gesponsertMarTech Tools sicher nutzen 5 Dinge, die Sie im Marketing bei der Nutzung von ausländischen Tools wissen müssen

Tauchen Sie ein in die Welt der Risiken bei der Auswahl von technischen Dienstleistern und SaaS Anbietern. Erfahren Sie, wie Sie Datenschutzkonflikte vermeiden und Datentransfers in Drittländern sicher gestalten können. Hier sind fünf Dinge, die Sie unbedingt wissen sollten.

Egal ob E-Mail Tool, CRM System oder Hosting für den eigenen Webseitenauftritt, kaum ein Unternehmen kommt heutzutage ohne technische Dienstleister und SaaS aus. Doch nur wenige wissen, welche Tücken die Auswahl eines Anbieters birgt und wie leicht eine Fehlentscheidung zu kostspieligen Konflikten mit dem Datenschutzrecht führen kann.

Auf der Suche nach geeigneten Auftragsverarbeitern, um wichtige Vorgänge im Unternehmen auszulagern, werden Organisationen häufig außerhalb der EU fündig. Doch meist währt die Freude über den als „100 Prozent DSGVO-konform“ beworbenen Anbieter nur so lange, bis der Datenschutzbeauftragte hierzu konsultiert wird. Der Transfer von personenbezogenen Daten in Drittländer ist ein Dauerbrenner im Datenschutzrecht (und auch bei den Aufsichtsbehörden).

Entsprechend war die Erleichterung vieler Unternehmer groß, als am 10. Juli 2023 ein neuer Angemessenheitsbeschluss für die bis dahin als Drittland geltende USA in Kraft trat. Doch die Erfahrung zeigt, dass die Datenschutzabkommen mit den USA meist nicht lange halten und auch das neue Abkommen beseitigt nicht alle Bedenken. Trotz der momentanen Erleichterungen beim Transfer von Daten in die USA ist es also unerlässlich, die eigenen Datentransfers nachvollziehen und einordnen zu können.

Prüfen Sie deshalb mit diesem Quick-Check, ob Sie ihre Internationalen Datentransfers ausreichend im Blick haben.

1. Know Your Transfer

Zunächst ist es entscheidend, sich einen Überblick über alle Auftragsverarbeitungen im Unternehmen zu verschaffen. Hierbei sollte an zentraler Stelle gesammelt werden, welche Dienstleister (Anschrift, Ansprechpartner) welche Daten zu welchen Zwecken verarbeiten. Für die Dokumentation dieser Daten bietet sich die Erstellung eines Verarbeitungsverzeichnisses an – auch dann, wenn das eigene Unternehmen hierzu nicht gesetzlich verpflichtet ist.

2. Richtige Vertragsgrundlage

Eine Auftragsverarbeitung erfordert eine Vertragsgrundlage (Vereinbarung zur Auftragsverarbeitung, kurz: AVV), das schreibt die DSGVO gesetzlich vor (vgl. Art. 28 DSGVO).

Von besonderer Bedeutung ist diese, wenn der Auftragsverarbeiter in einem Drittland im Sinne der DSGVO sitzt und für dieses Land kein Angemessenheitsbeschluss besteht. Dann muss die Vereinbarung auf den Standarddatenschutzklauseln der Europäischen Kommission (Standard Contractual Clauses, kurz: SCC) basieren, um den Transfer in das entsprechende Drittland durch geeignete Garantien abzusichern. Diese Klauseln verpflichten den Datenimporteuer im Drittland, ein Datenschutzniveau ähnlich dem des europäischen Standards zu gewährleisten.

Im Rahmen einer AVV verpflichtet sich der Auftragsverarbeiter dazu, bestimmte technische und organisatorische Sicherheitsmaßnahmen zu implementieren und einzuhalten. Diese sollten allerdings unbedingt schon vor Vertragsabschluss auf ihre Wirksamkeit hin überprüft werden.

