Übermittlung personenbezogener Daten ins Drittland nach DS-GVO
Frage des GDD-Erfa-Kreises Würzburg zur Übermittlung personenbezogener Daten ins Drittland:
Unternehmen A (z. B. Produktion) ist Teil eines Konzerns und sitzt in einem Nicht-EU-Land, z. B. China. Das Unternehmen B des Konzerns (Hauptverwaltung) mit Sitz in Bayern
ist für die weltweite Personalverwaltung zuständig. Muss man Art. 3 DS-GVO dahin interpretieren, dass A als Auftraggeber mit B als Auftragnehmer (!) einen Auftragsverarbeitungsvertrag bzw. EU-Standardvertragsklauseln abschließen muss oder richtet sich die Übertragung der personenbezogenen Daten der Beschäftigten von A ausschließlich nach dem Datenschutzrecht des Landes von A, hier China?
Antwort BayLDA:
Es ist zu prüfen, welche Funktion B hier hat. „Zuständigkeit für die weltweite Personalverwaltung“ könnte bedeuten, dass B Teile der Arbeitgeberfunktionen (auch) des Unternehmens A
übertragen bekommen hat – dann wäre B insoweit Verantwortlicher. Es könnte aber auch bedeuten, dass B lediglich Auftragsverarbeiter für A ist, soweit es um Daten von Beschäftigten von A geht. D.h. es muss anhand der praktischen Gegebenheiten geklärt werden, ob B Auftragsverarbeiter oder Verantwortlicher ist.
Wenn B Verantwortlicher ist, muss B natürlich als Verantwortlicher die DS-GVO gemäß Artikel 3 Abs. 1 DS-GVO einhalten, auch bezüglich der Daten, die von Beschäftigten des A stammen.
Dies bedeutet unter anderem auch, dass für die (Rück-)Übermittlung der Daten dieser Beschäftigten von B an A nach China ein Standardvertrag abzuschließen ist (einschlägig ist ein Standardertrag für Übermittlungen von Verantwortlichem an Verantwortlichen, d.h. „Controller-to-Controller“).
Wenn B Auftragsverarbeiter ist, gelten für B nur die Pflichten eines Auftragsverarbeiters, wie sie in der DS-GVO definiert sind, also z.B. die Pflicht zur Implementierung geeigneter technischer und organisatorischer Maßnahmen nach Art. 32 DS-GVO. Allerdings zählt dazu auch die Pflicht, als Auftragsverarbeiter mit A einen Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DS-GVO abzuschließen, da auch dies (nach Ansicht der Datenschutzbehörden) eine Pflicht (auch) des Auftragsverarbeiters ist. Wenn B lediglich Auftragsverarbeiter ist, muss B mit A für die (Rück-)Übermittlung der Daten der chinesischen Beschäftigten keinen Standardvertrag abschließen, da diese Konstellation nach unserer Auffassung keine „Übermittlung in ein Drittland“ im Sinne der Artikel 44 bis 49 DS-GVO darstellt.
Das könnte Sie auch interessieren
-
Webinar Verarbeitungsverzeichnis softwaregestützt erstellen, dokumentieren, pflegen und archivieren
Mit dem webbasierten Management-System DataAgenda Datenschutz Manager können Sie alle Maßnahmen zum Datenschutz erfassen, verwalten und dokumentieren (VVT, DSFA etc.) und so Ihre Rechenschaftspflicht gemäß DS-GVO erfüllen. Der Referent zeigt, wie Sie mit einem Verzeichnis der Verarbeitungstätigkeiten (VVT) gemäß Art. 30 DS-GVO einen zentralen Baustein der Datenschutzdokumentation erstellen. Sie erfahren, wie der DataAgenda Datenschutz Manager
Mehr erfahren -
BSI veröffentlicht Handreichung zur NIS-2-Geschäftsleitungsschulung
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine neue Handreichung zur Geschäftsleitungsschulung im Rahmen der NIS-2-Umsetzung veröffentlicht. Die Publikation richtet sich an Führungsebenen von Unternehmen und Einrichtungen, die künftig unter die NIS-2-Regulierung fallen – also als „wichtige“ oder „besonders wichtige Einrichtungen“ gelten. Ziel ist es, Geschäftsleitungen auf ihre neuen Pflichten im Bereich Cybersicherheit
Mehr erfahren -
Refurbished Notebook mit ungelöschten Daten – wer ist verantwortlich?
Der Erwerb gebrauchter oder „refurbished“ IT-Geräte wirft nicht nur technische, sondern auch datenschutzrechtliche Fragen auf. Besonders heikel wird es, wenn auf einem erworbenen Notebook noch personenbezogene Daten des Vorbesitzers vorzufinden sind. Doch wer trägt in diesem Fall die Verantwortung nach der DS-GVO? Verantwortlichenbegriff nach Art. 4 Nr. 7 DS-GVO Nach Art. 4 Nr. 7 DS-GVO
Mehr erfahren
