Branchenlösungen

Nicht jedes Unternehmen, jede Praxis oder Agentur ist verpflichtet, einen Datenschutzbeauftragten zu bestellen. Der Schwellenwert gem. Bundesdatenschutzgesetz liegt bei 20 Mitarbeitern. Andere Unternehmen haben einen eigenen Mitarbeiter zum Datenschutzbeauftragten bestellt, dieser muss sich jedoch erst mit dem umfangreichen Thema vertraut machen. Das erfordert Ressourcen an Zeit und Geld. Seine eigentliche Tätigkeit kann der Mitarbeiter mitunter ganz oder teilweise nicht mehr ausüben.

Wir können Ihnen helfen!

Für Unternehmer, Inhaber oder betriebliche Datenschutzbeauftragte, denen der Datenschutz zu komplex ist und wertvolle Arbeitszeit raubt, haben wir ein Datenschutzpaket zusammengestellt. Mit unseren Tools und unserem Know-how können wir Sie unterstützen, Ihre Aufgaben umzusetzen und gesetzliche Vorgaben effektiv zu erfüllen. Für Branchen, die aus unserer Erfahrung risikobehaftet sind, was den Verstoß gegen datenschutzrechtliche Anforderungen, in Verbindung mit zu erwartenden Sanktionen und Bußgeldern, betrifft, bieten wir unsere Tools und Vorlagen an, um insbesondere den Dokumentationspflichten nachzukommen.

Grundpaket

  • individueller Account auf unser Datenschutz-Management-System
  • individueller Account auf unser Onlineschulungstool zum Datenschutz
  • Bereitstellung von branchenspezifischen Unterlagen (Richtlinien, Arbeitsanweisungen, Vereinbarungen, …) als Entwurf
  • branchenspezifische Vorlagen für Verzeichnis für Verarbeitungstätigkeiten
  • Verzeichnis zu branchenspezifische Auftragsdatenverarbeiter

optional

  • Webseiten-Check inkl. Prüfung/Anpassung Datenschutzerklärung
  • Bereitstellung eines Consent Manager Tools (umgangssprachlich Cookiebanner) für die eigene Webseite (über Kooperationspartner)
  • Prüfung von Datenschutzvereinbarungen (AVV) und Unterstützung bei der Kommunikation mit den Dienstleistern
  • individuelle Beratung zu Datenschutzthemen auf Anfrage (Probleme, die Sie nicht lösen können oder wollen) via Telefon oder Video
  • Durchführung von Datenschutzaudits vor Ort oder online inkl. Bericht

Preis

vertragliche Mindestlaufzeit
Grundpaket 3 Jahre 5 Jahre
Monatspauschale        98,00           84,80
Jahr*   1.176,00      1.017,60
* 10 % Rabatt bei vorab Zahlung des jährlichen Gesamtbetrags
optional
jeder zusätzliche Account ZDMS        25,00  monatlich
Webseitencheck    100,00  einmalig pro URL
Consent-Manager        15,00  pro Monat
Coaching        75,00  pro Stunde
Datenschutzaudit  auf Anfrage

Sie haben die Möglichkeit, unsere Tools 1 Monat kostenfrei zu testen. Wenden Sie sich dazu bitte an uns.

Alle Preiseangaben in EURO zzgl. der gesetzlichen Mehrwertsteuer.

Wir betreuen über 50 Hotels in Deutschland und Österreich. Profitieren Sie von unseren Erfahrungen! Ob Einzelhotel oder Hotelgruppe, wir kennen die Lösung.

Gastdaten in der Hotellerie zeichnen sich insbesondere durch drei Dinge aus: Das Hotel erhält die Daten auf den unterschiedlichsten Wegen, viele Daten werden während eines Hotelaufenthaltes automatisch erfasst und es handelt sich bei den gespeicherten Daten meist um sehr persönliche und sensible Informationen über den Gast.

