Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Betriebsrat ChatGPT Checklisten EuGH HinSchG Homeoffice KI KRITIS Microsoft 365 Rechenschaftspflicht Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 11/24

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat ChatGPT Checklisten EuGH HinSchG Homeoffice KI KRITIS Microsoft 365 Rechenschaftspflicht Urteil Vorlagen
19. Dezember 2022

Cloud- und IT-Serviceprovider: Die Krux mit dem Drittland

DP+
Worauf müssen private und öffentliche Auftraggeber sowie IT-Dienstleister bei der Auftragsverarbeitung achten?
Bild: iStock.com / Just_Super
0,00 (0)
drucken
Auftragsverarbeitung
Wer EU-Tochterfirmen zumeist amerikanischer Cloud- und IT-Service­provider einsetzt, muss einige datenschutzrechtliche Fragen beantworten. Lesen Sie, welche aktuellen Entwicklungen es gibt und worauf Datenschutzbeauftragte (DSB) achten müssen.
Europäische Wirtschaftsteilnehmer verlagern IT-Infrastruktur und IT-Dienstleistungen aufgrund der zunehmenden Digitalisierung immer stärker auf externe Dienstleister. Dabei greifen Unternehmen regelmäßig auf die Leistungen großer, zumeist amerikanischer Konzerne wie Google, Microsoft oder Amazon Web Services (AWS) zurück, aber auch auf Provider aus Ländern wie Indien oder China.

Tochterfirmen als Auftragsverarbeiter

Als Vertragspartner für europäische Kundinnen und Kunden agieren dabei häufig nicht die Muttergesellschaften aus dem außereuropäischen „Drittland“ (im Sinne von Art. 44 ff. Datenschutz-GrundverordnungDSGVO)), sondern Tochterfirmen, die in einem EU-Mitgliedstaat angesiedelt sind. Überwiegend treten sie gegenüber den Auftraggebern als Auftragsverarbeiter nach Art. 28 ­DSGVO auf. So weit, so gut.

Drei Szenarien der Datenübermittlung in ein Drittland

In der Praxis ist es so, dass über diesen Konstellationen spätestens seit dem Ende des EU-US Privacy Shield stets die Frage schwebt: „Erfolgt eine unzulässige Datenübermittlung ins Drittland?“ Dabei lassen sich grob drei Szenarien unterscheiden.

Im ersten Szenario vereinbaren der Auftraggeber (Verantwortlicher) und der Auftragnehmer (Auftragsverarbeiter) in ­einem Auftragsverarbeitungsvertrag (AVV), dass der Auftragnehmer die Daten zur Verarbeitung an einen Unterauftragnehmer im Drittland übermittelt bzw. Mitarbeiter dieses Unterauftragsverarbeiters auf die – grundsätzlich in der EU gespeicherten – Daten Zugriff nehmen dürfen.

Hierunter fallen Konstellationen, in denen …

Dr. André Schmidt Niklas Vogt
+

Weiterlesen mit DP+

Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?

Weiterlesen mit DP+
Konzentrieren Sie sich aufs Wesentliche
Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.
Kein Stress mit Juristen- und Admin-Deutsch
Lesen Sie praxisorientierte Texte ohne Fußnotenapparat und Techniker-Sprech.
Sparen Sie sich langes Suchen
Alle Arbeitshilfen und das komplette Heftarchiv finden Sie online.
Jetzt testen

Sie sind bereits Abonnentin oder Abonnent? Dann melden Sie sich bitte hier an.

zu den Kommentaren
Wie nützlich war dieser Beitrag für Sie?
Jetzt teilen:
Drittland Privacy Shield
drucken
Verfasst von
Dr. André Schmidt
Dr. André Schmidt
Dr. André Schmidt ist Rechtsanwalt der Wirtschaftskanzlei LUTZ | ABEL. Seine Schwerpunkte sind das IT- und Datenschutz-Recht sowie Compliance, Digitalisierung & Innovation und IP-Recht. Kontakt: schmidt@lutzabel.com
Niklas Vogt
Niklas Vogt
Niklas Vogt (vogt@lutzabel.com) ist Rechtsanwalt der Wirtschaftskanzlei LUTZ | ABEL. Er unterstützt Unternehmen in IT- und datenschutzrechtlichen Fragen.
Verwandte Beiträge
07. November 2024
DP+
Die Aufsichtsbehörden für Datenschutz nehmen auch KI in den Fokus. Stellen Sie sich heute schon auf die Kontrollkriterien ein.
Bild: iStock.com/pressureUA

Prüfanforderungen an künstliche Intelligenz – eine Checkliste

Praxisbericht
Checklisten Drittland KI
04. November 2024
DP+
Spezialisierte Security-Lösungen wie ein Cloud Access Security Broker (CASB) dienen dazu, Cloud-Sicherheitsrisiken zu mindern. DSB sollten wissen, welche Risiken dies aus Datenschutzsicht birgt.
Bild: iStock.com/rikirennes

Weniger Cloud-Risiken, dafür mehr Datenrisiken?

Ratgeber
Checklisten Drittland Homeoffice
31. Oktober 2024
DP+
Terminbuchungstools und Datenschutz: Gemäß dem Need-to-know“-Prinzip dürfen nur die Beschäftigten Zugriff auf das Tool erhalten, für die dies erforderlich ist. Die zuständigen Beschäftigten müssen regelmäßig datenschutzrechtlich sensibilisiert und geschult werden.
Bild: iStock.com/AndreyPopov

Terminbuchungstools für Arztpraxen

Ratgeber
Drittland EuGH
31. Oktober 2024
DP+
Schematischer Ablauf einer DSFA nach Art. 35 Abs. 7 DSGVO - auch bei KI-Systemen relevant
Bild: atarax; Icons: iStock/Getty Images Plus/anttohoho

Datenschutz-Folgenabschätzung bei KI-Systemen

Praxisbericht
Drittland KI
29. Oktober 2024
DP+
Diese Tipps helfen dabei, ein vollständiges, verständliches und alltagstaugliches VVT zu erstellen bzw. als DSB dabei zu beraten. So können sich Arztpraxen auf ihre Hauptaufgabe konzentrieren: Patientinnen und Patienten zu behandeln.
Bild: iStock.com/metamorworks

VVT und Ärzte – Tipps für die Umsetzung in der Praxis

Ratgeber
Drittland EuGH
weitere Beiträge laden
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.