caderno de fluxogramas processo civilEsdras Arthur Lopes Pessoa
 
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­kiTyö­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­kiHarto Pönkä
 
DPP II - Aula 01 - busca e apreensão
DPP II - Aula 01 - busca e apreensãoDPP II - Aula 01 - busca e apreensão
DPP II - Aula 01 - busca e apreensãodireitoturmamanha
 
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...Symposia 360°
 
Impressum & Datenschutzerklärung
Impressum & DatenschutzerklärungImpressum & Datenschutzerklärung
Impressum & DatenschutzerklärungMichael Rohrlich
 

Weitere ähnliche Inhalte

Was ist angesagt?

El régimen de los reglamentos en el ordenamiento jurídico peruano jorge danós...
El régimen de los reglamentos en el ordenamiento jurídico peruano jorge danós...El régimen de los reglamentos en el ordenamiento jurídico peruano jorge danós...
El régimen de los reglamentos en el ordenamiento jurídico peruano jorge danós...Juan Amado Cárdenas Huarcaya
 
Minjus - Guía práctica sobre la revisión de los actos administrativos en el o...
Minjus - Guía práctica sobre la revisión de los actos administrativos en el o...Minjus - Guía práctica sobre la revisión de los actos administrativos en el o...
Minjus - Guía práctica sobre la revisión de los actos administrativos en el o...Rooswelth Gerardo Zavaleta Benites
 
DA POSSIBILIDADE DA PROCURAÇÃO IN REM SUAM, OU "EM CAUSA PRÓPRIA" NO INVENTÁR...
DA POSSIBILIDADE DA PROCURAÇÃO IN REM SUAM, OU "EM CAUSA PRÓPRIA" NO INVENTÁR...DA POSSIBILIDADE DA PROCURAÇÃO IN REM SUAM, OU "EM CAUSA PRÓPRIA" NO INVENTÁR...
DA POSSIBILIDADE DA PROCURAÇÃO IN REM SUAM, OU "EM CAUSA PRÓPRIA" NO INVENTÁR...Ivanildo de Lima
 
GDPR e trattamento dei dati personali - 25 settembre 2018
GDPR e trattamento dei dati personali - 25 settembre 2018GDPR e trattamento dei dati personali - 25 settembre 2018
GDPR e trattamento dei dati personali - 25 settembre 2018Simone Chiarelli
 
AULA OAB XX ESTRATÉGIA DIREITO CONSTITUCIONAL 02
AULA OAB XX ESTRATÉGIA DIREITO CONSTITUCIONAL 02AULA OAB XX ESTRATÉGIA DIREITO CONSTITUCIONAL 02
AULA OAB XX ESTRATÉGIA DIREITO CONSTITUCIONAL 02Esdras Arthur Lopes Pessoa
 
Deliberacion y sentencia
Deliberacion y sentenciaDeliberacion y sentencia
Deliberacion y sentenciaBerenice cc
 
2012.1 semana 8 fato jurídico atualizado
2012.1 semana 8 fato jurídico atualizado2012.1 semana 8 fato jurídico atualizado
2012.1 semana 8 fato jurídico atualizadoNilo Tavares
 
Misure di prevenzione personali
Misure di prevenzione personaliMisure di prevenzione personali
Misure di prevenzione personaliFederico Fava
 
Social Media & Datenschutzrecht
Social Media & DatenschutzrechtSocial Media & Datenschutzrecht
Social Media & DatenschutzrechtMichael Rohrlich
 
ENJ-300 Pensión Alimentaría
ENJ-300 Pensión AlimentaríaENJ-300 Pensión Alimentaría
ENJ-300 Pensión AlimentaríaENJ
 
ENJ-400-Presentación Curso Vías de Ejecución. M-1.
ENJ-400-Presentación Curso Vías de Ejecución. M-1.ENJ-400-Presentación Curso Vías de Ejecución. M-1.
ENJ-400-Presentación Curso Vías de Ejecución. M-1.ENJ
 
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­kiTyö­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­kiHarto Pönkä
 
DPP II - Aula 01 - busca e apreensão
DPP II - Aula 01 - busca e apreensãoDPP II - Aula 01 - busca e apreensão
DPP II - Aula 01 - busca e apreensãodireitoturmamanha
 

Was ist angesagt? (20)

Rodo bezpieczenstwo _dla_pracownikow
Rodo bezpieczenstwo _dla_pracownikowRodo bezpieczenstwo _dla_pracownikow
Rodo bezpieczenstwo _dla_pracownikow
 
El régimen de los reglamentos en el ordenamiento jurídico peruano jorge danós...
El régimen de los reglamentos en el ordenamiento jurídico peruano jorge danós...El régimen de los reglamentos en el ordenamiento jurídico peruano jorge danós...
El régimen de los reglamentos en el ordenamiento jurídico peruano jorge danós...
 
Dlgs 33 2013
Dlgs 33 2013Dlgs 33 2013
Dlgs 33 2013
 
FALLO Romero feris (BOLILLA 4)
FALLO Romero feris (BOLILLA 4)FALLO Romero feris (BOLILLA 4)
FALLO Romero feris (BOLILLA 4)
 
Minjus - Guía práctica sobre la revisión de los actos administrativos en el o...
Minjus - Guía práctica sobre la revisión de los actos administrativos en el o...Minjus - Guía práctica sobre la revisión de los actos administrativos en el o...
Minjus - Guía práctica sobre la revisión de los actos administrativos en el o...
 