Der Rund-um-Check für Ihre Sicherheit
Wir überprüfen Ihre internen Prozesse, damit Ihre Gäste besser schlafen und Sie sich darauf konzentrieren können, ein guter Gastgeber zu sein. Von der Gastdatenverwaltung bis zum Onlinebuchungssystem, von der Reservierung bis zum elektronischen Meldeschein, von der E-Mail bis zum Newsletter, vom Webauftritt bis zum Hotelbewertungstool schauen wir auf alle wichtigen Aspekte, damit Sie alle gesetzlichen Anforderungen erfüllen. Wichtig ist aber auch, dass alle Mitarbeiter über die datenschutzrechtlichen und datensicherheitstechnischen Anforderungen Kenntnis haben. Minimieren Sie Ihr geschäftliches Risiko und sorgen Sie durch ein hohes Maß an Sicherheit für die Zufriedenheit Ihrer Gäste!

Als externer Datenschutzbeauftragter unterstützen wir die Hotelleitung bei der Umsetzung von Datenschutzmaßnahmen. Gern begleiten wir auch den eigenen betrieblichen Datenschutzbeauftragten und bauen zusammen mit ihm ein Datenschutzmanagement System (DSMS) auf. Kontaktieren Sie uns!

Kleinen und mittleren Hotels, wo ein Mitarbeiter die Aufgaben des Datenschutzbeauftragen neben der täglichen Arbeit mit erledigt oder wo kein Datenschutzbeauftragter bestellt werden muss, da nicht mehr als 20 Mitarbeiter im Hotel tätig sind, bieten wir auch unsere Unterstützung an. Diesen Hotels, Pensionen aber auch Restaurants bieten wir unsere Softwarelösungen (Datenschutz-Management-System und Onlineschulung Datenschutz) zusammen mit vorgefertigten, hotelspezifischen Dokumenten und dem Verfahrensverzeichnis an.

Erfahren Sie oben mehr.

Nach unserem Datenschutz-Check erhalten Sie Antworten auf folgende Fragen:

  • Verarbeite ich die Daten meiner Gäste nach den gesetzlichen Anforderungen?
  • Reichen meine Sicherheitsvorkehrungen im Hotel aus, um die Daten ausreichend zu schützen?
  • Beachte ich die Vorgaben des PCI-DSS Standards der Kreditkartenindustrie?
  • Was muss ich bei der Aufbewahrung von Reservierungsunterlagen, Meldescheinen und Kreditkartenabrechungen beachten?
  • Sind die vertraglichen Beziehungen zu Dienstleistern, die der Auftragsdatenverarbeitung unterliegen, ausreichend geregelt?
  • Darf ich in einem Hotelverbund einfach die Gastdaten weitergeben?
  • Ist meine IT ausreichend geschützt?
  • Erfüllt mein Webauftritt die gesetzlichen Anforderungen?
  • Entsprechen meine Werbemaßnahmen den Anforderungen des Wettbewerbs- und Datenschutzgesetzes?
  • Ist die Erteilung von Auskünften von Daten ausreichend geregelt?
  • Sind meine Mitarbeiter ausreichend zu den Themen des Datenschutzes und der Datensicherheit sensibilisiert?
  • Benötige ich einen Beauftragten für Datenschutz?
  • Was muss ich noch tun?

Datenschutz in der Arztpraxis

Die Verarbeitung von Gesundheitsdaten gehört zum sensibelsten Bereich des Datenschutzes. An die Verarbeitung von personenbezogenen Gesundheitsdaten stellt die  DSGVO sehr hohe Anforderungen, um das Risiko eines möglichen Datenmissbrauches oder Datenverlustes zu minimieren. Die Verantwortung für die Daten von Patienten liegt beim Arzt oder Praxisbetreiber. Sie sind immer für den Schutz und die Sicherheit der Patientendaten verantwortlich, die in der Praxis erhoben oder verarbeitet werden.

Sie möchten die Sicherheit im Umgang mit den Patientendaten erhöhen und datenschutzrechtliche Anforderungen zielgerichtet umsetzten? Dann können Sie sich vertrauensvoll an uns wenden.

Der Rund-um-Check für Ihre Sicherheit
Das Vertrauen zwischen Arzt und Patient ist eine wichtige Voraussetzung für eine erfolgreiche Behandlung. Schützen und bestärken Sie das Vertrauen der Patienten durch optimale interne Prozesse. Von der Patientenverwaltung bis hin zum E-Mail-System, vom Webauftritt bis zum WLAN schauen wir auf alle wichtigen Aspekte, damit Sie alle gesetzlichen Anforderungen erfüllen und Kriminelle keine Chance haben. Minimieren Sie Ihr geschäftliches Risiko und sorgen Sie durch ein hohes Maß an Sicherheit für die Zufriedenheit Ihrer Patienten!

