Datenschutzbehörden kündigen Prüfungen zum internationalen Datentransfer und der Umsetzung der Schrems II Entscheidung an

Am 01.06.2021 hat das Landesamt für Datenschutz Brandenburg mitgeteilt, den internationalen Datentransfer von Unternehmen zu prüfen.  Hintergrund ist die Entscheidung des EuGH (Schrems II), welche den Angemessenheitsbeschluss (Privacy Shield) aufhebt. Der Datentransfer in die Vereinigten Staaten von Amerika (USA) ist somit nicht mehr auf Grundlage des Privacy Shield möglich. Hintergrund des Urteils ist es, dass die USA kein angemessenes Schutzniveau für die Daten von natürlichen Personen bieten. Die Behörden wollen durch die Prüfung gezielt in Erfahrung bringen, wie Unternehmen mit diesem Urteil umgehen und ob die Rechtsvorgaben infolge des Urteils eingehalten werden.

Wie sollen die Prüfungen ablaufen?

Die Datenschutzbehörden der Länder haben sich auf einen einheitlichen Fragebogen geeinigt, den sie an Unternehmen verschicken wollen. Zentrale Inhalte der Prüfung sind der Einsatz von Dienstleistern zum E-Mail-Versand, zum Hosting von Internetseiten, zum Webtracking, zur Verwaltung von Bewerberdaten und für den konzerninternen Austausch von Kunden- und Beschäftigtendaten. Jede Aufsichtsbehörde entscheidet individuell über ihren Prüfungsschwerpunkt.

Was müssen Sie als Unternehmen beachten?

Wenn Sie ein behördliches Schreiben erhalten, sollten Sie sich unbedingt an Ihren Datenschutzbeauftragten wenden, um das weitere Vorgehen zu besprechen. Eine geeignete Vorgehensweise zur Beantwortung der einzelnen Fragen erfordert eine sehr enge Abstimmung zwischen der Geschäftsleitung, den Datenschutzkoordinatoren und dem Datenschutzbeauftragten.

Neben dem Erfüllen der behördlichen Verpflichtung können Sie die Prüfung auch als Chance sehen, sich innerhalb Ihres Unternehmens gezielt mit dem Thema des internationalen Datentransfers auseinanderzusetzen, um selbst nachhalten zu können, ob Sie sich an die relevanten rechtlichen Vorgaben halten.

Sie sollten sich zur Vorbereitung einer Prüfung,

  • vollumfassende Kenntnis über alle Datenströme und Standorte der Datenverarbeitung und -speicherung verschaffen. Das gilt auch für Subunternehmen der eingesetzten Dienstleister.
  • von den Anbietern der Cloud-Dienste Garantien geben lassen, dass ein mit der EU gleichwertiges Datenschutzniveau gewährleistet ist und damit auseinandersetzen, ob die dadurch gebotenen Garantien in der Praxis eingehalten werden können.
    Wenn dies nicht möglich ist (wie es aufgrund des Cloud Act bei US Cloud-Diensten die Regel sein wird), muss nachgehalten werden, welche zusätzlichen Schutzmaßnahmen wie Anonymisierung und Pseudonymisierung oder Verschlüsselung von personenbezogenen Daten eingerichtet werden können. Cloud Act steht kurz für „Clarifying Lawful Overseas Use of Data Act“ oder „Gesetz zur Regelung der rechtmäßigen Verwendung von Daten im Ausland“ und ist ein seit März 2018 bestehendes US-Gesetz, das Strafverfolgungsbehörden den direkten Zugang zu elektronischen Daten ermöglicht, die von Unternehmen in einem anderen Land gespeichert wurden.
  • intensiv damit auseinandersetzen, ob der Einsatz eines alternativen Dienstleisters aus Europa oder einem Drittland mit ausreichendem Schutzniveau infrage kommt, wenn keine datenschutzkonforme Nutzung eines US-Cloud-Dienstes möglich ist
  • mit der Nutzung einer Private Cloud beschäftigen, ob schutzbedürftige Daten ohne Beeinträchtigung der Nutzerfreundlichkeit und Funktionalität in dieser gespeichert werden können.

