Diese Präsentation wurde erfolgreich gemeldet.
Die SlideShare-Präsentation wird heruntergeladen. ×

Sichere Datenübermittlung ins Ausland

Weitere Verwandte Inhalte

Ähnliche Bücher

Kostenlos mit einer 30-tägigen Testversion von Scribd

Alle anzeigen

Sichere Datenübermittlung ins Ausland

  1. 1. „Zur sicheren Datenübermittlung ins Ausland - Praxistipps für die Anwaltschaft “ Webinar des ZAPVerlages am 17.11.2020, 15.30 – 17.00 Uhr
  2. 2. Dozent Rechtsanwalt Michael Rohrlich 2 zugelassen als Rechtsanwalt seit 03/2003 TÜV Süd zertifizierter Datenschutzbeauftragter (DSB-TÜV) seit 06/2012 HR Data Protection Manager (Beck) seit 07/2021 Data Protection Risk Manager (FOM) seit 10/2021 Vorstandsmitglied des Webmasters Europe e.V. seit 09/2010 Mitglied im Expertenrat des Webmasters Europe e.V. seit 03/2019 Fachautor seit 1997 / Buchautor seit 2005 Dozent seit 1998 Video-Trainer bei LinkedIn Learning / Microsoft (ehem. video2brain) seit 07/2012
  3. 3. Inhalt / Übersicht 1. Einführung / Überblick 2.Datenübermittlung an Dritte 3. Datentransfer ins Ausland 3
  4. 4. Inhalt / Übersicht 1. Einführung / Überblick 2.Datenübermittlung an Dritte 3. Datentransfer ins Ausland 4
  5. 5. 1. Einführung / Überblick 5 Datenschutzrecht (DSGVO, BDSG…) Berufsrecht (BORA, BRAO) Geschäftsgeheimnisse (z.B. GeschGehG) Datenverarbeitung im Mandatsverhältnis
  6. 6. 1. Einführung / Überblick  Wann haben Daten Personenbezug?  „Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden ‚betroffene Person‘) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung […] zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann“ 6 Art. 4 Nr. 1 DSGVO
  7. 7. 1. Einführung / Überblick 7 • Name • Anschrift • … persönliche Daten • Bankverbindung • Überweisung • … Finanzdaten • Größe • Gewicht • Haarfarbe • … allg. äußerliche Merkmale • Fingerabdruck • DNA-Probe • … biometrische Daten • erkennbar abgebildete Personen Fotos /Videos • AU- Bescheinigung • Diagnose • … Gesundheitsdaten • AC – XY 1234 Kfz-Kennzeichen • dynamisch & statisch IP-Adressen Beispiele personenbezogener Daten:
  8. 8. 1. Einführung / Überblick 8 besondere Kategorien personenbezogener Daten rassische / ethnische Herkunft politische Meinungen religiöse / weltanschauliche Überzeugungen Gewerkschaftszugehörigkeit genetische & biometrische Daten allg. Gesundheitsdaten Daten über Sexualleben / sexuelle Orientierung Art. 9 Abs. 1 DSGVO
  9. 9. 1. Einführung / Überblick  Wer ist für die korrekte Datenverarbeitung verantwortlich?  „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel derVerarbeitung von personenbezogenen Daten entscheidet; […]“  Verantwortlicher = Unternehmen, Behörde oderVerein, unabhängig von Größe, Organisationsform, Mitarbeiteranzahl, Umsatz… 9 Art. 4 Nr. 7 DSGVO
  10. 10. 1. Einführung / Überblick 10 Art. 4 Nr. 2 DSGVO Daten- verarbeitung Erheben, Erfassen Auslesen, Abfragen Verändern, Anpassen, Einschränken Speichern Löschen, Vernichten Ordnen, Organisieren Abgleichen, Verknüpfen Offenlegen durch Übermittlung, Verbreitung, Bereitstellung
  11. 11. 1. Einführung / Überblick 11 Art. 5 Abs. 1 DSGVO Datenschutz-Grundsätze Rechtmäßigkeit Transparenz Treu und Glauben Zweckbindung Datenminimierung Richtigkeit Speicherbegrenzung Integrität & Vertraulichkeit
  12. 12. 1. Einführung / Überblick  Rechtmäßigkeitsgrundsatz  Verbot mit Erlaubnisvorbehalt  d.h. dieVerarbeitung personenbezogener Daten ist nur dann erlaubt, wenn sie auf Basis einer Rechtsgrundlage erfolgt 12 Art. 5 Abs. 1 lit. a) DSGVO