Arztpraxen haben ganz eigene Herausforderungen an den Umgang mit Patientendaten, denn diese unterliegen einem besonderen Schutzbedürfnis. Neben einem verantwortungsvollem Umgang mit der Patientenakte und den im Computer gespeicherten Daten liegt auch der Schwerpunkt auf eine sichere Weitergabe von Patientendaten an andere behandelnde Ärzte oder andere Gesundheitseinrichtungen.

Nach unserem Datenschutz-Check erhalten Sie Antworten auf folgende Fragen:

  • Verarbeite ich Patientendaten nach den gesetzlichen Anforderungen?
  • Reichen meine Sicherheitsvorkehrungen in der Arztpraxis aus, um die Patientendaten ausreichend zu schützen?
  • Ist meine IT ausreichend geschützt?
  • Erfüllt mein Webauftritt die gesetzlichen Anforderungen?
  • Reichen meine Schutzmechanismen bei der Übermittlung von Patientendaten an Dritte aus?
  • Ist die Erteilung von Auskünften ausreichend geregelt?
  • Sind meine Mitarbeiter ausreichend zu den Themen des Datenschutzes und der Datensicherheit sensibilisiert?
  • Benötige ich einen Beauftragten für Datenschutz?
  • Was muss ich noch tun?

Die Beratung von Arztpraxen im Hinblick auf Datenschutz und Datensicherheit mit all ihren Farcetten ist unsere Bestimmung. Dabei unterstützen wir (neue) interne Datenschutzbeauftragte bei der Erfüllung ihrer Aufgaben oder sind als externe Datenschutzbeauftragte tätig.

Seit 2006 beraten wir erfolgreich rund um die Themen Datenschutz und Datensicherheit. Maßgeschneiderte Lösungen, welche die gesetzlichen Bestimmungen erfüllen, aber individuell auf die Arztpraxis abgestimmt sind, stehen dabei für uns im Vordergrund. Dadurch wird das Vertrauen der Patienten gestärkt, das Risiko einer Datenpanne gesenkt und die Akzeptanz bei den Mitarbeitern erhöht.

Start Up’s – Unternehmen und Datenschutz gehören von Anfang an zusammen!

Jung, dynamisch, innovativ und auf Wachstum ausgerichtet, das sind Start up – Unternehmen. Aus einer Idee wird eine geschäftliche Grundlage. Dabei muss der Datenschutz bei Start up’s kein Widerspruch sein. Bringen Sie Ihr Unternehmen in Einklang mit den relevanten Datenschutzgesetzen und vermeiden Sie so Haftungs- und Reputationsschäden. Datenschutz gehört zu den wichtigsten Verantwortungsbereichen eines Geschäftsführers, welcher persönlich bei Datenschutzverletzungen haftet. Der Schutz der Kundendaten spielt gerade im Technologiesektor eine immer wichtigere Rolle und kann ein entscheidender Wettbewerbsvorteil gegenüber der Konkurrenz darstellen. Zeigen Sie Ihren Kunden wie wichtig Sie den Schutz der persönlichen Daten nehmen. In der Startphase des Unternehmens ist die Implementierung von Datenschutzmaßnahmen noch einfach und mit relativ geringem Aufwand verbunden. Wir wachsen mit Ihnen, nutzen Sie unsere Potenziale! Eingefahrene Prozesse zu ändern ist aufwendig und teuer.

Zentrale Datenschutzthemen bei Startup’s

Werbeautritt
Das Aushängeschild eines jeden Unternehmens und besonders der Startup-Unternehmen ist der Webauftritt. Ob nun in den sozialen Medien oder als klassische Website sind vielfältige rechtliche Vorgaben zu beachten, wie z.B. die korrekte Hinterlegung des Impressums. Schaffen Sie Vertrauen zu Ihren Kunden durch transparente Aufklärung zur Erhebung, Speicherung und Nutzung der persönlichen Daten in einer Datenschutzerklärung. Cookies, Google Analytics & Co. sind nützliche Instrumente bei der Analyse der Webseitenbesucher, allerdings nur, wenn diese richtig und datenschutzgerecht eingesetzt werden. Sonst drohen Abmahnungen, die mit hohen Kosten verbunden sein können.

