Konzentrieren Sie sich aufs Wesentliche
Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.
Cloud- und IT-Serviceprovider: Die Krux mit dem Drittland
Wer EU-Tochterfirmen zumeist amerikanischer Cloud- und IT-Serviceprovider einsetzt, muss einige datenschutzrechtliche Fragen beantworten. Lesen Sie, welche aktuellen Entwicklungen es gibt und worauf Datenschutzbeauftragte (DSB) achten müssen.
Europäische Wirtschaftsteilnehmer verlagern IT-Infrastruktur und IT-Dienstleistungen aufgrund der zunehmenden Digitalisierung immer stärker auf externe Dienstleister. Dabei greifen Unternehmen regelmäßig auf die Leistungen großer, zumeist amerikanischer Konzerne wie Google, Microsoft oder Amazon Web Services (AWS) zurück, aber auch auf Provider aus Ländern wie Indien oder China.
Tochterfirmen als Auftragsverarbeiter
Als Vertragspartner für europäische Kundinnen und Kunden agieren dabei häufig nicht die Muttergesellschaften aus dem außereuropäischen „Drittland“ (im Sinne von Art. 44 ff. Datenschutz-Grundverordnung (DSGVO)), sondern Tochterfirmen, die in einem EU-Mitgliedstaat angesiedelt sind. Überwiegend treten sie gegenüber den Auftraggebern als Auftragsverarbeiter nach Art. 28 DSGVO auf. So weit, so gut.
Drei Szenarien der Datenübermittlung in ein Drittland
In der Praxis ist es so, dass über diesen Konstellationen spätestens seit dem Ende des EU-US Privacy Shield stets die Frage schwebt: „Erfolgt eine unzulässige Datenübermittlung ins Drittland?“ Dabei lassen sich grob drei Szenarien unterscheiden.
Im ersten Szenario vereinbaren der Auftraggeber (Verantwortlicher) und der Auftragnehmer (Auftragsverarbeiter) in einem Auftragsverarbeitungsvertrag (AVV), dass der Auftragnehmer die Daten zur Verarbeitung an einen Unterauftragnehmer im Drittland übermittelt bzw. Mitarbeiter dieses Unterauftragsverarbeiters auf die – grundsätzlich in der EU gespeicherten – Daten Zugriff nehmen dürfen.
Hierunter fallen Konstellationen, in denen …
Weiterlesen mit DP+
Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?