{"id":6744,"date":"2021-06-11T10:51:54","date_gmt":"2021-06-11T10:51:54","guid":{"rendered":"https:\/\/vanleeuwenlawfirm.eu\/?p=6744"},"modified":"2025-05-23T11:19:03","modified_gmt":"2025-05-23T11:19:03","slug":"grenzueberschreitende-uebermittlung","status":"publish","type":"post","link":"https:\/\/vanleeuwenlawfirm.eu\/de\/fachgebiete\/technik-und-digital\/datenschutz-daten-und-cybersicherheit\/grenzueberschreitende-uebermittlung\/","title":{"rendered":"Verantwortlicher gem\u00e4\u00df der Datenschutz-Grundverordnung (DSGVO) und dessen Verantwortlichkeiten"},"content":{"rendered":"\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\n

Die Rolle des Datenverantwortlichen (DV) ist im Rahmen der Datenschutz-Grundverordnung (DSGVO) zentral, da er die prim\u00e4re Entit\u00e4t darstellt, die die Zwecke, Mittel und den allgemeinen Rahmen aller Datenverarbeitungsaktivit\u00e4ten bestimmt. Dies bedeutet nicht nur die Festlegung von Richtlinien, sondern auch deren Umsetzung in den IT-Systemen, operativen Prozessen und Vertr\u00e4gen mit externen Auftragsverarbeitern und Subunternehmern. Governance-Strukturen m\u00fcssen so gestaltet sein, dass jede neue Datenverarbeitungsaktivit\u00e4t auf ihre \u00dcbereinstimmung mit den Grunds\u00e4tzen der DSGVO \u00fcberpr\u00fcft wird und die Gesch\u00e4ftsf\u00fchrung in Echtzeit Informationen \u00fcber Datenfl\u00fcsse, den Status von Datenschutz-Folgenabsch\u00e4tzungen (DSFA) und Sicherheitsvorf\u00e4lle erh\u00e4lt. Die Aufmerksamkeit des Managements f\u00fcr Datenschutz ist daher unverzichtbar: Eine unzureichende Aufsicht kann nicht nur zu hohen Bu\u00dfgeldern f\u00fchren, sondern auch zu einem Blockieren kritischer Dienstleistungen durch die zust\u00e4ndigen Beh\u00f6rden.<\/p>\n

Gleichzeitig verlangt die DSGVO, dass der DV sowohl \u00fcber strategische als auch operative F\u00e4higkeiten verf\u00fcgt. Die Rechtsabteilungen m\u00fcssen in der Lage sein, neue regulatorische \u00c4nderungen \u2014 wie die zuk\u00fcnftige Verordnung zur K\u00fcnstlichen Intelligenz oder Entwicklungen in den Entscheidungen zur internationalen Daten\u00fcbermittlung \u2014 schnell in aktualisierte Richtlinien und Vertragsklauseln zu \u00fcbersetzen. Operativ m\u00fcssen die Verwaltung von Einwilligungen, der Lebenszyklus der Daten und die Reaktion auf Vorf\u00e4lle sofort aktiviert werden k\u00f6nnen, sowohl um Anfragen von Betroffenen zu beantworten als auch um mit den Beh\u00f6rden zu interagieren. In Krisensituationen, wie Anschuldigungen wegen schlechter finanzieller Verwaltung oder Verst\u00f6\u00dfe gegen internationale Sanktionen, reicht eine fragmentierte DSGVO-Umsetzung nicht aus; eine kontinuierliche Vorbereitung des Managements und die vollst\u00e4ndige Verantwortung \u00fcber die gesamte Datenkette sind entscheidend.<\/p>\n\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t