  13. 13. 1. Einführung / Überblick 13 Art. 6 Abs. 1 DSGVO zulässige Verarbeitung personenbezogener Daten Einwilligung anderer gesetzl. Ausnahmetatbestand überwiegende berechtigte Interessen
  14. 14. 1. Einführung / Überblick Rechtsgrundlage: Einwilligung  Voraussetzungen als hohe Hürde (vgl. Art. 4 Nr. 11 DSGVO)  „Pferdefuß“: Einwilligung jederzeit frei widerrufbar (Art. 7 Abs. 3 S. 1 DSGVO)  Information über Widerrufsrecht muss vor Erteilung der Einwilligung erfolgen (Art. 7 Abs. 3 S. 3 DSGVO)  der Widerruf muss genauso einfach zu erklären sein wie die Einwilligung selbst (Art. 7 Abs. 3 S. 4 DSGVO) 14 Art. 6 Abs. 1 S. 1 lit. a) DSGVO
  15. 15. 1. Einführung / Überblick 15 vorab freiwillig zweckgebunden informiert unmissverständlich aktive Handlung = EINWILLIGUNG
  16. 16. 1. Einführung / Überblick Rechtsgrundlage: berechtigte Interessen  mehrstufige Prüfung der Voraussetzungen  (legitimes) Interesse desVerantwortlichen?  erforderlich zurWahrung der Interessen desVerantwortlichen?  keine überwiegenden Interessen des Betroffenen?  ggf. Widerspruchsrecht (vgl. Art. 21 Abs. 1 DSGVO)  Interessenabwägung muss begründet & dokumentiert werden  „Pferdefuß“: u.U. kommt Aufsichtsbehörde bzw. Gericht zu anderem Ergebnis der Interessenabwägung 16 Art. 6 Abs. 1 S. 1 lit. f) DSGVO
  17. 17. 1. Einführung / Überblick 17 Art. 6 Abs. 1 lit. b) – e) DSGVO, § 26 BDSG andere Rechtsgrundlagen Vertragserfüllung / vorvertr. Maßnahmen Erfüllung rechtl.Verpflichtung lebenswichtige Interessen Wahrnehmung öffentlicher Aufgabe / Ausübung öffentlicher Gewalt Beschäftigtendaten (§ 26 BDSG)
  18. 18. Inhalt / Übersicht 1. Einführung / Überblick 2.Datenübermittlung an Dritte 3. Datentransfer ins Ausland 18
  19. 19. 2. Datenübermittlung an Dritte  Verarbeitung personenbezogener Daten -> Rechtsgrundlage erforderlich  Übermittlung personenbezogener Daten an Dritte -> weitere Legitimation nötig 19
  20. 20. 2. Datenübermittlung an Dritte  Beispiele Datenübermittlung  Steuerberater  IT-Dienstleister  Nutzung Cloud-Dienst  Web- / E-Mail-Hoster  Analyse-Tools (Google Analytics, Matomo, Etracker, Facebook Pixel…)  Hausbank  Versanddienstleister (Dt. Post, DPD, Hermes, UPS…)  Daten(träger)entsorgungsanbieter (Reisswolf…) 20
  21. 21. 2. Datenübermittlung an Dritte 21 Auftrags- verarbeitung (AV) getrennte Verantwortung Daten- transfer gemeinsame Verantwortung
  22. 22. 2. Datenübermittlung an Dritte  Wer kann Auftragsverarbeiter sein?  „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“  Auftragsverarbeiter…  handelt auf Weisung desVerantwortlichen  kann ggf. über Mittel, aber nicht über Zwecke entscheiden 22 Art. 4 Nr. 8 DSGVO
  23. 23. 2. Datenübermittlung an Dritte  Beispiele Auftragsverarbeitung [1/2]  DV-technische Arbeiten für Lohn- und Gehaltsabrechnung  Outsourcing mittels Cloud-Computing  Werbeadressenverarbeitung in einem sog. Lettershop  Verarbeitung von Kundendaten durch Callcenter (ohne wesentliche eigene Entscheidungsspielräume)  Auslagerung der E-Mail-Verwaltung oder von sonstigen Datendiensten zu Webseiten (z.B. Betreuung von Kontaktformularen oder Nutzeranfragen)  Datenerfassung, Datenkonvertierung oder Einscannen von Dokumenten  Auslagerung der Backup-Sicherheitsspeicherung und anderer Archivierungen  Datenträgerentsorgung durch Dienstleister 23
