Neue EU-Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsdatenverarbeiter in Drittländern

Ähnliche Dokumente
Harter Brexit und PrivacyShield Neues zur Übermittlung in Drittstaaten

Datenübermittlung ins Ausland

Cloud Computing und Datenschutz

Datenschutz International

Office 365 datenschutzkonform nach deutschem Recht?

Safe Harbor. #medialawcamp E-Commerce und E-Payment. Berlin, 27. November 2015

Rechtliche Anforderungen an Cloud Computing in der Verwaltung

Datenschutzgrundverordnung und Privacy Shield Auswirkungen auf Cloud- Anwendungen

Das EU-US DATENSCHUTZSCHILD F.A.Q. FÜR EUROPÄISCHE UNTERNEHMEN. Verabschiedet am 13. Dezember 2016

Neues Datenschutzrecht umsetzen Stichtag

Übermittlung an Drittländer

Auftragsdatenverarbeitung nach DS-GVO - Stand: 25. Mai

Auftragsdatenverarbeitung

Information nach Artikel 13, 14, 21 DSGVO. Datenschutzhinweise

Neues Datenschutzrecht umsetzen Stichtag

Datenschutzrecht in der Praxis Internationale Datenschutz-Compliance Cloud-basierte Personalverwaltung in einem globalen Unternehmen

Datenschutz und Cloud

DATENSCHUTZHINWEISE nach DS-GVO

EuGH kippt Safe Harbor. RA Horst Speichert

Datenschutz von A-Z. Ausgabe Taschenbuch. 272 S. Paperback ISBN

SaaSKon 2009 SaaS - Datenschutzfallen vermeiden Stuttgart, Rechtsanwalt Jens Eckhardt JUCONOMY Rechtsanwälte Düsseldorf

IT-Outsourcing aus der Perspektive einer bdsb. Bettina Robrecht Datenschutzbeauftragte 17. März 2012

TRANSATLANTISCHER DATENVERKEHR UNTER DEM EU-US PRIVACY SHIELD

Grenzüberschreitender Datentransfer rechtliche Herausforderungen

Datenschutzrechtliche Schranken der Informationsweitergabe

Pragmatischer Umgang mit den wandelnden Anforderungen in KMU

Datenverwendung und Datenweitergabe - was ist noch legal?

DuD Jahresfachkonferenz Datenschutz und Datensicherheit. Was bedeutet die EU-DSGVO für die Auftragsdatenverarbeitung?

Cloud Computing und Datenschutz. IT- T h e m e n a b e n d, 1 0. N o v e m b e r

EU-US Privacy Shield Ein neuer sicherer Hafen für die Datenübermittlung in die USA?

Wer ist für die Datenverarbeitung verantwortlich und wer ist Ihr Datenschutzbeauftragter?

REFERENTIN. Die EU-DSGVO was steht drin?

Datenschutzerklärung für Bewerbungsverfahren

1. Verantwortliche Stelle und Kontaktdaten des Datenschutzbeauftragten

KDG KDG KDG KDG KDG KDG KDG KDG KDG KDG KDG KDG KDG KDG K

Informationspflichten gem. Art. 13/14 DS-GVO für Kunden und Mitglieder

Microsoft Cloud Deutschland: Der datenschutzrechtliche Rahmen einer nationalen Cloud Microsoft Cloud Event

Datenschutzerklärung für Kunden und Lieferanten der Röhm GmbH

Teilnehmerscript Datenverarbeitung im Ausland

Information zur Verarbeitung Ihrer Bewerberdaten

Datenschutz und Datensicherheit rechtliche Aspekte. 13. OSL-Technologietage 24. September 2015 PENTAHOTEL Berlin-Köpenick

Vereinbarung zur Auftragsdatenverarbeitung mit Kunde

Datenschutzhinweise LBG (Ludewig, Busch, Gloe)

Stand Datenschutzhinweise gemäß EU-Datenschutz-Grundverordnung für Kunden und Interessenten gem. Art. 12 ff. DS-GVO

Datendienste und IT-Sicherheit am Cloud Computing und der Datenschutz (k)ein Widerspruch?

Datenverarbeitungsverzeichnis nach Art 30 Abs 1 DSGVO (Verantwortlicher)

Datenschutzhinweise nach der Datenschutz- Grundverordnung (DSGVO)

Inhaltsübersicht. Bibliografische Informationen digitalisiert durch

BDSG-Novellen Achtung: sofort handeln! Ein Kurzüberblick über die rechtlichen Änderungen zur Auftragsdatenverarbeitung.

