Wir unterstützen und Beraten Sie bei Datentransfers in die USA

Seit Wegfall des Privacy Shield Abkommens erhöhtes Bußgeldrisiko!

  • Zertifiziert

    Wir sind ein Team von mehreren zertifizierten Datenschutzbeauftragten. Unsere Berater wurde durch die folgenden Stellen zertifiziert: TÜV (Datenschutzbeauftragter), DEKRA (Fachkraft für Datenschutz), GDD (Datenschutzbeauftragter nach GDD-Cert.EU).

  • Interdisziplinäres Team

    Wir kennen uns nicht nur im Datenschutzrecht aus, sondern haben auch technische und betriebswirtschaftliche Expertise.

  • Erfahren

    Wir verfügen über eine langjährige Beratungserfahrung (mehr als 25 Jahre).

  • National und international

    Wir verfügen über Erfahrungen bei der Beratung von Unternehmen mit internationalen Konzernstrukturen.

Datenschutzbeauftragter GDD Cert.EU
Datenschutzbeauftragter nach BvD-Verbandskriterien verpflichtet
DEKRA Fachkraft für Datenschutz
Mitglied in der HDG

Was zeichnet die Arbeit von Mauß Datenschutz aus?

  • Wir kennen unsere Kunden & Anforderungen

    Wir beraten kleine und mittelständische Unternehmen und kennen deren Anforderungen inklusive begrenzter finanzieller und zeitlicher Budgets.

  • Mit Augenmaß

    Wir beraten pragmatisch, kundenorientiert und mit Augenmaß und schaffen so optimal auf Sie abgestimmte Lösungen und Prozesse.

  • Wer machts?

    Wir sind flexibel bezüglich der Frage „Wer macht’s?“: Wir klären individuell mit Ihnen, ob Sie bestimmte Aufgaben selbst übernehmen oder an uns delegieren möchten.

  • Kosten, Effizienz und Motivation im Einklang

    Wir kennen die Herausforderung, bei aller Regulatorik auch Kosten, Effizienz und Motivation der Mitarbeiter zu berücksichtigen.

Handlungsbedarf durch EuGH-Urteil

Alle Übermittlungen in die USA auf Basis des Privacy Shield Abkommens sind unrechtmäßig.

Am 16.07.2020 entschied der Europäische Gerichtshof (EuGH) in einem ausführlichen Urteil unter anderem, dass das EU-U.S.-PrivacyShield-Abkommen ungültig ist.

Damit fehlen allen Verarbeitungen, in deren Rahmen personenbezogene Daten aus der EU in die USA übermittelt werden, die sogenannten notwendigen Garantien gemäß Art. 44 ff DSGVO. Das heißt kurz gesagt: Jegliche Übermittlung personenbezogener Daten in die USA auf Basis des PrivacyShield-Abkommens ist seit der Entscheidung rechtswidrig. Das Risiko für Unternehmen, die mit Dienstleistern in den USA zusammenarbeiten, Ärger mit den Aufsichtsbehörden für den Datenschutz zu bekommen, steigt.

Glücklicher Weise war das PrivacyShield-Abkommen nur eines mehrerer möglichen Mittel, um für ein angemessenes Datenschutzniveau in den USA zu sorgen. Genau genommen war es sogar ein Sonderweg, der extra für die Zusammenarbeit mit Unternehmen in den USA geschaffen wurde. Es handelte sich dabei um einen sogenannten Angemessenheitsbeschluss. Dieser war allerdings – anders als die Angemessenheitsbeschlüsse für andere Drittstaaten – an Bedingungen geknüpft, die vom Datenempfänger zu erfüllen waren.

Daher ist es auch weiterhin möglich, nach Wegfall des Abkommens auf andere Garantien umzuschwenken. Zur Auswahl stehen hier hauptsächlich die sogenannten EU-Standardvertragsklauseln (Standard contractual clauses, SCC) oder Bindende Unternehmensrichtlinien (Binding corporate rules, BCR). Darüber hinaus definiert die DSGVO einige Ausnahmen, in denen in bestimmten Fällen sogar von der Schaffung der Garantien beim Empfänger abgesehen werden kann.

Welcher Weg der richtige ist, muss für jedes Unternehmen und sogar für jeden Anwendungsfall individuell ermittelt und entschieden werden.

