Wir beraten Sie gerne zu der Frage, welche Anforderungen beim grenzüberschreitenden Datenverkehr beachtet werden müssen und welche rechtlichen Stolpersteine hier lauern können. Diese Thematik ist naturgemäß in Zeiten von zunehmend globalen Geschäftsbeziehungen, Lieferketten und Konzernstrukturen von großer Bedeutung. Gerade der Einsatz von Cloud Computing Anbietern, die die personenbezogenen Daten Ihrer Mitarbeiter oder Kunden in Rechenzentren auf der ganzen Welt speichern könnten, ohne dass es für Sie auf den ersten Blick erkennbar ist, spielt hierbei eine große Rolle.
Bei der Thematik geht es nicht nur um die Frage, welches Recht welchen Landes anwendbar oder welche Aufsichtsbehörde zuständig ist, sondern insbesondere darum, wie die Zulässigkeit der Übermittlung personenbezogener Daten in ein sog. Drittland hergestellt werden kann. Bei einem Drittland handelt es sich grundsätzlich um jedes Land außerhalb der EU bzw. des EWR. Neben den bei jeder Datenübermittlung zu erfüllenden Anforderungen der DSGVO („erste Stufe“) muss bei Übermittlungen an einen Empfänger in einem Drittland darüber hinaus sichergestellt werden, dass ein angemessenes Datenschutzniveau im Drittland gewährleistet ist („zweite Stufe“).
Dafür kommen je nach Drittland und je nach Empfänger etwa sogenannte Angemessenheitsbeschlüsse der Europäischen Kommission, geeignete Garantien wie Standardvertragsklauseln oder Binding Corporate Rules, sowie Ausnahmevorschriften der DSGVO für bestimmte Fälle in Betracht. Ob die Anforderungen im konkreten Fall erfüllt sind, hängt oftmals von Details ab: Erfordert die Rechtslage im Drittland zusätzliche Maßnahmen neben den Standardvertragsklauseln, um ein angemessenes Datenschutzniveau zu erreichen? Ist die Übermittlung an einen Empfänger in den USA von dessen EU-U.S. Data Privacy Framework Zertifizierung umfasst?
Wir prüfen für Sie, wie Sie Ihre Drittlandübermittlungen rechtssicher gestalten können, um international agieren zu können.
Gerne entwickeln wir mit Ihnen gemeinsam auch einen für Sie passenden Projektansatz für eine Data Privacy Framework Zertifizierung Ihrer US-amerikanischen Konzerngesellschaft.