Branchen
Branchen im Überblick
Energie- & Versorgungswirtschaft
Fertigungsindustrie
Gesundheitswesen & Life Science
Handel & Konsumgüter
Media & Entertainment
Öffentlicher Sektor
Beratung & Innovation
Beratung
Business Transformation
Technologieberatung
Prozessberatung
Innovation
Generative KI
Souveräne KI
Metaverse
Beratung
Business Transformation
Business Transformation Consulting
Lösungen & Produkte
Lösungen
Souveräne IT
Business Process Management
Customer Experience
Daten & Automatisierung
Digital Workplace
Digital Commerce
Fälschungssicherheit
Finance
SCM & Logistik
Produkte
Arvato Systems Alive
Unified Commerce mit aroma®
Digital Workplace mit NAVOO®
Logistikprozesse digitalisieren mit platbricks®
Vulnerability Management mit VAREDY
Nachhaltigkeitsmanagement mit green.screen
Weitere Produkte
Technologien
Amazon Web Services
Google Cloud
Microsoft
SAP
Weitere Partner
Lösungen
Business Process Management
Prozessmodellierung und Prozessdokumentation
Process Mining
Prozessautomatisierung
Governance, Risk & Compliance
Lösungen
Customer Experience
API Management
App Entwicklung
Arvato Systems Alive
Customer Experience Consulting
Content Management
Customer Relationship Management
Hyperpersonalisierung
Kundenbindung
Product Information Management
UX- & UI-Design
Lösungen
Daten & Automatisierung
Data Fabric
Data Governance
Generative KI
Hyperautomation
DocuStream
Künstliche Intelligenz
Robotic Process Automation
Self-Service Business Intelligence
Lösungen
Digital Workplace
Digitales Sitzungsmanagement
Digital Workplace mit NAVOO®
Gast User Manager
Microsoft 365
Microsoft 365 Backup-Service
Microsoft 365 Datenschutz
Microsoft Power Platform
Workplace Security
Lösungen
Fälschungssicherheit
Serialisierung in der Konsumgüterindustrie
Serialisierung in der Pharmaindustrie
Lösungen
SCM & Logistik
Warehouse Management
Transport Management
Produktionsplanung
Logistikprozesse digitalisieren mit platbricks®
Künstliche Intelligenz in der Logistik
Logistik 4.0
SCM & Logistik
Logistikprozesse digitalisieren mit platbricks®
Production Supply
Behältermanagement
Warehouse Management System
Mobile Solutions
Analytics
Chatbots
Gamification
Healthcare Suite
Technologien
Amazon Web Services
Amazon Connect Contact Center
AWS Container Acceleration
AWS Cloud Migration
SAP on AWS
Technologien
Google Cloud
API Management mit Apigee
Modern Data Warehouse Management mit BigQuery
SAP on Google Cloud
Google Cloud Landing Zone
Technologien
Microsoft
Microsoft Azure
SAP on Azure
Microsoft 365
Microsoft Power Platform
Technologien
SAP
SAP Application Management Service
SAP Business Technology Platform
SAP Customer Experience
SAP Lizenzmanagement
SAP on Cloud
SAP RISE
SAP S/4HANA
End-2-End Process Monitoring
SAP Datasphere
SAP BW/4HANA
Infrastruktur & Betrieb
Cloud & Data Center Services
Cloud Transformation
IT Outsourcing & Infrastructure Services
Multi & Hybrid Cloud
SAP on Cloud
Virtual Desktop Infrastructure
Workload Automation
Security Services
Cyber Care & CDC
Disaster Recovery
Vulnerability Management mit VAREDY
SAP Security
Managed Services
Cloud Foundation
Managed Workloads
Application Management
Cloud & Data Center Services
Cloud Transformation
Application Modernization on Cloud
Data Center on Cloud
Data Management on Cloud
Enterprise Application Integration
Managed Cloud IT mit Avvia
Cloud & Data Center Services
IT Outsourcing & Infrastructure Services
SAP Hosting
Cloud & Data Center Services
Multi & Hybrid Cloud
Amazon Web Services
Google Cloud
Microsoft Azure
Virtual Private Cloud
Über uns & Aktuelles
Über Arvato Systems
Auszeichnungen
Corporate Responsibility
Management
Mitgliedschaften und Zertifizierungen
Partnerschaften
Referenzen
Standorte
Presse
Termine & Events
Kontakt
Datenschutz | DSGVO

Drittland-Dienstleister:

Rechtskonformer Drittland-Transfer

...
Tiny PNG Großjohann
Verfasst von
Datenschutz: Zusammenarbeit mit internationalen Dienstleistern
16.11.2023
IT Outsourcing
Digitale Transformation
Datenmanagement
Cloud

In Zeiten der Digitalisierung sind agile IT-Lösungen für Unternehmen essenziell. Neben kontinuierlicher Systemleistung steht der individuelle Kundenbedarf im Fokus. Ohne Dienstleister, die meist auf weitere (internationale) Subdienstleister setzen, ist diese Flexibilität nicht möglich.

Datentransfer und Drittland

AdobeStock_647101647_735x492px

Im Rahmen seiner Tätigkeit ist es für den Dienstleister häufig unumgänglich, auf die personenbezogenen Kundendaten seiner Auftraggeber zuzugreifen. Dies bedingt entweder, dass die Daten physisch weitergeleitet werden, zum Beispiel zur Speicherung in einer Cloud,  oder dass der Dienstleister direkt Zugriff auf die Daten erhält etwa durch Remote-Support-Leistungen. Dabei liegt es in der Verantwortung des Auftraggebers, ein angemessenes Datenschutzniveau mit seinem Dienstleister zu vereinbaren, um das Risiko der Verarbeitung für die betroffenen Personen so gering wie möglich zu halten. Die Verarbeitung personenbezogener Daten erfolgt dann auf Basis eines Auftragsverarbeitungsvertrags (AVV). Geeignete technische und organisatorische Maßnahmen wiederum sorgen für die Sicherheit in der Datenverarbeitung. 

Hat der Dienstleister seinen Sitz innerhalb der EU oder des EWR und erbringt seine Leistung aus dieser Region, unterliegt er direkt der EU-Datenschutzgrundverordnung (DSGVO). Unter diesen Voraussetzungen ist auch ein hohes Datenschutzniveau gegeben.  

Handelt es sich um Dienstleister außerhalb der EU/des EWR oder bindet dieser weitere Unterauftragnehmer ein, die ihre Leistungen aus einem solchen sogenannten Drittland erbringen, gelten andere gesetzliche Bestimmungen. In diesen Fällen kann das Datenschutzniveau von dem abweichen, welches die DSGVO als angemessen definiert. Unter diesen Umständen sind weitere Bedingungen zu erfüllen und Garantien erforderlich, die ein angemessenes Datenschutzniveau ermöglichen. Dabei ist es Aufgabe des Dienstleisters, die mit dem Auftraggeber vereinbarten Anforderungen an den Datenschutz in der gesamten Kette seiner Subdienstleister zu erfüllen. 

Garantien für einen sicheren Drittland-Transfer

Die Datenschutzgesetzgebung sieht eine Reihe von Instrumenten vor, die eine sichere Datenübermittlung in ein Land außerhalb der EU/des EWR gestatten. 

  • Bei der am häufigsten eingesetzten Garantie handelt es sich um die sogenannten EU-Standardvertragsklauseln, die zusätzlich zum Auftragsverarbeitungsvertrag abgeschlossen werden. Die aktuelle Version dieser Klauseln – im Juni 2021 von der Europäischen Kommission erlassen – ist modular aufgebaut und lässt sich in mehreren Konstellationen einsetzen. Im Umfeld der Auftragsverarbeitung ist eine solche Vereinbarung zwischen Auftragsverarbeiter und (Unter-)Auftragsverarbeiter gängige Praxis. 
  • Im Zusammenhang mit den Standardvertragsklauseln ist wiederum eine Risikobewertung (Transfer Impact Assessment) erforderlich. Der Datenexporteur muss die Rechtslage beziehungsweise das Datenschutzniveau des Drittlands prüfen und bewerten, ob der Empfänger durch geltendes Recht im Drittstaat gezwungen sein kann, gegen die Regelungen aus den Verträgen zu verstoßen. Ist dies der Fall, gilt es, zusätzliche Maßnahmen zur Datensicherheit zu ergreifen. 
  • Multinationale Konzerne etwa können die Übermittlung der Daten über Binding Corporate Rules (BCR) absichern. Bei BCRs handelt es sich um verbindliche unternehmensinterne Datenschutzvorschriften, die ein angemessenes Datenschutzniveau schaffen und es ermöglichen, personenbezogene Daten an Tochterfirmen in Drittstaaten zu übermitteln. Somit stellen diese Regelungen ebenfalls eine geeignete Garantie für den Drittlandtransfer dar. Allerdings müssen sie von der Aufsichtsbehörde freigegeben werden. 
  • Auch auf der Grundlage eines Angemessenheitsbeschlusses ist es möglich, personenbezogene Daten in ein Drittland zu übermitteln. Diesen Beschluss fasst die Europäische Kommission, wenn sie feststellt, dass das Schutzniveau in einem bestimmten Land gleichwertig mit dem der DSGVO ist. Liegt ein solcher Angemessenheitsbeschluss vor, darf der Datentransfer in dieses Land ohne weitere Garantien erfolgen. Zu beachten ist jedoch, dass sich die jeweiligen Beschlüsse in ihrer inhaltlichen Reichweite von Land zu Land unterscheiden können. So gilt beispielsweise das EU-U.S. Data Privacy Framework lediglich für teilnehmende Unternehmen in den USA.  

Das EU-U.S. Data Privacy Framework (DPF)

Arvato-Systems-Blogartikel-Datenschutz-AdobeStock_636775901

Für die Datenübermittlung in die USA hat seit kurzem das EU-U.S. Data Privacy Framework (DPF) hohe Relevanz. Es ist am 10.07.2023 in Kraft getreten und stellt eine Garantie für den Drittlandtransfer in Form eines Angemessenheitsbeschlusses dar. Das DPF ermöglicht einen rechtssicheren Datentransfer an jene amerikanischen Unternehmen, die sich dafür ausdrücklich zertifiziert haben. 

Es ist das dritte Abkommen zwischen der EU und den USA zum Datentransfer, nachdem der Europäische Gerichtshof die Vorgänger Safe Harbour (Schrems-I-Urteil, 2015) und Privacy Shield (Schrems-II-Urteil, 2020) für ungültig erklärte. Max Schrems, ein österreichischer Datenschutzaktivist, hatte die Klagen aufgrund des unzureichenden US-Datenschutzniveaus angestoßen. 

Das DPF beinhaltet nun weitere Garantien zum Datenschutz sowie eine Stärkung der Rechte betroffener EU-Bürger. Insbesondere wurde ein zweistufiges Rechtsbehelfssystem eingerichtet, das Beschwerden seitens betroffener EU-Bürger vereinfachen soll und es ermöglicht, gefällte Entscheidungen anzufechten. Die Aktivitäten der Geheimdienste werden stärker überwacht und ein Datenzugriff auf das beschränkt, was zum Schutz der nationalen Sicherheit der USA notwendig und verhältnismäßig ist. Zertifizierte Unternehmen müssen sich an Regelungen wie Zweckbindung, Informationspflichten und Erfüllung von Betroffenenrechten halten und werden regelmäßig kontrolliert. 

Wie lange das DPF Gültigkeit haben wird, bleibt abzuwarten. Die Sicherheitsgesetze der USA haben sich durch den neuen Angemessenheitsbeschluss nicht geändert und bei Max Schrems liegt daher die nächste Klage bereits in der Schublade. Zudem haben auch europäische Datenschutzbehörden bereits erste Kritik an der Angemessenheit der Maßnahmen geäußert. 

Aktuell stellt das DPF allerdings eine valide Garantie für den Transfer personenbezogener Daten in die USA dar und verbessert somit die Bedingungen für eine Datenübermittlung maßgeblich. Es ist fast schon selbstverständlich, dass alle großen Hyperscaler zu den teilnehmenden Unternehmen gehören. 

IT-Kompetenz trifft Datenschutz

Arvato Systems arbeitet seit Jahren erfolgreich mit Dienstleistern innerhalb der EU/des EWR, aber auch in den USA und weiteren Ländern außerhalb Europas zusammen, um bestmögliche Serviceleistungen zu erbringen. Insbesondere mit Microsoft verbindet uns eine langjährige Partnerschaft. Mit unserer Expertise in der kompletten Microsoft Cloud unterstützen wir unsere Kunden in der Digitalen Transformation und beraten unter anderem im Kontext von Microsoft 365. Stets die rechtlichen Rahmenbedingungen im Blick, berücksichtigen wir als IT-Spezialist die Anforderungen unser Auftraggeber und sorgen so für ein angemessenes Schutzniveau der uns anvertrauten personenbezogenen Daten.  

Das könnte Sie auch interessieren

Öffentlicher Sektor

Erfahren Sie hier mehr zu unseren IT-Lösungen für die Digitalisierung im öffentlichen Sektor.

Mehr erfahren
Microsoft 365 Datenschutz

Unsere datenschutzfreundlichen Konfiguration von Microsoft 365 für mehr Datenschutz & Datensouveränität in der Public Cloud.

Mehr erfahren
Digital Workplace mit Microsoft 365

Ihr Digital Workplace mit Microsoft 365 Lösungen. Digitalisieren Sie Ihren Arbeitsplatz mit Arvato Systems!

Mehr erfahren

Verfasst von

Tiny PNG Großjohann
Sonja Großjohann
Data Protection Coordinator
Abonnieren Sie unseren monatlichen Newsletter
ImpressumDatenschutzAllgemeine EinkaufsbedingungenKarriere bei Arvato SystemsKontaktCookie-Einwilligung anpassen
© 2024 Arvato Systems