  24. 24. 2. Datenübermittlung an Dritte  BeispieleAuftragsverarbeitung [2/2]  Prüfung oder Wartung (z.B. Fernwartung, externer Support) automatisierter Verfahren oder von EDV-Anlagen, wenn dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann  Zentralisierung bestimmter „Shared-Services-Dienstleistungen“ innerhalb eines Konzerns, wie Dienstreisen-Planungen oder Reisekostenabrechnungen  Apothekenrechenzentren (§ 300 SGBV)  Ärztliche bzw. zahnärztliche Verrechnungsstellen (ohne Forderungsverkauf)  Sicherheitsdienste, die an der Pforte Besucher- und Anliefererdaten erheben  Externe Personen, Dienstleister usw., die im Auftrag Messwerte in Mietwohnungen ablesen bzw. verarbeiten (Heizung, Strom,Wasser etc.)  Visabeschaffungsdienstleister, die hierfür vom Arbeitgeber die Beschäftigtendaten erhalten 24
  25. 25. 2. Datenübermittlung an Dritte  AV-Vertrag  Pflichtinhalte gem. Art 28 Abs. 3 DSGVO  schriftlich abzufassen, was auch in einem elektr. Format erfolgen kann (Art. 28 Abs. 9 DSGVO)  Verwendung eines eigenen AV-Vertrages oder der EU-Standardvertragsklauseln (engl.: standard contractual clauses, kurz: SCC)  aktualisierte SCC (Stand: 04. Juni 2021)  SCC auch für Datentransfers innerhalb der EU 25
  26. 26. 2. Datenübermittlung an Dritte 26 Standard- datenschutzklauseln Standard- vertragsklauseln (SCC) Norm Art. 46Abs. 2 lit. c, d DSGVO Art. 28Abs. 7, 8 DSGVO Zweck Datenübermittlung in Drittland ohne angemessenes Datenschutzniveau Datenübermittlung innerhalb der EU; einheitliche Regeln für Verträge zwischen Verantwortlichen und Auftragsverarbeitern Begrifflichkeit gem. Beschl. der EU- Kommission   verpflichtend?  
  27. 27. 2. Datenübermittlung an Dritte 27 ab 04.06.2021 • Vereinbarung neuer SCC möglich bis 26.09.2021 • Vereinbarung alter SCC zulässig ab 27.12.2022 • alte SCC verlieren Gültigkeit ab 01.01.2023 • neue SCC verpflichtend
  28. 28. 2. Datenübermittlung an Dritte  Wer kann gemeinsamVerantwortlicher* sein?  „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel derVerarbeitung von personenbezogenen Daten entscheidet; […]“ * engl.:Joint Controllership (JC) 28 Art. 4 Nr. 7 DSGVO
  29. 29. 2. Datenübermittlung an Dritte  Beispiele gemeinsameVerantwortlichkeit  gemeinsameVerwaltung bestimmter Datenkategorien (z.B.Adressdaten) für bestimmte gleichlaufende Geschäftsprozesse mehrerer Konzernunternehmen  gemeinsame Errichtung einer IT-Infrastruktur, auf der mehrere Beteiligte ihre jeweils individuellen Zwecke verfolgen (z.B. gemeinsames Betreiben einer Online-Plattform für Reisereservierungen durch ein Reisebüro, eine Hotelkette und eine Fluggesellschaft)  klinische Arzneimittelstudien, wenn mehrere Mitwirkende (z.B. Sponsor, Studienzentren und Ärzte) jeweils inTeilbereichen Entscheidungen über dieVerarbeitung treffen  E-Government-Portal, bei dem mehrere Behörden Dokumente zum Abruf durch Bürger bereitstellen  Personalvermittlungs-Dienstleister, der für einen Arbeitgeber Bewerber sichtet und hierbei auch bei ihm eingegangene Bewerbungen einbezieht, die nicht gezielt auf Stellen beim Arbeitgeber gerichtet sind  je nach Gestaltung ggf. auch ein gemeinsamer Informationspool bzw. eine Warndatei mehrererVerantwortlicher (z.B. Banken) über säumige Schuldner 29