Wir prüfen Ihren Webauftritt aus Datenschutzsicht, damit Sie unbesorgt durchstarten können.

Werbung und Marketing
Besonders in der Startphase kann fehlendes oder unzureichendes Marketing das Aus bedeuten. Die potentiellen Kunden müssen schnell auf das Produkt oder die Dienstleistung aufmerksam gemacht werden, um das erste Geld zu verdienen. Viele Menschen sind schnell genervt, wenn sie von allen Seiten beworben werden – denn Sie sind nicht die Einzigen.

Vermeiden Sie die Verbraucherschutzfallen bei der Werbung per Brief, E-Mail oder SMS!

Werbliche Ansprachen sind in der Datenschutzgrundverordnung und im Gesetz gegen den unlauteren Wettbewerb geregelt. Halten Sie sich an die gesetzlichen Vorgaben? Unter welchen Voraussetzungen kann man Ausnahmeregelungen nutzen? Setzen Sie Ihre Werbungs- und Marketingmaßnahmen gezielt und rechtlich abgesichert ein. Fragen Sie uns!

IT Security
Das Thema IT-Security ist auch für Startup‘s von großer Bedeutung, gerade wenn sie sich im online-Umfeld bewegen. Startups können es sich im wahrsten Sinne nicht leisten, sich für zu klein zu halten und deswegen das Thema IT-Sicherheit zu ignorieren. Es ist daher entscheidend die IT-Sicherheit von Anfang an als erfolgskritische Investition zu betrachten, die so selbstverständlich ist, wie einen Bürostuhl oder Rechner zu kaufen. Schaffen Sie Vertrauen zu Ihren Kunden durch ausreichende Verschlüsselung, starken Authentifizierungsverfahren und anderen sicherheitserhöhenden Mitteln.

Zusammen mit unseren Partnern überprüfen wir Ihre IT-Organisation und unterstützen Sie bei der Absicherung Ihrer IT.

Outsourcing
Zunächst einmal kann der Einkauf von Services bei externen Dienstleistern gerade für Startup’s sehr vorteilhaft sein, insbesondere, wenn Ressourcen wie Kapital, Knowhow und Manpower begrenzt sind und die Unternehmensentwicklung flexibel bleiben soll. Keinesfalls darf das Outsourcing von Leistungen wie IT-Services, Controlling und Marketing als reine Bestell- und Bezahlleistung verstanden werden. Es handelt sich eher um einen sich entwickelnden Prozess und eine enge Partnerschaft zwischen Auftraggeber und Auftragnehmer. Dabei ist zu beachten, dass mitunter wichtige, wenn nicht essentielle Unternehmens- und Kundendaten in die Hände der Dienstleister gegeben werden, die zum Teil auch weit weg im Ausland ihren Sitz haben. Die sorgfältige Auswahl der Dienstleister und die vertragliche Gestaltung sind entscheidend für eine erfolgreiche Zusammenarbeit. Da es sich meist um eine Auftragsverarbeitung handelt sind hier datenschutzrechtliche Voraussetzungen zu schaffen, um auch den gesetzlichen Ansprüchen im Umgang mit personenbezogenen Daten zu genügen. Das Dienstleistungsmanagement ist eine mitunter sehr komplexe Aufgabe, bei der wir Sie gern unterstützen.

Datenschutz für Onlineshop-Betreiber

Kunden die in einem Onlineshop einkaufen, müssen zum Vertragsabschluss Daten zu ihrer Person angeben. Dabei speichert der Shop-Betreiber Daten wie den vollständigen Namen, die Rechnungs- und Lieferanschrift, die Email-Adresse, eventuell die Handynummer sowie je nach angebotenen Zahlungsarten auch Bankdaten. Auch wenn der Datenschutz für viele Betreiber von Onlineshops eine lästige Angelegenheit ist, sollten die jeweiligen gültige Rechtgrundlagen wie das Telemediengesetz und Bundesdatenschutzgesetz beachtet und umgesetzt werden. Anderenfalls können Abmahnungen oder sogar Schadensersatzforderungen die Folge sein, wenn die gespeicherten Daten anderweitig missbraucht oder sogar gestohlen wurden. Datenschutzverstöße oder die Missachtung des Auskunftsrechts können so schnell die Existenzgrundlage gefährden, und das nicht nur bei reinen Onlineshops sondern auch bei Unternehmen, die über ihre Webseite Produkte verkaufen.

