Anleitung zur Prüfung eines neuen Dienstleisters mit Sitz in den USA unter Berücksichtigung der DSGVO
Die Entscheidung, einen Dienstleister aus den USA einzusetzen, auch wenn er nach dem EU-U.S. Data Privacy Framework (DPF) zertifiziert ist, erfordert eine systematische Prüfung. Hier sind die wesentlichen Schritte in der gebotenen Detailtiefe:
1. Stufe: Prüfung der Voraussetzungen gemäß DSGVO
-
Einsatz als Auftragsverarbeiter oder sonstiger Dienstleister klären
- Wird der Anbieter im Rahmen einer Auftragsverarbeitung gemäß Art. 28 DSGVO tätig oder ist er auf sonstige Weise beteiligt?
- Für Auftragsverarbeiter gelten strengere Anforderungen.
-
Prüfung der technischen und organisatorischen Maßnahmen (Art. 32 DSGVO)
- Fordern Sie Dokumentationen zu den Sicherheitsmaßnahmen des Dienstleisters an.
- Prüfen Sie, ob die Maßnahmen dem Schutzbedarf Ihrer Daten angemessen sind (z. B. Verschlüsselung, Zugangskontrollen, Backups).
-
Auftragsverarbeitungsvertrag (AVV)
- Der AVV muss den Anforderungen von Art. 28 DSGVO entsprechen. Prüfen Sie insbesondere:
- Pflichten des Anbieters (z. B. Löschung, Einschränkung, Unterauftragnehmer).
- Kontrollrechte des Verantwortlichen.
- Der AVV muss den Anforderungen von Art. 28 DSGVO entsprechen. Prüfen Sie insbesondere:
-
Sonstige DSGVO-Vorgaben
- Überprüfen Sie, ob der Anbieter in der Lage ist, DSGVO-relevante Rechte der betroffenen Personen zu wahren (z. B. Auskunft, Löschung).
- Achten Sie darauf, dass der Anbieter auch bei Vorfällen zur Meldung nach Art. 33 und 34 DSGVO in der Lage ist.
2. Stufe: Prüfung des angemessenen Datenschutzniveaus im Drittland
-
Geltungsbereich der Prüfung
- Liegt der Sitz des Anbieters außerhalb der EU/des EWR, muss ein angemessenes Datenschutzniveau sichergestellt werden (Art. 44 ff. DSGVO).
-
Zertifizierung nach dem EU-U.S. Data Privacy Framework (DPF)
- Überprüfung der Zertifizierung: Prüfen Sie, ob der Anbieter tatsächlich zertifiziert ist und die Zertifizierung gültig ist. Eine aktuelle Liste finden Sie hier.
- Art der Zertifizierung:
- Verarbeiten Sie personenbezogene Daten von Beschäftigten, stellen Sie sicher, dass die Zertifizierung auch für „HR Data“ und nicht nur für „Non HR Data“ gilt.
-
Angemessenheitsentscheidung beachten
- Wenn die Zertifizierung nach DPF gültig ist, kann ein angemessenes Datenschutzniveau angenommen werden (Art. 45 DSGVO).
-
Zusätzliche Schutzmaßnahmen
- Sollten Zweifel am Schutz bestehen (z. B. wegen Art oder Sensibilität der Daten), erwägen Sie zusätzliche Maßnahmen wie Verschlüsselung oder Pseudonymisierung vor der Übertragung.
Wichtige Hinweise für die Praxis
- Dokumentation: Halten Sie den gesamten Prüfprozess schriftlich fest. Dies ist wichtig, um Ihre Sorgfaltspflichten nachweisen zu können (Art. 5 Abs. 2 DSGVO).
- Beschäftigtendaten: Besondere Vorsicht ist bei der Verarbeitung von Daten von Beschäftigten geboten. Der Regelfall ist eine Zertifizierung für „Non HR Data“. Wenn keine Zertifizierung für „HR Data“ vorliegt, ist das DPF nicht anwendbar.
Zusammenfassung
- Sorgfältige Prüfung gemäß Art. 28 DSGVO, insbesondere technische und organisatorische Maßnahmen.
- Abschluss eines AVV, der den Anforderungen der DSGVO entspricht.
- Prüfung des Datenschutzniveaus gemäß Art. 44 ff. DSGVO.
- Nur bei gültiger DPF-Zertifizierung und passendem Zertifizierungsumfang (HR/Non HR Data) ist eine Übertragung zulässig.
- Gegebenenfalls zusätzliche Schutzmaßnahmen treffen.
Diese Schritte stellen sicher, dass der Einsatz des Anbieters rechtlich und praktisch DSGVO-konform ist.