Zusätzlicher Auftragsvertrag trotz Privacy Shield Zertifizierung!

von Barbara Schmitz, veröffentlicht am 22.05.2017
Rechtsgebiete: Auftragsdatenverarbeitung|6808 Aufrufe

Werden personenbezogene Daten im Auftrag aus der EU in die USA übermittelt, so muss unabhängig davon, ob das US-Unternehmen „Privacy Shield“-zertifiziert ist, ein (Auftragsverarbeitungs-) Vertrag zwischen den Parteien geschlossen werden (siehe Anhang II Zusatzgrundsätze III Nr. 10 „Obligatorische Verträge bei Weitergabe“).

Für die (noch) auf das BDSG fokussierten Leser fühlt sich diese Anforderung möglicherweise falsch an, da nach dem BDSG aufgrund § 3 Nr. 8 BDSG eine ADV mit einem Unternehmen in einem Drittland nicht möglich ist (war). Betrachtet man jedoch die DSRL und vor allem die DSGVO so fügt sich diese Anforderung logisch ein. Aufgrund der Erweiterung des räumlichen Geltungsbereichs in Art. 3 DSGVO auf außerhalb der Europäischen Union ist (zukünftig) auch eine Auftragsverarbeitung außerhalb der EU möglich. Für die Auftragsverarbeitung in den USA haben die Verfasser des Privacy Shield Beschlusses explizit festgeschrieben, dass in diesem Fall ein Auftragsverarbeitungsvertrag geschlossen werden muss, mit folgendem Regelungsgehalt:

  • Auftragsverarbeiter handelt nur auf Weisung des Verantwortlichen,
  • Auftragsverarbeiter stellt geeignete technische und organisatorische Maßnahmen sicher,
  • Auftragsverarbeiter unterstützt den Verantwortlichen hinsichtlich der Betroffenenrechte (von Bedeutung aufgrund Artikel 13 Abs. 1 lit. f) DSGVO)
Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

Kommentare als Feed abonnieren

Kommentar hinzufügen