Allerdings würden die datenschutzrechtlichen Schutzvorschriften ins Leere laufen, wenn nur der Auftragsverarbeiter selbst geprüft werden müsste. Immerhin leiten diese die im Auftrag verarbeiteten Daten regelmäßig an weitere Unterauftragsverarbeiter weiter. Im Rahmen des Vertragsabschlusses mit dem Auftragnehmer gilt es mindestens zu prüfen, ob zwischen diesem und seinen Subdienstleistern wirksame Vereinbarungen zur Datenverarbeitung bestehen beziehungsweise ob die entsprechenden Schutzvorkehrungen vorliegen, um das Datenschutzniveau aufrecht zu erhalten.

3. Transfer Impact Assessment

Im Juni 2021 hat die Europäische Kommission die oben thematisierten Standardvertragsklauseln aktualisiert. Nach Klausel 14 der neuen SCC versichern die Parteien, dass die Gegebenheiten im Zielland unter Berücksichtigung der vereinbarten Schutzmechanismen keinen Anlass zu der Annahme geben, dass das in den Klauseln vereinbarte Datenschutzniveau untergraben wird. Hierbei handelt es sich im Grunde um eine Risikoanalyse des konkreten Einzelfalls, welche auch als Transfer Impact Assessment (kurz: TIA) bezeichnet wird.

Konkret wird hier die Rechtslage im Zielland analysiert. Es wird außerdem bewertet, wie wahrscheinlich eine (nach EU-Recht) rechtswidrige Offenlegung der Daten ist. Hier müssen beispielsweise die Zugriffsrechte durch die Behörden und vor allem der Geheimdienste des Ziellandes in die Risikoanalyse einfließen. Weiterhin werden die konkreten Umstände des Einzelfalls einbezogen. Je nach Ergebnis gilt es, entsprechende zusätzliche Schutzmaßnahmen zu treffen oder bei einem negativen Ergebnis des TIA und bei einem Mangel an Abhilfemaßnahmen den Transfer einzustellen beziehungsweise an alternative Anbieter auszulagern.

4. Supplementary Measures

Um das im Rahmen des Transfer Impact Assessment zu beurteilende Risiko einer Datenschutzverletzung zu verringern oder auszuschließen, sollten die Verantwortlichen neben den technischen und organisatorischen Maßnahmen zusätzliche Maßnahmen ergreifen. Diese Maßnahmen dienen der Absicherung der eigenen Datenübermittlungen in Drittländer.

So können beispielsweise Verschlüsselungsverfahren eingesetzt werden, bei denen der zur Entschlüsselung erforderliche private Schlüssel auf den lokalen Servern des Datenexporteurs verbleibt. So hätten die zuständigen Behörden im Zielland, im Falle einer angeordneten Offenlegung, lediglich Zugriff auf verschlüsselte Daten. Natürlich gilt es hierbei Maßnahmen auszuwählen, die mindestens dem Stand der Technik entsprechen. Immerhin darf davon ausgegangen werden, dass die Geheimdienste im Drittland durchaus in der Lage sind, Daten zu entschlüsseln.

5. Kontroll- und Überwachungsmaßnahmen

Abschließend ist auf die Bedeutung von Kontroll- und Überwachungsmaßnahmen hinzuweisen. Im Rahmen einer AVV verpflichten sich die Parteien, sich über wesentliche Veränderungen (zum Beispiel in der Verarbeitungskette) zu unterrichten.

Entsprechend sollte regelmäßig überprüft werden, ob etwaige Änderungen vorliegen beziehungsweise ob über diese ordnungsgemäß informiert wurde. Auch die Wirksamkeit der technischen und organisatorischen Maßnahmen sollten regelmäßig reflektiert werden.

Hinweis: Bei internationalen Datentransfers handelt es sich sowohl rechtlich als auch technisch um eine komplexe Angelegenheit. Entsprechend versteht sich der Hinweis von selbst, dass die hier aufgeführte Liste eine Rechts- oder Datenschutzberatung nicht ersetzen kann. Der DSGVO-konforme Transfer in Drittländer erfordert eine einzelfallbezogene Würdigung des Sachverhalts, für die tiefgreifendes rechtliches und technisches Know-how erforderlich ist. Als Spezialist an der Schnittstelle zwischen Marketing und Legal berät The Quantum Corporate Agency zu allen Fragestellungen rund um rechtskonformes Marketing und dem sicheren Einsatz der dazugehörigen Tools.

(ID:49708474)