DA POSSIBILIDADE DA PROCURAÇÃO IN REM SUAM, OU "EM CAUSA PRÓPRIA" NO INVENTÁR...
DA POSSIBILIDADE DA PROCURAÇÃO IN REM SUAM, OU "EM CAUSA PRÓPRIA" NO INVENTÁR...DA POSSIBILIDADE DA PROCURAÇÃO IN REM SUAM, OU "EM CAUSA PRÓPRIA" NO INVENTÁR...
DA POSSIBILIDADE DA PROCURAÇÃO IN REM SUAM, OU "EM CAUSA PRÓPRIA" NO INVENTÁR...
 
La audiencia inicial
La audiencia inicialLa audiencia inicial
La audiencia inicial
 
GDPR e trattamento dei dati personali - 25 settembre 2018
GDPR e trattamento dei dati personali - 25 settembre 2018GDPR e trattamento dei dati personali - 25 settembre 2018
GDPR e trattamento dei dati personali - 25 settembre 2018
 
AULA OAB XX ESTRATÉGIA DIREITO CONSTITUCIONAL 02
AULA OAB XX ESTRATÉGIA DIREITO CONSTITUCIONAL 02AULA OAB XX ESTRATÉGIA DIREITO CONSTITUCIONAL 02
AULA OAB XX ESTRATÉGIA DIREITO CONSTITUCIONAL 02
 
Amparo Laboral
Amparo LaboralAmparo Laboral
Amparo Laboral
 
Deliberacion y sentencia
Deliberacion y sentenciaDeliberacion y sentencia
Deliberacion y sentencia
 
2012.1 semana 8 fato jurídico atualizado
2012.1 semana 8 fato jurídico atualizado2012.1 semana 8 fato jurídico atualizado
2012.1 semana 8 fato jurídico atualizado
 
Misure di prevenzione personali
Misure di prevenzione personaliMisure di prevenzione personali
Misure di prevenzione personali
 
Social Media & Datenschutzrecht
Social Media & DatenschutzrechtSocial Media & Datenschutzrecht
Social Media & Datenschutzrecht
 
ENJ-300 Pensión Alimentaría
ENJ-300 Pensión AlimentaríaENJ-300 Pensión Alimentaría
ENJ-300 Pensión Alimentaría
 
Marco Legal de la Alienación Parental
Marco Legal de la Alienación ParentalMarco Legal de la Alienación Parental
Marco Legal de la Alienación Parental
 
ENJ-400-Presentación Curso Vías de Ejecución. M-1.
ENJ-400-Presentación Curso Vías de Ejecución. M-1.ENJ-400-Presentación Curso Vías de Ejecución. M-1.
ENJ-400-Presentación Curso Vías de Ejecución. M-1.
 
Caderno de fluxogramas processo civil
Caderno de fluxogramas processo civilCaderno de fluxogramas processo civil
Caderno de fluxogramas processo civil
 
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­kiTyö­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki
Työ­e­lä­män tie­to­suo­ja ja tie­to­suo­ja­vas­taa­van työ­kalu­pak­ki
 
DPP II - Aula 01 - busca e apreensão
DPP II - Aula 01 - busca e apreensãoDPP II - Aula 01 - busca e apreensão
DPP II - Aula 01 - busca e apreensão
 

Ähnlich wie Sichere Datenübermittlung ins Ausland

SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...Symposia 360°
 
Impressum & Datenschutzerklärung
Impressum & DatenschutzerklärungImpressum & Datenschutzerklärung
Impressum & DatenschutzerklärungMichael Rohrlich
 
Datenschutz Update Juli 2021
Datenschutz Update Juli 2021Datenschutz Update Juli 2021
Datenschutz Update Juli 2021Michael Rohrlich
 
Microsoft Trusted Cloud - Security Privacy & Control, Compliance, Transparency
Microsoft Trusted Cloud - Security Privacy & Control, Compliance, TransparencyMicrosoft Trusted Cloud - Security Privacy & Control, Compliance, Transparency
Microsoft Trusted Cloud - Security Privacy & Control, Compliance, TransparencyMicrosoft Österreich
 
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“Raabe Verlag
 
Datenverarbeitung durch Dritte
Datenverarbeitung durch DritteDatenverarbeitung durch Dritte
Datenverarbeitung durch DritteMichael Rohrlich
 
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...Symposia 360°
 
Dokumentationspflichten im Datenschutzrecht
Dokumentationspflichten im DatenschutzrechtDokumentationspflichten im Datenschutzrecht
Dokumentationspflichten im DatenschutzrechtMichael Rohrlich
 
Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...
Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...
Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...CloudCamp Hamburg
 
Die zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von VerantwortlichenDie zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von VerantwortlichenMichael Rohrlich
 
Was tun bei einer Datenpanne? Das verlangt die DSGVO
Was tun bei einer Datenpanne? Das verlangt die DSGVOWas tun bei einer Datenpanne? Das verlangt die DSGVO
Was tun bei einer Datenpanne? Das verlangt die DSGVOMichael Rohrlich
 
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO)
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO) Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO)
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO) Inxmail GmbH
 
Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011
Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011
Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011Bernd Fuhlert
 
Datenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis LinzDatenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis LinzMichael Lanzinger
 
Datenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgen
Datenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgenDatenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgen
Datenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgenSascha Kremer
 
Datenschutz 2013 bernd_fuhlert
Datenschutz 2013 bernd_fuhlertDatenschutz 2013 bernd_fuhlert
Datenschutz 2013 bernd_fuhlertBernd Fuhlert
 

Ähnlich wie Sichere Datenübermittlung ins Ausland (20)

SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
 
Impressum & Datenschutzerklärung
Impressum & DatenschutzerklärungImpressum & Datenschutzerklärung
Impressum & Datenschutzerklärung
 
Datenschutz Update Juli 2021
Datenschutz Update Juli 2021Datenschutz Update Juli 2021
Datenschutz Update Juli 2021
 
Datenschutz im internet
Datenschutz im internetDatenschutz im internet
Datenschutz im internet
 
Microsoft Trusted Cloud - Security Privacy & Control, Compliance, Transparency
Microsoft Trusted Cloud - Security Privacy & Control, Compliance, TransparencyMicrosoft Trusted Cloud - Security Privacy & Control, Compliance, Transparency
Microsoft Trusted Cloud - Security Privacy & Control, Compliance, Transparency
 
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
 
Datenverarbeitung durch Dritte
Datenverarbeitung durch DritteDatenverarbeitung durch Dritte
Datenverarbeitung durch Dritte
 
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
 
Dokumentationspflichten im Datenschutzrecht
Dokumentationspflichten im DatenschutzrechtDokumentationspflichten im Datenschutzrecht
Dokumentationspflichten im Datenschutzrecht
 
1612011[1]
1612011[1]1612011[1]
1612011[1]
 
Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...
Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...
Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...
 
Grundlagen der DSGVO
Grundlagen der DSGVOGrundlagen der DSGVO
Grundlagen der DSGVO
 
Die zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von VerantwortlichenDie zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von Verantwortlichen
 
Was tun bei einer Datenpanne? Das verlangt die DSGVO
Was tun bei einer Datenpanne? Das verlangt die DSGVOWas tun bei einer Datenpanne? Das verlangt die DSGVO
Was tun bei einer Datenpanne? Das verlangt die DSGVO
 
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO)
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO) Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO)
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO)
 
Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011
Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011
Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011
 
Datenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis LinzDatenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis Linz
 
Datenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgen
Datenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgenDatenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgen
Datenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgen
 
DSGVO-Workshop bei Nimbusec
DSGVO-Workshop bei NimbusecDSGVO-Workshop bei Nimbusec
DSGVO-Workshop bei Nimbusec
 
Datenschutz 2013 bernd_fuhlert
Datenschutz 2013 bernd_fuhlertDatenschutz 2013 bernd_fuhlert
Datenschutz 2013 bernd_fuhlert
 

Mehr von Michael Rohrlich

Grundlagen Computerstrafrecht & Datenschutzrecht
Grundlagen Computerstrafrecht & DatenschutzrechtGrundlagen Computerstrafrecht & Datenschutzrecht
Grundlagen Computerstrafrecht & DatenschutzrechtMichael Rohrlich
 
Elektronische Signatur: Die rechtssichere Anwendung in der täglichen Praxis
Elektronische Signatur: Die rechtssichere Anwendung in der täglichen PraxisElektronische Signatur: Die rechtssichere Anwendung in der täglichen Praxis
Elektronische Signatur: Die rechtssichere Anwendung in der täglichen PraxisMichael Rohrlich
 
Datenschutz-Folgenabschätzung
Datenschutz-FolgenabschätzungDatenschutz-Folgenabschätzung
Datenschutz-FolgenabschätzungMichael Rohrlich
 
Datenschutz-Management-System - warum, was wie?
Datenschutz-Management-System - warum, was wie?Datenschutz-Management-System - warum, was wie?
Datenschutz-Management-System - warum, was wie?Michael Rohrlich
 
Online-Shop: Das müssen Sie wissen über Vertragsschluss, AGB, Gewährleistung ...
Online-Shop: Das müssen Sie wissen über Vertragsschluss, AGB, Gewährleistung ...Online-Shop: Das müssen Sie wissen über Vertragsschluss, AGB, Gewährleistung ...
Online-Shop: Das müssen Sie wissen über Vertragsschluss, AGB, Gewährleistung ...Michael Rohrlich
 
Onlineshop: So bauen Sie einen korrekten Bestellprozess auf
Onlineshop: So bauen Sie einen korrekten Bestellprozess aufOnlineshop: So bauen Sie einen korrekten Bestellprozess auf
Onlineshop: So bauen Sie einen korrekten Bestellprozess aufMichael Rohrlich
 
Die Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzDie Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzMichael Rohrlich
 
E-Commerce-Recht - Vertragsfragen
E-Commerce-Recht - VertragsfragenE-Commerce-Recht - Vertragsfragen
E-Commerce-Recht - VertragsfragenMichael Rohrlich
 
E-Commerce-Recht - So bauen Sie einen korrekten Bestellprozess auf
E-Commerce-Recht - So bauen Sie einen korrekten Bestellprozess aufE-Commerce-Recht - So bauen Sie einen korrekten Bestellprozess auf
E-Commerce-Recht - So bauen Sie einen korrekten Bestellprozess aufMichael Rohrlich
 
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...Michael Rohrlich
 
E-Commerce-Recht: So gestalten Sie ein rechtskonformes Impressum
E-Commerce-Recht: So gestalten Sie ein rechtskonformes ImpressumE-Commerce-Recht: So gestalten Sie ein rechtskonformes Impressum
E-Commerce-Recht: So gestalten Sie ein rechtskonformes ImpressumMichael Rohrlich
 
DSGVO - Das müssen Sie bei Ihrer Website beachten
DSGVO - Das müssen Sie bei Ihrer Website beachtenDSGVO - Das müssen Sie bei Ihrer Website beachten
DSGVO - Das müssen Sie bei Ihrer Website beachtenMichael Rohrlich
 
E-Mail-Marketing: Rechtssicherer Versand elektronischer Werbung
E-Mail-Marketing: Rechtssicherer Versand elektronischer WerbungE-Mail-Marketing: Rechtssicherer Versand elektronischer Werbung
E-Mail-Marketing: Rechtssicherer Versand elektronischer WerbungMichael Rohrlich
 
Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich
Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreichDer Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich
Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreichMichael Rohrlich
 
DSGVO: Was tun bei einer Abmahnung?
DSGVO: Was tun bei einer Abmahnung?DSGVO: Was tun bei einer Abmahnung?
DSGVO: Was tun bei einer Abmahnung?Michael Rohrlich
 

Mehr von Michael Rohrlich (17)

Grundlagen Computerstrafrecht & Datenschutzrecht
Grundlagen Computerstrafrecht & DatenschutzrechtGrundlagen Computerstrafrecht & Datenschutzrecht
Grundlagen Computerstrafrecht & Datenschutzrecht
 
Elektronische Signatur: Die rechtssichere Anwendung in der täglichen Praxis
Elektronische Signatur: Die rechtssichere Anwendung in der täglichen PraxisElektronische Signatur: Die rechtssichere Anwendung in der täglichen Praxis
Elektronische Signatur: Die rechtssichere Anwendung in der täglichen Praxis
 
Datenschutz-Folgenabschätzung
Datenschutz-FolgenabschätzungDatenschutz-Folgenabschätzung
Datenschutz-Folgenabschätzung
 
Datenschutz-Management-System - warum, was wie?
Datenschutz-Management-System - warum, was wie?Datenschutz-Management-System - warum, was wie?
Datenschutz-Management-System - warum, was wie?
 
Online-Shop: Das müssen Sie wissen über Vertragsschluss, AGB, Gewährleistung ...
Online-Shop: Das müssen Sie wissen über Vertragsschluss, AGB, Gewährleistung ...Online-Shop: Das müssen Sie wissen über Vertragsschluss, AGB, Gewährleistung ...
Online-Shop: Das müssen Sie wissen über Vertragsschluss, AGB, Gewährleistung ...
 
Onlineshop: So bauen Sie einen korrekten Bestellprozess auf
Onlineshop: So bauen Sie einen korrekten Bestellprozess aufOnlineshop: So bauen Sie einen korrekten Bestellprozess auf
Onlineshop: So bauen Sie einen korrekten Bestellprozess auf
 
Die Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzDie Betroffenenrechte im Datenschutz
Die Betroffenenrechte im Datenschutz
 
E-Commerce-Recht - Vertragsfragen
E-Commerce-Recht - VertragsfragenE-Commerce-Recht - Vertragsfragen
E-Commerce-Recht - Vertragsfragen
 
E-Commerce-Recht - So bauen Sie einen korrekten Bestellprozess auf
E-Commerce-Recht - So bauen Sie einen korrekten Bestellprozess aufE-Commerce-Recht - So bauen Sie einen korrekten Bestellprozess auf
E-Commerce-Recht - So bauen Sie einen korrekten Bestellprozess auf
 
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
 
E-Commerce-Recht: So gestalten Sie ein rechtskonformes Impressum
E-Commerce-Recht: So gestalten Sie ein rechtskonformes ImpressumE-Commerce-Recht: So gestalten Sie ein rechtskonformes Impressum
E-Commerce-Recht: So gestalten Sie ein rechtskonformes Impressum
 
Social Media Recht
Social Media RechtSocial Media Recht
Social Media Recht
 
E-Commerce-Recht
E-Commerce-RechtE-Commerce-Recht
E-Commerce-Recht
 
DSGVO - Das müssen Sie bei Ihrer Website beachten
DSGVO - Das müssen Sie bei Ihrer Website beachtenDSGVO - Das müssen Sie bei Ihrer Website beachten
DSGVO - Das müssen Sie bei Ihrer Website beachten
 
E-Mail-Marketing: Rechtssicherer Versand elektronischer Werbung
E-Mail-Marketing: Rechtssicherer Versand elektronischer WerbungE-Mail-Marketing: Rechtssicherer Versand elektronischer Werbung
E-Mail-Marketing: Rechtssicherer Versand elektronischer Werbung
 
Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich
Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreichDer Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich
Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich
 
DSGVO: Was tun bei einer Abmahnung?
DSGVO: Was tun bei einer Abmahnung?DSGVO: Was tun bei einer Abmahnung?
DSGVO: Was tun bei einer Abmahnung?
 