NABU-Stiftung Nationales Naturerbe Informationen zur Datenverarbeitung nach der EU-Datenschutz-Grundverordnung (DSGVO)

TECHNOLOGY IN THE BOARDROOM

Internationales Datenschutzrecht

1. verantwortliche Stelle und Kontaktdaten zu datenschutzrechtlichen Fragen

Informationen nach Artikeln 13, 14 und 21 der Datenschutz-Grundverordnung (DSGVO)

isdacom GmbH Datenschutzhinweise für Bewerber/innen

Kirstin Brennscheidt. Cloud Computing und Datenschutz. o Nomos

Datenschutzhinweise gemäß EU-Datenschutz-Grundverordnung für Bewerberinnen und Bewerber

Vertrag zur Auftragsverarbeitung

Datenschutzinformation für Betroffene

GTWimmer e.u. Grund und Trinkwassertechnik Sven Michel Wimmer, Brunnenmeisterbetrieb, Mühlbachstraße 51, 4073 Wilhering GISA-Zahl:

Datenschutzerklärung für Bewerber

Datenschutz neu MAG. STEFANIE DÖRNHÖFER, LL.M.

KUNDEN, LIEFERANTEN, GESCHÄFTSPARTNER

Datenschutzerklärung für Stellenbewerbungen bei der K2NE Germany GmbH

Datenschutzvereinbarung nach 11 BDSG Wartung und Pflege von IT-Systemen

Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DS-GVO. Auftragnehmer (Auftragsverarbeiter): adgoal GmbH Schellengasse Heilbronn

der Ottmar Buchberger GmbH zu Bewerbungen

DATENSCHUTZERKLÄRUNG / INFORMATIONSVERPFLICHTUNG

DATENSCHUTZERKLÄRUNG der Firma Chugai Pharma Germany GmbH zu Bewerbungen

Wichtige Kundeninformationen nach Art. 13 DSGVO

Datenschutzhinweise für Kunden und Lieferanten

Dokumentationspflichten im neuen Datenschutzrecht

VEREINBARUNGEN ZUR AUFTRAGSVERARBEITUNG

DATENSCHUTZERKLÄRUNG der Panini Verlags GmbH zu Bewerbungen. 1. Wer ist verantwortlich für die Verarbeitung Ihrer personenbezogenen Daten?

Sehr geehrte Kunden, Vielen Dank für Ihr Verständnis.

PRIVACY SHIELD PRAXISFOLGEN FÜR DEN DATENTRANSFER IN DER CLOUD NACH SAFE HARBOR

Verantwortliche Stelle für die Verarbeitung Ihrer personenbezogenen Daten ist:

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 1. Übung vom : BDSG (1)

Datenschutzerklärung für Bewerbungen

Einführung. Gründe und Ziele der Datenschutz-Grundverordnung

EIFELER METALL- UND ZINKWERKE AG

Like it or not - Der Gefällt mir -Button von Facebook

EU-DATENSCHUTZ-GRUNDVERORDNUNG. Vereinbarung. Auftragsverarbeitung nach Art 28 DSGVO

Datenschutzinformationen für Bewerber/innen

EU-Grundverordnung zum Datenschutz Was könnte sich für die Unternehmenspraxis ändern?

Vertrag zur Auftragsverarbeitung

HINWEIS ZUM DATENSCHUTZ AUF DER WEBSITE

Auftragsdatenverarbeitungsvertrag Wartung und Pflege von IT-Systemen

Datenschutzerklärung der Lindenbaum GmbH

DATENSCHUTZERKLÄRUNG DER PPM GMBH ZU BEWERBUNGEN

Sparkasse Heidelberg IBAN DE SWIFT-BIC SOLADES1HDB Steuernummer 32081/ , Finanzamt Heidelberg, VR

Datenschutzinformation für Bewerber

Datenschutzerklärung der Firma Bell Flavors & Fragrances zu Bewerbungen

Internationaler Datenaustausch unter der DSGVO

Transkript:

Neue EU-Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsdatenverarbeiter in Drittländern 20. März 2010 Bastian Cremer LL.M. (Wellington) Bird & Bird LLP Düsseldorf

Agenda Datenübermittlung Auftragsdatenverarbeitung Drittlandtransfers Standardvertragsklauseln (DC2DP) Allgemein Änderungen zum 15. Mai 2010 Geklärte, offene und neue Fragen 2

Datenübermittlungen Übermittlung an Dritte = Verarbeitung Rechtfertigung erforderlich v.a. Einwilligung, Vertrag, berechtigte Interessen Dritter = jede Person oder Stelle außerhalb der verantwortlichen Stelle mit Ausnahme des Betroffenen Bsp: Kunden, Dienstleister, Konzerngesellschaften Nicht: unselbständige Niederlassungen, Abteilungen innerhalb der verantwortlichen Stelle, Auftragsdatenverarbeiter in EU/EWR 3

Auftragsdatenverarbeitung Materielle Voraussetzungen Auftragsdatenverarbeiter = "verlängerte Werkbank" Verarbeitung nur nach Weisung des Auftraggebers Kein eigener Entscheidungsspielraum Formelle Voraussetzungen Schriftlicher Vertrag mit Festlegung von Gegenstand und Dauer des Auftrags; Umfang, Art und Zweck der Verarbeitung; Art der Daten; Kreis der Betroffenen; Technische und organisatorische Maßnahmen; Kontrollrechte, Weisungsbefugnisse; [ ]; und der Berechtigung zur Eingehung von Unterauftragsverhältnissen 4