Auch für einen Self-Check können Sie sich sehr gern bei uns melden. Die Consultants der CCS unterstützen Sie dabei.

Ausblick

Das Thema des internationalen Datentransfers ist insbesondere seit der Schrems II Entscheidung ein herausforderndes Thema für Unternehmen. Die meisten renommierten Softwareanbieter haben ihren Sitz in den USA. Alternativen aus der EU sind leider rar gesät, oftmals fehlt es völlig an europäischen Wettbewerbern. Die EU-Kommission hat allerdings in der Zwischenzeit neue Standardvertragsklauseln entworfen. Diese sollen zukünftig wieder den Datenaustausch ermöglichen, allerdings muss man im Zuge der Implementierung der neuen Standardvertragsklauseln für jeden Einzelfall prüfen, ob tatsächlich alle Vorgaben eingehalten werden (können). Auch zu dieser Frage unterstützen die Consultants der CCS gerne.

Autor: Jan Dominique Köcher, LL.M., Creditreform Compliance Services GmbH

Für die Verstärkung des Teams im Bereich Compliance & AML suchen wir zum nächstmöglichen Termin eine(n)

Experte Compliance & AML (m/w/d)

in Vollzeit.

Ihre Herausforderungen:

  • Eigenverantwortliche fachliche Unterstützung von Mandanten und Ansprechpartner für Compliance- und geldwäscherelevante Fragestellungen
  • Übernahme der Funktion des Compliance-Beauftragten (MaRisk – und Wertpapier-Compliance) sowie des Geldwäschebeauftragten /„Zentrale Stelle“ gemäß § 25h KWG bei Mandanten im Rahmen eines Outsourcings
  • Umfassende Beratung bei der Implementierung von Compliance Management Systemen (CMS)
  • Durchführung von Risikoanalysen
  • Durchführung von Kontroll- und Überwachungshandlungen
  • Pflege und Weiterentwicklung von relevanten Dokumenten (z. B. schriftlich fixierte Ordnung, Arbeitsanweisungen)
  • Organisation von Schulungsmaßnahmen und deren Durchführung bei Mandanten
  • Unterstützung in Projekten 

Was zeichnet Sie aus:

  • Erfolgreich abgeschlossenes Studium der Rechts- oder Wirtschaftswissenschaften, Bankausbildung mit fachbezogener Weiterbildung oder vergleichbare Ausbildung  
  • Einschlägige praktische Erfahrung in den Bereichen MaRisk-Compliance, Wertpapier-Compliance und Geldwäscheprävention 
  • Unternehmerisches Denken und Handeln
  • Interesse an europäischen aufsichtsrechtlichen Entwicklungen in Bezug auf Compliance und Geldwäscheprävention
  • Kenntnisse des Banken- und Finanzdienstleistungsgeschäfts sind von Vorteil
  • Gute Englischkenntnisse (vertragssicher)
  • Sie sind Teamplayer mit starker Serviceorientierung und hohem Verantwortungsbewusstsein
  • Fähigkeit zur perfekten Kommunikation auf Geschäftsführungsebene, sicheres Auftreten sowie eigenverantwortliches Arbeiten
  • Bundesweite Reisebereitschaft (teilweise Projekteinsatz bei unseren Mandanten vor Ort) 

Wir bieten:

  • Arbeit in einem wachsenden, kompetenten Team
  • Einen zukunftsorientierten Arbeitsplatz
  • Ein anspruchsvolles und abwechslungsreiches Aufgabengebiet
  • Ein attraktives Vergütungspaket
  • Work-Life-Balance 

Wenn Sie diese verantwortungsvolle Aufgabe in einem spannenden und dynamischen Markt reizt, freuen wir uns auf Ihre aussagefähige Bewerbung unter Angabe Ihres frühestmöglichen Eintrittstermins und Ihrer Gehaltsvorstellung, vorzugsweise als PDF per E-Mail.

Creditreform Compliance Services GmbH
Silvia Rohe
Hammfelddamm 13
41460 Neuss
bewerbung@creditreform-compliance.de

Unvollständige Bewerbungsunterlagen können leider nicht berücksichtigt werden.