  30. 30. 2. Datenübermittlung an Dritte  JC-Vertrag  Pflichtinhalte gem. Art 26 Abs. 1 S. 2, 3, Abs. 2 DSGVO  keine Formvorgaben (ideal: schriftlich / elektr.)  wichtige Regelung: wer ist für welcheVerarbeitungen verantwortlich?  „DieVereinbarung […] muss die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsamVerantwortlichen gegenüber betroffenen Personen gebührend widerspiegeln.“ (Art. 26 Abs. 2 S. 1 DSGVO) 30
  31. 31. 2. Datenübermittlung an Dritte  Wer kann getrennter / eigenerVerantwortlicher sein?  „[…] die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel derVerarbeitung von personenbezogenen Daten entscheidet; […]“  versch.Verantwortliche, d.h. kein gesonderter Datenschutz- Vertrag erforderlich 31 Art. 4 Nr. 7 DSGVO
  32. 32. 2. Datenübermittlung an Dritte  Beispiele getrennteVerantwortlichkeit  Versanddienstleister (Dt. Post etc.)  Kreditinstitute  Steuerberater (vgl. § 11 Abs. 2 S. 2 StBerG)  Angehörige freier Berufe (Anwälte, Ärzte…) 32
  33. 33. 2. Datenübermittlung an Dritte 33 Vertragspartner Einordnung Vertrag vorhanden? Steuerberater XYZ getr.Verantwortung - IT-DienstleisterZYX AV-Verhältnis  Facebook (Fanpage) JC-Verhältnis  Web-Hoster ABC AV-Verhältnis  … … … Praxistipp: Übersicht mit Dienstleistern / Auftragnehmern anlegen
  34. 34. Inhalt / Übersicht 1. Einführung / Überblick 2.Datenübermittlung an Dritte 3. Datentransfer ins Ausland 34
  35. 35. 3. Datentransfer ins Ausland  Verarbeitung personenbezogener Daten -> Rechtsgrundlage erforderlich  Übermittlung personenbezogener Daten an Dritte -> weitere Legitimation nötig  Übermittlung personenbezogener Daten ins Ausland -> zusätzlicheVoraussetzungen zu erfüllen 35
  36. 36. 3. Datentransfer ins Ausland  Datentransfer innerhalb EU / EWR  gleiches Datenschutzniveau aufgrund der Vollharmonisierung durch die DSGVO  AV- / JC-Vertrag  AV-Verhältnis: aktuelle SCC für Datenübermittlung innerhalb EU / EWR empfehlenswert (vgl. Art. 28 Abs. 7, 8 DSGVO) 36
  37. 37. 3. Datentransfer ins Ausland  Datentransfer in Drittstaat mit Angemessenheitsbeschluss  kein EU- / EWR-Mitglied  aber: nach Prüfung der EU-Kommission ein mit der EU vergleichbares, angemessenes Datenschutzniveau bescheinigt  wird datenschutzrechtlich behandelt wie EU- / EWR-Mitglied  AV- / JC-Vertrag  AV-Verhältnis: aktuelle SCC für Datenübermittlung in Drittstaat empfehlenswert (vgl. Art. 46 Abs. 2 lit. c, d DSGVO) 37
  38. 38. 3. Datentransfer ins Ausland  Drittstaaten mit Angemessenheitsbeschluss (Stand: 10/2021)  Andorra  Argentinien  Kanada  Färöer Inseln  Großbritannien (seit 1. Juli 2021)  Guernsey  Israel  Isle of Man  Japan  Jersey  Neuseeland  Schweiz  Uruguay  geplant: Republik Süd-Korea  nicht mehr mit dabei: USA (seit 16. Juli 2020) 38
  39. 39. 3. Datentransfer ins Ausland  Datentransfer in unsicheren Drittstaat [1/2]  kein EU- / EWR-Mitglied  kein Angemessenheitsbeschluss  z.B. China, Indien, Russland  spezieller Angemessenheitsbeschluss der USA in Form des sog. EU-US-Privacy-Shield seit dem sog. „Schrems II“-Urteil des EuGH vom 16.07.2020 (Az. C-311/18) unwirksam, d.h. auch die USA sind inzwischen ein unsicherer Drittstaat 39
  40. 40. 3. Datentransfer ins Ausland  Datentransfer in unsicheren Drittstaat [2/2]  angemessenes Datenschutzniveau muss auf andere Weise hergestellt werden  z.B. durch Verwendung der aktuellen SCC  aber: zusätzliche Maßnahmen erforderlich 40
  41. 41. 3. Datentransfer ins Ausland 41 SCC-Konstellationen Verantwortlicher ->Verantwortlicher (C2C) Bsp.: RA tritt Forderung an ausl. Inkassounternehmen ab Verantwortlicher –> Auftragsverarbeiter (C2P) Bsp.: RA nutzt ausl. E-Mail-Hoster Auftragsverarbeiter –> (Unter-) Auftragsverarbeiter (P2P) Bsp.: Auftragsverarbeiter beauftragt ausl. Subunternehmer Auftragsverarbeiter –>Verantwortlicher (P2C) Bsp.: ausl. Unternehmen beauftragt EU-Auftragsverarbeiter
  42. 42. 3. Datentransfer ins Ausland  Bsp. SCC-Generatoren  http://www.taylorwessing.com/de/online-services/scc-generator  http://www.essentialguarantees.com/scc/  https://shop.haerting.ch/scc-generator/  https://www.eco.de/services/scc-generator/  https://www.oppenhoff.eu/de/legaltech/scc-generator  https://www.fieldfisher.com/de- de/locations/germany/services/datenschutz/myscccreator  https://www.decidea.com/books/1324 42
  43. 43. 3. Datentransfer ins Ausland 43 Modul Inhalt Abschnitt I allg. Regelungen Abschnitt II Pflichten derVertragsparteien, spez. Regelungen für Transferkonstellation Abschnitt III Auswirkungen lokaler Gesetze, Pflichten des Datenimporteurs Abschnitt IV Schlussbestimmungen (z.B. Kündigungsregeln, anwendbares Recht) Anhang I Details zuVertragsparteien, Daten, zust. Aufsichtsbehörden, Übermittlungskonstellation Anhang II Beschreibung derTOMs Anhang III ggf. Angaben zu weiteren (Unter-) Auftragnehmern
  44. 44. 3. Datentransfer ins Ausland Datenübermittlungs-Folgenabschätzung = Data Transfer Impact Assessment oder kurz: (D)TIA vgl. SCC Abschnitt III, Klausel 14: „Durchführung einer Prüfung des Bestimmungsdrittlands auf Grundlage spezifischer Umstände der Rechtsordnung des Drittlandes“ Datenexporteur muss sich davon überzeugen, dass Datenimporteur seinen SCC-Pflichten nachkommen kann und nicht durch lokale Gesetze daran gehindert wird (vgl. z.B. CLOUDAct oder FISA in den USA) 44
  45. 45. 3. Datentransfer ins Ausland insbesondere beiTIA zu berücksichtigen: die Zwecke derVerarbeitung Kategorien & Format der personenbezogenen Daten Länge der Verarbeitungskette & Anzahl der beteiligten Akteure Übertragungskanäle & beabsichtigte Datenweiterleitungen tatsächliche Umstände der Übermittlung, z.B. ob Daten im Drittland gespeichert werden oder es lediglich zu Zugriffen aus dem Drittland kommt alle relevanten vertraglichen, technischen oder organisatorischen Garantien & angewandte Maßnahmen 45
  46. 46. 3. Datentransfer ins Ausland 46 Prüfreihenfolge* Know your transfers (Übersicht Datentransfers) Prüfung Rechtsgrundlage (innerhalb EU/EWR? Angemessenheitsbeschluss? SCC?) Risikoabschätzung (TIA) ggf. zusätzliche Maßnahmen (Anonymisierung, Pseudonymisierung, Verschlüsselung…) ggf. formale Schritte (z.B. Anpassung der SCC) regelmäßige Prüfung (z.B. der ausl. Rechtslage) * gem. EDSA „Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung vonÜbermittlungstools zur Gewährleistung des unionsrechtlichenSchutzniveaus für personenbezogene Daten“
  47. 47. 3. Datentransfer ins Ausland  Bsp. zusätzlicher Maßnahmen*  vertraglich  organisatorisch  technisch • Verschlüsselung • Pseudonymisierung • Anonymisierung • … * EDSA „Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten“ 47
  48. 48. Rechtsanwalt Michael Rohrlich Heinestr. 9 52146Würselen Tel.: 02405 – 1408040 Fax: 02405 – 1408041 Mobil: 0177 – 5554462 E-Mail: info@ra-rohrlich.de WWW: ra-rohrlich.de Facebook: facebook.com/ra.rohrlich Twitter: twitter.com/MichaelRohrlich Xing: xing.com/profile/Michael_Rohrlich LinkedIn: linkedin.com/in/michael-rohrlich- 3577b3109 Internet: www.ra-rohrlich.de www.rechtssicher.info 48

×