Drittlandtransfers Zwei-Stufen Test Rechtfertigung der Übermittlung per se Einwilligung, vertragliche Erforderlichkeit, berechtigte Interessen der verantwortlichen Stelle oder eines Dritten Rechtfertigung der Übermittlung außerhalb der EU Angemessenes Datenschutzniveau beim Empfänger Spezieller Rechtfertigungstatbestand (Einwilligung, vertragliche Erforderlichkeit u.a.) Ausreichende Garantien hinsichtlich des Schutz des Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte 5

Drittlandtransfers Angemessenheit Angemessenes Datenschutzniveau herrscht innerhalb der EU (Harmonisierung durch RL 95/46/EG) in den EWR-Mitgliedstaaten Island, Norwegen und Liechtenstein (Umsetzung der RL 95/46/EG) in Argentinien, auf Guernsey, Isle of Man und, Jersey, der Schweiz und eingeschränkt in Kanada (PIPEDA) und den USA (Safe Harbor) (Kommissionsentscheidungen) 6

Drittlandtransfers Rechtfertigung Einwilligung des Betroffenen Problematisch insb. in Beschäftigungsverhältnissen Risiko des Widerrufs Praktisches Erfordernis zur Implementierung eines Alternativprozesses Erforderlichkeit zur Erfüllung eines Vertrags zwischen verantwortlicher Stelle und dem Betroffenen im Interesse des Betroffenen zwischen verantwortlicher Stelle und Dritten geschlossenen Vertrags Risiken: Erforderlichkeitsmaßstab, Interessenabwägung 7

Drittlandtransfers Garantien Ziel: Herstellung eines der RL 95/46/EG entsprechenden Datenschutzniveaus durch Individualvereinbarungen oder Binding Corporate Rules Langwieriger Genehmigungsprozess Standardvertragsklauseln der EU Kommission Vertragsmuster kein Verhandlungsspielraum Nicht genehmigungsbedürftig Individuelle Versionen für Übermittlungen an verantwortliche Stellen oder an Auftragsdatenverarbeiter 8

Standardvertragsklauseln (DC2DP) Weisungs- und Kontrollrechte des Auftraggebers Verpflichtung des Auftragnehmers auf technische und organisatorischer Maßnahmen Kontrollbefugnisse der Aufsichtsbehörde des Auftraggebers gegenüber dem Auftragnehmer Rechtseinräumung zugunsten der Betroffenen Schiedsklausel für Streitigkeiten zwischen Betroffenen und Auftragnehmer 9

Standardvertragsklauseln (DC2DP) Praxisproblem: "Kettenauslagerungen" = Beauftragung von Subunternehmern im Drittland durch Auftragnehmer Rechtfertigung des letzten Kettenglieds durch SVK? Auftraggeber und -nehmer in der EU => Str.! zulässig nur bei Abschluss von SVK zwischen Auftraggeber und Subunternehmer (Düsseldorfer Kreis, Beschluss v. 19./20. April 2007) zulässig bei Abschluss von SVK zwischen Auftragnehmer und Subunternehmer (Art. 29 Datenschutzgruppe, WP 161 (2009)) 10

Standardvertragsklauseln (DC2DP) Neu Kommissionsentscheidung von 5. Februar 2010 Inkrafttreten am 15. Mai 2010 (C(2004)5271): Kettenauslagerungen Unteraufträge zwischen Auftragnehmer und Subunternehmer in Drittstaaten sind zulässig, bei vorheriger schriftlicher Einwilligung des Auftraggebers und Durchreichung der dem Auftragnehmer in den SVK auferlegten Pflichten an den Subunternehmer Alle Glieder der Kette unterliegen dem Datenschutzrecht des Auftraggebersitzes Schiedsklausel gestrichen 11

Standardvertragsklauseln (DC2DP) Neu Altverträge bleiben über Stichtag hinaus in Kraft bei unveränderter Übermittlung und Datenverarbeitung Jede Änderung nach Stichtag begründet Pflicht zum (Neu-) Abschluss der neuen Standardvertragsklauseln Neuverträge können nach Stichtag nur noch auf Grundlage der neuen Standardvertragsklauseln geschlossen werden 12

Standardvertragsklauseln Fragen Geklärt Kettenauslagerungen zwischen Auftragnehmern und Subunternehmern in Drittländern Offen Neu Kettenauslagerungen zwischen Auftragnehmern in der EU und Subunternehmern in Drittländern Erwägungsgrund 23: Keine direkte Anwendung der Standardvertragsklauseln Aber: Entscheidung, ob Abschluss der Standardvertragsklauseln zwischen Auftragnehmer und Subunternehmer ausreichende Garantien bietet, bleibt den Mitgliedstaaten überlassen Wie viele Glieder darf die Kette haben? 13

Vielen Dank. Kanzlei des Jahres für Informationstechnologie Bastian Cremer LL.M. (Wellington) Bird & Bird LLP +49-211-2005-6230 bastian.cremer@twobirds.com Bird & Bird is an international legal practice comprising Bird & Bird LLP and its affiliated businesses. www.twobirds.com 14

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback