Die Tätigkeit eines Unternehmens beinhaltet in den meisten Fällen eine Verarbeitung von personenbezogenen Daten von Mitarbeitern oder Kunden. Das Unternehmen muss dabei die Bestimmungen in der Datenschutzgrundverordnung (DSGVO) beachten. Dazu gehört u.a. die Bereitstellung einer Datenschutzerklärung für Kunden bzw. eines unternehmensinternen Verarbeitungsverzeichnisses für Mitarbeiter und Behörden. In diesen Dokumenten werden die Betroffenen über den Umgang mit ihren Daten und ihre Rechte in Bezug auf die Verwendung ihrer Daten aufgeklärt.

  1. Informieren Sie sich hier zusammenfassend über die Datenschutzgrundverordnung:

    DSGVO: Was sollten Webseitenbetreiber und Unternehmer über die Datenschutz-Grundverordnung wissen?

    DSGVO-konforme Datenschutzerklärung jetzt kostenlos erstellen

  2. Informieren Sie sich hier über die Pflichten von Unternehmen zur Sicherstellung des internen Datenschutzes für die Mitarbeiterinnen und Mitarbeiter

    Was müssen Unternehmen nach der DSGVO intern alles regeln?

    Ist das Verzeichnis von Verarbeitungstätigkeiten Pflicht für jeden Unternehmer?

  3. Bei der Verwendung von Software im Unternehmen werden in der Regel ebenfalls personenbezogene Daten von Kunden oder Mitarbeitern verarbeitet. Je nach Konfiguration der Software werden diese Daten in Datenbanken gespeichert, die auf

    liegen.

    Bei der Speicherung von Daten auf unternehmensfremden Servern müssen vom Unternehmen zusätzliche Maßnahmen zur Erfüllung der DSGVO getroffen werden, wie z.B. der Abschluss eines Auftragsverarbeitungsvertrags mit den jeweiligen Softwareanbietern.

    Informieren Sie sich hier über die Pflichten von Unternehmen zur Sicherstellung des Datenschutzes bei der Nutzung von SaaS-Angeboten:

    Software as a Service (SaaS): Darauf sollten Sie beim Datenschutz achten

    Was ist die DSGVO Auftragsverarbeitung und was geht mich das an?

Softwareanbieter, die personenbezogene Daten auf Servern innerhalb der EU speichern, unterliegen den Bestimmungen der DSGVO und müssen zusätzlich zu den mit ihren Unternehmenskunden abgeschlossenen AV-Verträgen zahlreiche Vorkehrungen zur Sicherstellung des Datenschutzes treffen. Bei der Wahl von SaaS-Angeboten bevorzugen daher viele Unternehmen solche Angebote, bei denen die Daten auf Servern mit Standorten innerhalb der EU gespeichert werden.

Liegen die Serverstandorte jedoch außerhalb der EU, müssen zusätzlich die Anforderungen der DSGVO an Drittlandübermittlungen erfüllt werden. Den hierfür erforderlichen vertraglichen Regelungen kommt in Bezug auf den Datenschutz eine hohe Bedeutung zu. Von der EU-Kommission wurden daher sogenannte Standardvertragsklauseln (SCCs, Vertragsmuster) verabschiedet, mit denen die AV-Verträge, die zwischen Unternehmen und Softwareanbietern außerhalb der EU geschlossen werden, ergänzt werden müssen, sofern kein Angemessenheitsbeschluss vorliegt (siehe unten).

Viele große SaaS-Anbieter außerhalb der EU stellen nach der Registrierung automatisch für jeden Nutzer ein Data Processing Addendum (Nachtrag zur Datenverarbeitung) bereit, welches u.a. die Bestimmungen eines AV-Vertrags und der SCCs enthält.

Für bestimmte Länder oder Unternehmen kann die Europäische Kommission zudem durch einen Angemessenheitsbeschluss feststellen, dass ein angemessenes Datenschutzniveau besteht. Für viele US-amerikanische Unternehmen erfolgt dies derzeit über das EU-U.S. Data Privacy Framework (DPF). Ist ein US-Anbieter nach dem DPF zertifiziert, kann die Datenübermittlung grundsätzlich auf diesen Angemessenheitsbeschluss gestützt werden, ohne dass SCCs zwingend erforderlich sind.

Neue Standardvertragsklauseln: Das müssen Sie jetzt tun

Data Privacy Framework

Zusammenfassung