Nach unserem Datenschutz-Check erhalten Sie Antworten auf folgende Fragen:

  • Verarbeite ich die Daten meiner Kunden nach den gesetzlichen Anforderungen?
  • Beachte ich die Vorgaben des PCI-DSS Standards der Kreditkartenindustrie?
  • Sind die vertraglichen Beziehungen zu Dienstleistern, insbesondere beim Auslagern von Online-Diensten und Hosting, ausreichend geregelt?
  • Erfüllt mein Webauftritt die sicherheitstechnischen und gesetzlichen Anforderungen?
  • Entsprechen meine Werbemaßnahmen den Anforderungen des Wettbewerbs- und Datenschutzgesetzes?
  • Ist die Erteilung von Auskünften von Daten ausreichend geregelt?
  • Sind meine Mitarbeiter ausreichend zu den Themen des Datenschutzes und der Datensicherheit sensibilisiert?
  • Benötige ich einen Beauftragten für Datenschutz?
  • Was muss ich noch tun?

Bildungsträger & Datenschutz

Wir beraten private Bildungseinrichtungen wie Hochschulen, Berufsschulen und Bildungsträger. Seit vielen Jahren sind wir bei unterschiedlichen Bildungsträgern als externe Datenschutzbeauftragte tätig.

Die datenschutzrechtlichen Anforderungen an Bildungsträgern sind sehr umfangreich. Der Umgang mit personenbezogenen Daten gehört bei ihnen zum Tagesgeschäft. Dabei werden oft neben den vertraglich notwendigen Daten umfangreiche Sozialdaten, die einer hohen Vertraulichkeit unterliegen, gespeichert. Bei der Speicherung und Nutzung von Schüler-, Studenten- oder Teilnehmerdaten sind neben den Datenschutzgesetzen viele zusätzliche Gesetzgebungen zu beachten.

Der Rund-um-Check für Ihre Sicherheit
Wir überprüfen Ihre internen Prozesse. Von der Verwaltung der Schüler-, Studenten- und Teilnehmerdaten bis hin zum E-Mail-System, vom Webauftritt bis zum online-Lernportal schauen wir auf alle wichtigen Aspekte, damit Sie alle gesetzlichen Anforderungen erfüllen. Wichtig ist aber auch, dass alle Mitarbeiter über die datenschutzrechtlichen und datensicherheitstechnischen Anforderungen Kenntnis haben. Minimieren Sie Ihr geschäftliches Risiko und sorgen Sie durch ein hohes Maß an Sicherheit für die Zufriedenheit aller Vertragsparteien!

Nach unserem Datenschutz-Check erhalten Sie Antworten auf folgende Fragen:

  • Verarbeite ich die Daten der Schüler, Studenten oder Teilnehmer an Aus- und Weiterbildungsmaßnahmen nach den gesetzlichen Anforderungen?
  • Reichen meine Sicherheitsvorkehrungen in der Schule aus, um die Daten ausreichend zu schützen?
  • Ist meine IT ausreichend geschützt?
  • Erfüllt mein Webauftritt die gesetzlichen Anforderungen?
  • Reichen meine Schutzmechanismen bei der Übermittlung von personenbezogenen Daten an Dritte aus?
  • Ist die Erteilung von Auskünften und Offenbarung von Daten ausreichend geregelt?
  • Sind meine Mitarbeiter ausreichend zu den Themen des Datenschutzes und der Datensicherheit sensibilisiert?
  • Benötige ich einen Beauftragten für Datenschutz?
  • Was muss ich noch tun?

Sie möchten die Sicherheit im Umgang mit den personenbezogenen Daten erhöhen und datenschutzrechtliche Anforderungen zielgerichtet umsetzten? Dann können Sie sich vertrauensvoll an uns wenden!