Wir unterstützen Sie bei der Analyse Ihrer individuellen Verarbeitungssituation und der Schaffung der notwendigen Garantien. Sofern es weitere Möglichkeiten gibt, unterstützen wir Sie auch bei der notwendigen Dokumentation der Situation, um Ihrer Rechenschaftspflicht gegenüber Aufsichtsbehörden für den Datenschutz und Ihrer Auskunftspflicht gegenüber betroffenen Personen nachkommen zu können. Und selbstverständlich kümmern wir uns auch um notwendige Anpassungen in Datenschutzhinweisen, Verträgen und sonstigen Dokumenten.

Unsere Empfehlung: Analysieren Sie, welche Datenübermittlungen in die USA in Ihrem Unternehmen stattfinden und minimieren Sie das Risiko.

Gerne ermitteln wir mit Ihnen gemeinsam, welche Datenübermittlungen personenbezogener Daten in die USA in Ihrem Unternehmen erfolgen und begleiten Sie bei den notwendigen Maßnahmen. Hierbei gehen wir folgendermaßen vor:

  • Welche Datenübermittlungen in die USA finden in Ihrem Unternehmen statt?

    In einem ersten Schritt gilt es, herauszufinden, welche Übermittlungen in die USA stattfinden. Neben Dienstleistern mit Sitz in den USA sind auch Übermittlungen von Dienstleistern mit Sitz in EU/EWR an deren Konzernmutter oder weitere Dienstleister mit Sitz in den USA  zu berücksichtigen.

  • Wir suchen gemeinsam Alternativen

    Häufig kann es eine Alternative sein, einen anderen gleichwertigen Dienstleister auszuwählen, der seinen Sitz in der EU/EWR oder einem sicheren Drittland hat. Dieser Schritt ist notwendig, wie beispielsweise die Aufsichtsbehörde in Baden-Württemberg ausführt. Sie hat für den Fall, dass diese Prüfung unterbleibt, bereits angekündigt, Verarbeitungen zu untersagen (siehe hier). Wir kennen bereits viele Anbieter und unterstützen Sie bei der Auswahl eines geeigneten Dienstleisters.

  • Welche alternativen Garantien kommen in Frage? Gibt es Ausnahmen?

    Kommt kein alternativer Dienstleister in Betracht, ist zu prüfen, ob es alternative Möglichkeiten gibt, die für eine weitere Übermittlung an den US-Dienstleister genutzt werden können. Die DSGVO definiert hierzu weitere Garantien und einige Ausnahmen. Wir finden für Ihre Verarbeitungen eine geeignete Lösung – sei es die die Verwendung von angepassten Standardvertragsklauseln oder einen der Ausnahmetatbestände für Sonderfälle wie beispielsweise die Einwilligung.

  • Erstellung der Dokumente

    Unabhängig davon, ob für die Verarbeitung am Ende die Standardvertragsklauseln, die Einwilligung oder eine andere Ausnahmeregelung aus Art. 49 DSGVO zur Anwendung kommt: Wir haben die passenden Muster vorbereitet und passen diese für Ihren konkreten Anwendungsbereich an.

  • Abstimmung mit den Vertragspartnern

    Häufig sind Abstimmungen mit den Dienstleistern notwendig, da diese andere Vorstellungen zu möglichen Vorgehensweisen haben oder mit bestimmten Formulierungen nicht einverstanden sind. Auf Wunsch unterstützen wir Sie gerne bei der Abstimmung mit den Dienstleistern.

Tobias Mauß: Ihr Ansprechpartner im Team Mauß Datenschutz

Tobias Mauß Hamburg - Geschäftsführer Datenschutz Mauß

„Seit über 25 Jahren bin ich im Bereich IT tätig. Gemeinsam mit meinen Kolleg*Innen verhelfe ich Unternehmen zu mehr Sicherheit in jeglichen datenschutzrechtlichen Angelegenheiten. Als studierter  Informatiker habe ich neben den hierfür notwendigen rechtlichen Kenntnissen zusätzlich die relevanten Kompetenzen in der Informatik und im Projektmanagement, um die Auswirkungen auf Systeme, Prozesse und Organisation beurteilen zu können.“

Tobias Mauß

zertifizierte Datenschutzfachkraft (DEKRA),
zertifizierter Datenschutzbeauftragter (TÜV),
zertifizierter Datenschutzbeauftragter (GDDcert.eu).

Wir unterstützen Sie gerne , rufen Sie einfach an:

Mauß Datenschutz: 040 / 999 99 52-0

Wir freuen uns auf Ihren Anruf.

Sie möchten lieber angerufen werden?

Bitte tragen Sie Ihre Telefonnummer und eine Uhrzeit zwischen 9:30 und 17:00 Uhr ein.
Wir werden Sie zum gewünschten Zeitpunkt anrufen.