Privacy Shield: US-Dienstleister datenschutzkonform beauftragen

Die Zusammenarbeit mit Dienstleistern ist in jedem Unternehmen ein Standardprozess. Üblicherweise verarbeitet der Dienstleister im Rahmen seiner Leistung auch personenbezogene Daten. Datenschutzvorschriften sind also zu beachten. Gerade beim Einsatz von Cloud-Lösungen oder im Bereich Web-Analytics beauftragen Unternehmen häufig Dienstleister aus den USA. Eine Zertifizierung des Dienstleisters nach dem EU-US Privacy Shield erleichtert aus datenschutzrechtlicher Sicht eine Zusammenarbeit stark. Trotzdem muss auch unter dieser Voraussetzung der Auftraggeber einige Details beachten.

Bei der Übermittlung von personenbezogenen Daten an US-Dienstleister müssen Unternehmen sicherstellen, dass europäische Datenschutzstandards gewahrt werden. Dies kann einerseits vertraglich garantiert werden (z.B. über sogenannte EU-Standardvertragsklauseln), andererseits können US-Dienstleister sich über eine Zertifizierung nach dem EU-US Privacy Shield Datenschutzstandards unterwerfen, die europäischen Mindestanforderungen genügen.

1. Privacy-Shield-Zertifizierung – oder auch nicht?

Bei der Auswahl von Dienstleistern sollten Unternehmen prüfen, ob dieser über eine gültige Privacy-Shield-Zertifizierung verfügt. Informationen darüber veröffentlichen viele Dienstleister zum Beispiel in Privacy Policies. Maßgeblich für eine ordnungsgemäße Zertifizierung ist jedoch allein die offizielle „Privacy Shield List“ des US Department of Commerce. 

2. Für welche Daten sind US-Unternehmen zertifiziert?

Im nächsten Schritt gilt es, den Umfang der Zertifizierung zu prüfen. Soll der Dienstleister (auch) Daten der eigenen Beschäftigten des Unternehmens verarbeiten (z.B. bei internen Kommunikationstools), ist hierfür eine gesonderte Zertifizierung nötig. In der Privacy Shield Liste wird dies mit dem Zusatz „HR“ markiert. „HR“-Zertifizierungen sind derzeit noch die Ausnahme, da sich US-Unternehmen dafür zwingend der Aufsicht durch europäische Datenschutzbehörden unterwerfen.

3. Vereinbarung zur Auftragsdatenverarbeitung abschließen

Verfügt der Dienstleister über eine gültige Zertifizierung können die Daten grundsätzlich in den USA verarbeitet werden. Wichtig ist aber zu beachten: Deutsche Unternehmen sind zusätzlich nach § 11 Bundesdatenschutzgesetz verpflichtet, Art und Umfang der Datenverarbeitung in einer Vereinbarung zur Auftragsdatenverarbeitung zu regeln. Insbesondere größere US-Dienstleister stellen Mustervereinbarungen für deutsche Kunden bereit. Falls der Geschäftspartner keine entsprechenden Vorlagen anbietet, können Unternehmen auf die vom Bitkom erstellten Musterverträge zur Auftragsdatenverarbeitung zurückgreifen, die individuell angepasst werden können.

Über praktische Herausforderungen bei der Auftragsdatenverarbeitung – gerade auch mit Blick auf die USA – informiert Bitkom Consult regelmäßig in kostenfreien Live Online-Seminaren

Gerne beraten wir Sie auch zu Ihren unternehmensspezifischen Problemen. Nehmen Sie dazu einfach mit einem unserer Experten Kontakt auf.