Webseiten prüfen

Am 01. Dezember 2021 tritt das Telekommunikation-Telemedien-Datenschutzgesetz, kurz TTDSG, in Kraft. Ab diesen Zeitpunkt gibt es in Deutschland eine gesetzliche Grundlage für das Tracking auf Webseiten, für Internetmarketing und den Einsatz von Cookies. Das Einwilligungsmanagement über Consent Manager, umgangssprachlich Cookie-Banner genannt, wird in §§ 25, 26 TTDSG geregelt. Wer hier Fehler bei der Umsetzung der gesetzlichen Vorgaben macht, muss mit einem Bußgelder rechnen.

Für Webseitenbetreiber ist es empfehlenswert, unabhängig ob bereits ein Consent-Manager auf der Webseite implementiert ist, eine erneute Prüfung zu veranlassen. Im Rahmen unserer Beratertätigkeit als Datenschutzbeauftragte haben wir in der Praxis oft die Erfahrung gemacht, dass nicht alles so scheint, wie es aussieht. Das hat jedoch ganz unterschiedliche Gründe.

Programmierer von Webseiten haben den Blick auf die Gestaltung und besondere Feature. Mittlerweile ist zwar allen Akteuren bewusst, dass die Einbindung von Consent Manager gesetzlich vorgegeben ist. Allerdings wird nicht immer das geeignete Tool ausgewählt oder falsch eingebunden. So müssen oft Kompromisse gemacht werden, um die Darstellung über alle Medien hinweg sicherzustellen. Oder es wird „geschummelt“, weil eCommerce und Marketing gern umfangreiche und aussagekräftige Auswertungen der Webseitenbesuche haben möchten bzw. Verkaufszahlen über Onlinedienste erhöht werden sollen.

All das spricht gegen den Grundgedanken des Datenschutzes, dem fairen Umgang mit persönlichen Daten. Wenn Besucher von Webseiten wissentlich oder unwissentlich getrackt werden und diese Daten auch Tec-Giganten wie Google und Facebook erhalten, dann ist hier von einem schweren Einschnitt in die Persönlichkeitsrechte auszugehen. Es darf nicht davon ausgegangen werden, dass sich die Nutzer der Telemedien selbst schützen können.

Wir wollen nachfolgend Hinweise geben Datenschutzbeauftragte, Webseitenprogrammierer oder interessierte Leser, Webseiten mit einfachen Mitteln prüfen können. Zur Prüfung nutzen wir den Firefox Browser bzw. vielmehr geeignete Add-ons. Hier gibt es einige im Angebot, wir nutzen zunächst NoScript, Ghostery und AntiBrowserSpy TrackingBlocker. Es sei darauf hinzuweisen, dass es selbstverständlich viel mehr Add-ons gibt, die ebenfalls geeignet sind. Wichtig ist nur, dass man nicht nur einen, sondern mehrere nutzt, da die angezeigten Ergebnisse hin und wieder abweichen.

Was steckt hinter den Add-ons? In ihrer Funktion blockieren sie Scripte, und somit die Datenübermittlung an Drittanbieter. Auf diese Weise zeigen sie in der Kopfzeile des Browsers alle Dienste an, welche sie blockieren bzw. durchlassen. Gibt man blockierte Dienste frei, werden ggf. neue Dienst aktiviert und angezeigt. Auf diese Weise kann eine Step-by-Step Prüfung vorgenommen werden.

Wird eine Webseite geöffnet, so erscheint zunächst der Consent Manager. Ohne „Bestätigung“ oder „Ablehnung“ sollten die Add-ons nur die notwendigen Dienste bzw. die URL anzeigen. Im zweiten Schritt ist zu prüfen, ob Dienste geladen werden, wenn alle einwilligungspflichtigen Cookies oder Scripte abgelehnt wurden. Trifft ein oder beide Fälle zu, ist davon auszugehen, dass der Consent Manager entweder falsch eingebunden oder einfach nur ein ungeeignetes Produkt ausgewählt wurde. In diesem Fall sollte sich mit den Programmierern in Verbindung gesetzt werden, um Abhilfe zu schaffen.