Sichere Datenübermittlung ins Ausland

  • 1. „Zur sicheren Datenübermittlung ins Ausland - Praxistipps für die Anwaltschaft “ Webinar des ZAPVerlages am 17.11.2020, 15.30 – 17.00 Uhr
  • 2. Dozent Rechtsanwalt Michael Rohrlich 2 zugelassen als Rechtsanwalt seit 03/2003 TÜV Süd zertifizierter Datenschutzbeauftragter (DSB-TÜV) seit 06/2012 HR Data Protection Manager (Beck) seit 07/2021 Data Protection Risk Manager (FOM) seit 10/2021 Vorstandsmitglied des Webmasters Europe e.V. seit 09/2010 Mitglied im Expertenrat des Webmasters Europe e.V. seit 03/2019 Fachautor seit 1997 / Buchautor seit 2005 Dozent seit 1998 Video-Trainer bei LinkedIn Learning / Microsoft (ehem. video2brain) seit 07/2012
  • 3. Inhalt / Übersicht 1. Einführung / Überblick 2.Datenübermittlung an Dritte 3. Datentransfer ins Ausland 3
  • 4. Inhalt / Übersicht 1. Einführung / Überblick 2.Datenübermittlung an Dritte 3. Datentransfer ins Ausland 4
  • 5. 1. Einführung / Überblick 5 Datenschutzrecht (DSGVO, BDSG…) Berufsrecht (BORA, BRAO) Geschäftsgeheimnisse (z.B. GeschGehG) Datenverarbeitung im Mandatsverhältnis
  • 6. 1. Einführung / Überblick  Wann haben Daten Personenbezug?  „Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden ‚betroffene Person‘) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung […] zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann“ 6 Art. 4 Nr. 1 DSGVO
  • 7. 1. Einführung / Überblick 7 • Name • Anschrift • … persönliche Daten • Bankverbindung • Überweisung • … Finanzdaten • Größe • Gewicht • Haarfarbe • … allg. äußerliche Merkmale • Fingerabdruck • DNA-Probe • … biometrische Daten • erkennbar abgebildete Personen Fotos /Videos • AU- Bescheinigung • Diagnose • … Gesundheitsdaten • AC – XY 1234 Kfz-Kennzeichen • dynamisch & statisch IP-Adressen Beispiele personenbezogener Daten:
  • 8. 1. Einführung / Überblick 8 besondere Kategorien personenbezogener Daten rassische / ethnische Herkunft politische Meinungen religiöse / weltanschauliche Überzeugungen Gewerkschaftszugehörigkeit genetische & biometrische Daten allg. Gesundheitsdaten Daten über Sexualleben / sexuelle Orientierung Art. 9 Abs. 1 DSGVO
  • 9. 1. Einführung / Überblick  Wer ist für die korrekte Datenverarbeitung verantwortlich?  „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel derVerarbeitung von personenbezogenen Daten entscheidet; […]“  Verantwortlicher = Unternehmen, Behörde oderVerein, unabhängig von Größe, Organisationsform, Mitarbeiteranzahl, Umsatz… 9 Art. 4 Nr. 7 DSGVO
  • 10. 1. Einführung / Überblick 10 Art. 4 Nr. 2 DSGVO Daten- verarbeitung Erheben, Erfassen Auslesen, Abfragen Verändern, Anpassen, Einschränken Speichern Löschen, Vernichten Ordnen, Organisieren Abgleichen, Verknüpfen Offenlegen durch Übermittlung, Verbreitung, Bereitstellung
  • 11. 1. Einführung / Überblick 11 Art. 5 Abs. 1 DSGVO Datenschutz-Grundsätze Rechtmäßigkeit Transparenz Treu und Glauben Zweckbindung Datenminimierung Richtigkeit Speicherbegrenzung Integrität & Vertraulichkeit
  • 12. 1. Einführung / Überblick  Rechtmäßigkeitsgrundsatz  Verbot mit Erlaubnisvorbehalt  d.h. dieVerarbeitung personenbezogener Daten ist nur dann erlaubt, wenn sie auf Basis einer Rechtsgrundlage erfolgt 12 Art. 5 Abs. 1 lit. a) DSGVO
  • 13. 1. Einführung / Überblick 13 Art. 6 Abs. 1 DSGVO zulässige Verarbeitung personenbezogener Daten Einwilligung anderer gesetzl. Ausnahmetatbestand überwiegende berechtigte Interessen
  • 14. 1. Einführung / Überblick Rechtsgrundlage: Einwilligung  Voraussetzungen als hohe Hürde (vgl. Art. 4 Nr. 11 DSGVO)  „Pferdefuß“: Einwilligung jederzeit frei widerrufbar (Art. 7 Abs. 3 S. 1 DSGVO)  Information über Widerrufsrecht muss vor Erteilung der Einwilligung erfolgen (Art. 7 Abs. 3 S. 3 DSGVO)  der Widerruf muss genauso einfach zu erklären sein wie die Einwilligung selbst (Art. 7 Abs. 3 S. 4 DSGVO) 14 Art. 6 Abs. 1 S. 1 lit. a) DSGVO
  • 15. 1. Einführung / Überblick 15 vorab freiwillig zweckgebunden informiert unmissverständlich aktive Handlung = EINWILLIGUNG
  • 16. 1. Einführung / Überblick Rechtsgrundlage: berechtigte Interessen  mehrstufige Prüfung der Voraussetzungen  (legitimes) Interesse desVerantwortlichen?  erforderlich zurWahrung der Interessen desVerantwortlichen?  keine überwiegenden Interessen des Betroffenen?  ggf. Widerspruchsrecht (vgl. Art. 21 Abs. 1 DSGVO)  Interessenabwägung muss begründet & dokumentiert werden  „Pferdefuß“: u.U. kommt Aufsichtsbehörde bzw. Gericht zu anderem Ergebnis der Interessenabwägung 16 Art. 6 Abs. 1 S. 1 lit. f) DSGVO
  • 17. 1. Einführung / Überblick 17 Art. 6 Abs. 1 lit. b) – e) DSGVO, § 26 BDSG andere Rechtsgrundlagen Vertragserfüllung / vorvertr. Maßnahmen Erfüllung rechtl.Verpflichtung lebenswichtige Interessen Wahrnehmung öffentlicher Aufgabe / Ausübung öffentlicher Gewalt Beschäftigtendaten (§ 26 BDSG)
  • 18. Inhalt / Übersicht 1. Einführung / Überblick 2.Datenübermittlung an Dritte 3. Datentransfer ins Ausland 18
  • 19. 2. Datenübermittlung an Dritte  Verarbeitung personenbezogener Daten -> Rechtsgrundlage erforderlich  Übermittlung personenbezogener Daten an Dritte -> weitere Legitimation nötig 19
  • 20. 2. Datenübermittlung an Dritte  Beispiele Datenübermittlung  Steuerberater  IT-Dienstleister  Nutzung Cloud-Dienst  Web- / E-Mail-Hoster  Analyse-Tools (Google Analytics, Matomo, Etracker, Facebook Pixel…)  Hausbank  Versanddienstleister (Dt. Post, DPD, Hermes, UPS…)  Daten(träger)entsorgungsanbieter (Reisswolf…) 20
  • 21. 2. Datenübermittlung an Dritte 21 Auftrags- verarbeitung (AV) getrennte Verantwortung Daten- transfer gemeinsame Verantwortung
  • 22. 2. Datenübermittlung an Dritte  Wer kann Auftragsverarbeiter sein?  „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“  Auftragsverarbeiter…  handelt auf Weisung desVerantwortlichen  kann ggf. über Mittel, aber nicht über Zwecke entscheiden 22 Art. 4 Nr. 8 DSGVO
  • 23. 2. Datenübermittlung an Dritte  Beispiele Auftragsverarbeitung [1/2]  DV-technische Arbeiten für Lohn- und Gehaltsabrechnung  Outsourcing mittels Cloud-Computing  Werbeadressenverarbeitung in einem sog. Lettershop  Verarbeitung von Kundendaten durch Callcenter (ohne wesentliche eigene Entscheidungsspielräume)  Auslagerung der E-Mail-Verwaltung oder von sonstigen Datendiensten zu Webseiten (z.B. Betreuung von Kontaktformularen oder Nutzeranfragen)  Datenerfassung, Datenkonvertierung oder Einscannen von Dokumenten  Auslagerung der Backup-Sicherheitsspeicherung und anderer Archivierungen  Datenträgerentsorgung durch Dienstleister 23
  • 24. 2. Datenübermittlung an Dritte  BeispieleAuftragsverarbeitung [2/2]  Prüfung oder Wartung (z.B. Fernwartung, externer Support) automatisierter Verfahren oder von EDV-Anlagen, wenn dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann  Zentralisierung bestimmter „Shared-Services-Dienstleistungen“ innerhalb eines Konzerns, wie Dienstreisen-Planungen oder Reisekostenabrechnungen  Apothekenrechenzentren (§ 300 SGBV)  Ärztliche bzw. zahnärztliche Verrechnungsstellen (ohne Forderungsverkauf)  Sicherheitsdienste, die an der Pforte Besucher- und Anliefererdaten erheben  Externe Personen, Dienstleister usw., die im Auftrag Messwerte in Mietwohnungen ablesen bzw. verarbeiten (Heizung, Strom,Wasser etc.)  Visabeschaffungsdienstleister, die hierfür vom Arbeitgeber die Beschäftigtendaten erhalten 24
  • 25. 2. Datenübermittlung an Dritte  AV-Vertrag  Pflichtinhalte gem. Art 28 Abs. 3 DSGVO  schriftlich abzufassen, was auch in einem elektr. Format erfolgen kann (Art. 28 Abs. 9 DSGVO)  Verwendung eines eigenen AV-Vertrages oder der EU-Standardvertragsklauseln (engl.: standard contractual clauses, kurz: SCC)  aktualisierte SCC (Stand: 04. Juni 2021)  SCC auch für Datentransfers innerhalb der EU 25
  • 26. 2. Datenübermittlung an Dritte 26 Standard- datenschutzklauseln Standard- vertragsklauseln (SCC) Norm Art. 46Abs. 2 lit. c, d DSGVO Art. 28Abs. 7, 8 DSGVO Zweck Datenübermittlung in Drittland ohne angemessenes Datenschutzniveau Datenübermittlung innerhalb der EU; einheitliche Regeln für Verträge zwischen Verantwortlichen und Auftragsverarbeitern Begrifflichkeit gem. Beschl. der EU- Kommission   verpflichtend?  
  • 27. 2. Datenübermittlung an Dritte 27 ab 04.06.2021 • Vereinbarung neuer SCC möglich bis 26.09.2021 • Vereinbarung alter SCC zulässig ab 27.12.2022 • alte SCC verlieren Gültigkeit ab 01.01.2023 • neue SCC verpflichtend
  • 28. 2. Datenübermittlung an Dritte  Wer kann gemeinsamVerantwortlicher* sein?  „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel derVerarbeitung von personenbezogenen Daten entscheidet; […]“ * engl.:Joint Controllership (JC) 28 Art. 4 Nr. 7 DSGVO
  • 29. 2. Datenübermittlung an Dritte  Beispiele gemeinsameVerantwortlichkeit  gemeinsameVerwaltung bestimmter Datenkategorien (z.B.Adressdaten) für bestimmte gleichlaufende Geschäftsprozesse mehrerer Konzernunternehmen  gemeinsame Errichtung einer IT-Infrastruktur, auf der mehrere Beteiligte ihre jeweils individuellen Zwecke verfolgen (z.B. gemeinsames Betreiben einer Online-Plattform für Reisereservierungen durch ein Reisebüro, eine Hotelkette und eine Fluggesellschaft)  klinische Arzneimittelstudien, wenn mehrere Mitwirkende (z.B. Sponsor, Studienzentren und Ärzte) jeweils inTeilbereichen Entscheidungen über dieVerarbeitung treffen  E-Government-Portal, bei dem mehrere Behörden Dokumente zum Abruf durch Bürger bereitstellen  Personalvermittlungs-Dienstleister, der für einen Arbeitgeber Bewerber sichtet und hierbei auch bei ihm eingegangene Bewerbungen einbezieht, die nicht gezielt auf Stellen beim Arbeitgeber gerichtet sind  je nach Gestaltung ggf. auch ein gemeinsamer Informationspool bzw. eine Warndatei mehrererVerantwortlicher (z.B. Banken) über säumige Schuldner 29
  • 30. 2. Datenübermittlung an Dritte  JC-Vertrag  Pflichtinhalte gem. Art 26 Abs. 1 S. 2, 3, Abs. 2 DSGVO  keine Formvorgaben (ideal: schriftlich / elektr.)  wichtige Regelung: wer ist für welcheVerarbeitungen verantwortlich?  „DieVereinbarung […] muss die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsamVerantwortlichen gegenüber betroffenen Personen gebührend widerspiegeln.“ (Art. 26 Abs. 2 S. 1 DSGVO) 30
  • 31. 2. Datenübermittlung an Dritte  Wer kann getrennter / eigenerVerantwortlicher sein?  „[…] die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel derVerarbeitung von personenbezogenen Daten entscheidet; […]“  versch.Verantwortliche, d.h. kein gesonderter Datenschutz- Vertrag erforderlich 31 Art. 4 Nr. 7 DSGVO
  • 32. 2. Datenübermittlung an Dritte  Beispiele getrennteVerantwortlichkeit  Versanddienstleister (Dt. Post etc.)  Kreditinstitute  Steuerberater (vgl. § 11 Abs. 2 S. 2 StBerG)  Angehörige freier Berufe (Anwälte, Ärzte…) 32
  • 33. 2. Datenübermittlung an Dritte 33 Vertragspartner Einordnung Vertrag vorhanden? Steuerberater XYZ getr.Verantwortung - IT-DienstleisterZYX AV-Verhältnis  Facebook (Fanpage) JC-Verhältnis  Web-Hoster ABC AV-Verhältnis  … … … Praxistipp: Übersicht mit Dienstleistern / Auftragnehmern anlegen
  • 34. Inhalt / Übersicht 1. Einführung / Überblick 2.Datenübermittlung an Dritte 3. Datentransfer ins Ausland 34
  • 35. 3. Datentransfer ins Ausland  Verarbeitung personenbezogener Daten -> Rechtsgrundlage erforderlich  Übermittlung personenbezogener Daten an Dritte -> weitere Legitimation nötig  Übermittlung personenbezogener Daten ins Ausland -> zusätzlicheVoraussetzungen zu erfüllen 35
  • 36. 3. Datentransfer ins Ausland  Datentransfer innerhalb EU / EWR  gleiches Datenschutzniveau aufgrund der Vollharmonisierung durch die DSGVO  AV- / JC-Vertrag  AV-Verhältnis: aktuelle SCC für Datenübermittlung innerhalb EU / EWR empfehlenswert (vgl. Art. 28 Abs. 7, 8 DSGVO) 36
  • 37. 3. Datentransfer ins Ausland  Datentransfer in Drittstaat mit Angemessenheitsbeschluss  kein EU- / EWR-Mitglied  aber: nach Prüfung der EU-Kommission ein mit der EU vergleichbares, angemessenes Datenschutzniveau bescheinigt  wird datenschutzrechtlich behandelt wie EU- / EWR-Mitglied  AV- / JC-Vertrag  AV-Verhältnis: aktuelle SCC für Datenübermittlung in Drittstaat empfehlenswert (vgl. Art. 46 Abs. 2 lit. c, d DSGVO) 37
  • 38. 3. Datentransfer ins Ausland  Drittstaaten mit Angemessenheitsbeschluss (Stand: 10/2021)  Andorra  Argentinien  Kanada  Färöer Inseln  Großbritannien (seit 1. Juli 2021)  Guernsey  Israel  Isle of Man  Japan  Jersey  Neuseeland  Schweiz  Uruguay  geplant: Republik Süd-Korea  nicht mehr mit dabei: USA (seit 16. Juli 2020) 38
  • 39. 3. Datentransfer ins Ausland  Datentransfer in unsicheren Drittstaat [1/2]  kein EU- / EWR-Mitglied  kein Angemessenheitsbeschluss  z.B. China, Indien, Russland  spezieller Angemessenheitsbeschluss der USA in Form des sog. EU-US-Privacy-Shield seit dem sog. „Schrems II“-Urteil des EuGH vom 16.07.2020 (Az. C-311/18) unwirksam, d.h. auch die USA sind inzwischen ein unsicherer Drittstaat 39
  • 40. 3. Datentransfer ins Ausland  Datentransfer in unsicheren Drittstaat [2/2]  angemessenes Datenschutzniveau muss auf andere Weise hergestellt werden  z.B. durch Verwendung der aktuellen SCC  aber: zusätzliche Maßnahmen erforderlich 40
  • 41. 3. Datentransfer ins Ausland 41 SCC-Konstellationen Verantwortlicher ->Verantwortlicher (C2C) Bsp.: RA tritt Forderung an ausl. Inkassounternehmen ab Verantwortlicher –> Auftragsverarbeiter (C2P) Bsp.: RA nutzt ausl. E-Mail-Hoster Auftragsverarbeiter –> (Unter-) Auftragsverarbeiter (P2P) Bsp.: Auftragsverarbeiter beauftragt ausl. Subunternehmer Auftragsverarbeiter –>Verantwortlicher (P2C) Bsp.: ausl. Unternehmen beauftragt EU-Auftragsverarbeiter
  • 42. 3. Datentransfer ins Ausland  Bsp. SCC-Generatoren  http://www.taylorwessing.com/de/online-services/scc-generator  http://www.essentialguarantees.com/scc/  https://shop.haerting.ch/scc-generator/  https://www.eco.de/services/scc-generator/  https://www.oppenhoff.eu/de/legaltech/scc-generator  https://www.fieldfisher.com/de- de/locations/germany/services/datenschutz/myscccreator  https://www.decidea.com/books/1324 42
  • 43. 3. Datentransfer ins Ausland 43 Modul Inhalt Abschnitt I allg. Regelungen Abschnitt II Pflichten derVertragsparteien, spez. Regelungen für Transferkonstellation Abschnitt III Auswirkungen lokaler Gesetze, Pflichten des Datenimporteurs Abschnitt IV Schlussbestimmungen (z.B. Kündigungsregeln, anwendbares Recht) Anhang I Details zuVertragsparteien, Daten, zust. Aufsichtsbehörden, Übermittlungskonstellation Anhang II Beschreibung derTOMs Anhang III ggf. Angaben zu weiteren (Unter-) Auftragnehmern
  • 44. 3. Datentransfer ins Ausland Datenübermittlungs-Folgenabschätzung = Data Transfer Impact Assessment oder kurz: (D)TIA vgl. SCC Abschnitt III, Klausel 14: „Durchführung einer Prüfung des Bestimmungsdrittlands auf Grundlage spezifischer Umstände der Rechtsordnung des Drittlandes“ Datenexporteur muss sich davon überzeugen, dass Datenimporteur seinen SCC-Pflichten nachkommen kann und nicht durch lokale Gesetze daran gehindert wird (vgl. z.B. CLOUDAct oder FISA in den USA) 44
  • 45. 3. Datentransfer ins Ausland insbesondere beiTIA zu berücksichtigen: die Zwecke derVerarbeitung Kategorien & Format der personenbezogenen Daten Länge der Verarbeitungskette & Anzahl der beteiligten Akteure Übertragungskanäle & beabsichtigte Datenweiterleitungen tatsächliche Umstände der Übermittlung, z.B. ob Daten im Drittland gespeichert werden oder es lediglich zu Zugriffen aus dem Drittland kommt alle relevanten vertraglichen, technischen oder organisatorischen Garantien & angewandte Maßnahmen 45
  • 46. 3. Datentransfer ins Ausland 46 Prüfreihenfolge* Know your transfers (Übersicht Datentransfers) Prüfung Rechtsgrundlage (innerhalb EU/EWR? Angemessenheitsbeschluss? SCC?) Risikoabschätzung (TIA) ggf. zusätzliche Maßnahmen (Anonymisierung, Pseudonymisierung, Verschlüsselung…) ggf. formale Schritte (z.B. Anpassung der SCC) regelmäßige Prüfung (z.B. der ausl. Rechtslage) * gem. EDSA „Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung vonÜbermittlungstools zur Gewährleistung des unionsrechtlichenSchutzniveaus für personenbezogene Daten“
  • 47. 3. Datentransfer ins Ausland  Bsp. zusätzlicher Maßnahmen*  vertraglich  organisatorisch  technisch • Verschlüsselung • Pseudonymisierung • Anonymisierung • … * EDSA „Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten“ 47
  • 48. Rechtsanwalt Michael Rohrlich Heinestr. 9 52146Würselen Tel.: 02405 – 1408040 Fax: 02405 – 1408041 Mobil: 0177 – 5554462 E-Mail: info@ra-rohrlich.de WWW: ra-rohrlich.de Facebook: facebook.com/ra.rohrlich Twitter: twitter.com/MichaelRohrlich Xing: xing.com/profile/Michael_Rohrlich LinkedIn: linkedin.com/in/michael-rohrlich- 3577b3109 Internet: www.ra-rohrlich.de www.rechtssicher.info 48