Wir haben bereits im März 2021 eine Bewertung von 21 Consent Managern durchgeführt. Bei der Bewertung haben wir keine technische Prüfung vorgenommen, sondern die von den Anbietern beschriebenen Funktionen gegenübergestellt. Unsere Auswertung kann Dir helfen zu schauen, welcher Consent Manager für die eigenen Zwecke geeignet ist. Bedenke bitte, dass viele Anbieter ihre Produkte ständig weiterentwickeln. Die Auswertung ist nur eine Momentaufnahme und stellt keine Kaufentscheidung dar. Zur Auswertung geht es hier.

Stand | 11.11.2021

Das EuGH-Urteil und die Auswirkungen auf die Nutzung von Dienstleistern für den Datentransfer

Am 16.Juli 2020 sprach der EuGH ein richtungsweisendes Urteil im sogenannten „Schrems II“–Verfahren. Das EuGH stellt mit dem Urteil klar, dass Daten von EU Bürgern nur an Drittländer außerhalb des Europäischen Wirtschaftsraums übermittelt werden dürfen, wenn die Daten in diesem Drittland einen im Wesentlichen gleichwertigen Schutz genießen wie in der EU. Für die USA hat der EuGH das Privacy Shield für unwirksam erklärt. Zudem müssen die Länder oder auch Dienstleister zusätzliche Sicherheiten garantieren.

Anbieter aus Drittländern sind dabei Unternehmen, die ihren Hauptsitz außerhalb der EU/EWR haben. Länder, welche aus Sicht der Europäischen Kommission einen ausreichenden Schutz garantieren können, werden in einer Liste der Angemessenheitsbeschlüsse veröffentlicht. Die Europäische Kommission hat bisher Andorra, Argentinien, Kanada (Handelsorganisationen), Färöer, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland, die Schweiz und Uruguay als ausreichenden Schutz anerkannt. Am 30. März 2021 wurden Gespräche mit Südkorea abgeschlossen. Die Europäische Kommission wird für Südkorea das Beschlussfassungsverfahren zur Annahme des Angemessenheitsbeschlusses einleiten.

Was muss bei den benannten „sicheren“ Ländern beachtet werden?

Mit Dienstleistern, die ihren Hauptsitz in „sicheren Drittländern“ haben, ist wie mit Vertragspartnern aus der EU/EWR zu verfahren. Im Vorfeld ist zu prüfen, ob die Verarbeitung der Daten bei oder durch den Dienstleister den Anforderungen der DSGVO entspricht. Wenn dies der Fall ist, ist eine Vereinbarung zur Datenverarbeitung im Sinne Art. 28 DSGVO oder eine Vereinbarung in gemeinsamer Verantwortlichkeit gemäß Art. 26 DSGVO abzuschließen. Genutzt werden können auch die am 04. Juni 2021 von der EU-Kommission veröffentlichten Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeiter. Hier der deutsche oder englische Vertragstext. Die Standardvertragsklauseln zur Auftragsverarbeitung sind allerdings nicht verpflichtend. Es können natürlich immer noch eigene Auftragsverarbeitungsverträge (AVV) verwendet und geschlossen werden. In Anbetracht eines Datentransfers in Drittstaaten bietet dieser Entwurf allerdings Sicherheiten in der Vertragsgestaltung für die Parteien.

Was ist mit allen anderen Ländern?

Diese Länder sind als „unsichere“ Drittstaaten anzusehen. Zu ihnen gehören neben den USA auch Staaten wie China, Russland, Indien. Wie sich der künftige Datentransfer nach Großbritannien nach dessen Austritt aus der EU entwickelt, ist momentan noch nicht absehbar. Die Tendenz geht dahin, dass ein Verfahren für ein Angemessenheitsbeschluss eingeleitet wird.

Für jedes Unternehmen, das als verantwortliche Stelle personenbezogene Daten verarbeitet, ergeben sich aus der neuen Rechtslage eine Vielzahl von Prüfschritten. Der Bundesbeauftragte für den Datenschutz und die Informationssicherheit hat hierzu ein Prüfschema Drittstaatentransfer veröffentlicht.

Im ersten Schritt ist zu prüfen, ob beauftragte Dienstleister aus den unsicheren Drittstaaten direkt oder indirekt (Einbindung von Subunternehmer) genutzt werden. Oftmals nutzen auch europäische Dienstleister Rechenzentren bei Amazon AWS und Microsoft Azure oder auch andere Dienste. Auch wenn die Daten auf europäischen Servern gespeichert werden, so sind es doch amerikanische Anbieter, die den Gesetzen der USA unterliegen. Zu prüfen ist also, ob auf die übermittelten personenbezogenen Daten im Drittland beim Zugriff durch Sicherheitsbehörden ein im Wesentlichen gleichwertiges Schutzniveau besteht (für die USA vom EuGH verneint).

Im nächsten Schritt ist zu prüfen, unter welchen Voraussetzungen Dienstleister trotz dessen genutzt werden können. Neben den abzuschließenden Standarddatenschutzklauseln sind weitere geeignete Garantien durch die Dienstleister sicherzustellen. Dabei spielt die Verschlüsselung der Server und der Datenbank eine wichtige Rolle.

AKTUELLE ÄNDERUNGEN: Am 04. Juni 2021 hat die EU-Kommission die langerwarteten neuen EU-Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer veröffentlicht. Mittlerweile ist allerdings auch der englische Begriff der „Standard Contractual Clauses“ (SCC) in Deutschland fast gebräuchlicher als die deutsche Variante der Bezeichnung. Die entsprechende Pressemitteilung der Kommission finden Sie hier. Die SCC liegen in verschiedenen Sprachen vor, wobei es immer den eigentlichen Durchführungsbeschluss der EU-Kommission und dann den in der Praxis wichtigen Annex mit dem eigentlichen Vertragstext gibt.

Unsere Empfehlung

Prüfen Sie sämtliche Dienstleister ggf. durch einen Datenschutzbeauftragten! Bei der Auswahl neuer Dienstleister beachten Sie die aktuelle Rechtslage. Die SCC sind umgehend anzuwenden bzw. dort erneut abzuschließen, wo die Standardvertragsklauseln mit Stand von 2010 abgeschlossen wurden. Mit anderen Worten, alle! Für bestehende Verträge gilt eine Übergangsfrist bis Dezember 2022.

Stellen Sie sicher, dass die Dienstleister weitere geeignete Garantien zusichern. Sofern die Daten in einem unsicheren Drittland gespeichert werden, empfehlen wir das Gespräch zum Dienstleister zu suchen, um über einen Datenumzug auf dem Territorium der EU/EWR zu sprechen. Dies ist nicht immer leicht umzusetzen, je mehr allerdings auf die Dienstleister zugehen werden, desto eher werden sie ihr Datenverarbeitungskonzept ändern.

Bei einem Dienstleister, der zwar die Daten innerhalb der EU/EWR speichert, allerdings seinen Hauptsitz in einem unsicheren Drittstaat hat, kommt zusätzlich die Möglichkeit von Verschlüsselungstechniken in Betracht. Beachten Sie, dass Sie als verantwortliche Stelle den alleinigen Zugriff auf den Schlüssel besitzen sollten. Große Cloud-Anbieter wie Amazon AWS, Microsoft Azure oder Google Suites bieten hierzu schon Lösungen an, welche in der Regel kostenfrei sind. Weiterhin gibt es Tendenzen, dass große Anbieter eigene Entities in Europa ausgründen, die eine Datenverarbeitung unabhängig von der Muttergesellschaft vornehmen. Damit entfällt die Drittlandsübertragung.

Führen Sie eine Risikobewertung der genutzten Dienste, übermittelten Daten und der von den Dienstleistern zugesicherten Garantien durch. Sollten Ihre Bewertung und Gespräche zu keinem Konsens führen, empfehlen wir einen Anbieterwechsel. Als Verantwortlicher haften Sie für die Datenverarbeitung genauso wie der Auftragsverarbeiter. Es ist Ihre Pflicht, eine rechtskonforme Datenverarbeitung sicherzustellen. Ein Datenverarbeiter in einem unsicheren Drittland wird schwer dafür haftbar zu machen sein, wenn die Anforderungen der DSGVO nicht eingehalten und umgesetzt werden. Es ist davon auszugehen, dass die Schonfrist zur Prüfung durch die Aufsichtsbehörden für Datenschutz abgelaufen ist.