\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\n

(a) Festlegung der Zwecke und Mittel<\/h4>\n

Der Datenverantwortliche entscheidet, warum personenbezogene Daten erhoben werden, welche Kategorien erforderlich sind und mit welchen Mitteln sie verarbeitet werden. Dies erfordert eine detaillierte Kartierung der Daten: vom Webformular bis hin zur Speicherung im Backend, \u00fcber APIs von Drittanbietern und Analysekan\u00e4le. Datenfl\u00fcsse \u2014 zum Beispiel die von Marketing-Tools zum CRM \u2014 m\u00fcssen verfolgt und mit jedem spezifischen Zweck verkn\u00fcpft werden. Jede \u00c4nderung im Umfang oder in der Technologie erfordert eine neue Bewertung, die im Verzeichnis von Verarbeitungst\u00e4tigkeiten dokumentiert und technisch durch Richtlinien-Engines umgesetzt werden muss.<\/p>\n

Die Koordination zwischen internen Abteilungen ist entscheidend: Marketing, Personalwesen, IT, Rechtsabteilung und Finanzen m\u00fcssen ihre jeweiligen Informationsbed\u00fcrfnisse abstimmen, um \u00dcberschneidungen und Widerspr\u00fcche zu vermeiden. Dies erfordert multidisziplin\u00e4re Governance-Aussch\u00fcsse, die regelm\u00e4\u00dfig die Verl\u00e4ufe der Datenverarbeitungsaktivit\u00e4ten validieren. Fehlt diese Abstimmung, k\u00f6nnen parallele Initiativen oder unzul\u00e4ssige Datenerhebungen entstehen, die die Konformit\u00e4t gef\u00e4hrden.<\/p>\n

(b) Einhaltung der Grunds\u00e4tze der DSGVO<\/h4>\n

Der Datenverantwortliche stellt sicher, dass jede Verarbeitung den Grunds\u00e4tzen der Rechtm\u00e4\u00dfigkeit, Fairness, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrit\u00e4t, Vertraulichkeit und Rechenschaftspflicht entspricht. Die Rechtsabteilungen m\u00fcssen f\u00fcr jede Aktivit\u00e4t die rechtliche Grundlage identifizieren \u2014 von der Einwilligung bis zur Erf\u00fcllung gesetzlicher Verpflichtungen \u2014 und sie sowohl in den Richtlinien als auch in internen Aufzeichnungen dokumentieren. Bei Aktivit\u00e4ten, die auf berechtigtem Interesse basieren, muss eine formelle Abw\u00e4gungsanalyse zwischen den Rechten der Betroffenen und den gesch\u00e4ftlichen Zielen durchgef\u00fchrt werden.<\/p>\n

Die \u00dcberwachung und Pr\u00fcfung der Konformit\u00e4t sollte vorzugsweise automatisiert erfolgen: Dashboards f\u00fcr die Einhaltung zeigen in Echtzeit Systeme oder Quellen mit L\u00fccken zwischen den erkl\u00e4rten Richtlinien und der tats\u00e4chlichen Verarbeitung. Wenn ein System beispielsweise Daten l\u00e4nger speichert als angegeben, wird ein Alarm ausgel\u00f6st. Gegenma\u00dfnahmen \u2014 wie die Anpassung der Speicherfristen oder die Schulung des Personals \u2014 sollten durch Change-Management-Verfahren aktiviert werden.<\/p>\n

(c) Erleichterung der Rechte der Betroffenen<\/h4>\n

Der Datenverantwortliche muss sicherstellen, dass die Rechte der Betroffenen innerhalb der vorgeschriebenen Fristen wirksam ausge\u00fcbt werden k\u00f6nnen. Es muss ein Self-Service-Portal zur Verf\u00fcgung gestellt werden, das Anfragen in Verbindung mit Identit\u00e4tsmanagement-Systemen (IAM) erm\u00f6glicht, um die Identit\u00e4t der anfragenden Personen zu verifizieren. Nach der Authentifizierung wird jede Anfrage in Audit-Logs verfolgt, um ihre Nachvollziehbarkeit im Falle einer \u00dcberpr\u00fcfung sicherzustellen.<\/p>\n

Workflows m\u00fcssen auch mehrere oder \u00fcberlappende Anfragen verwalten \u2014 wie eine gleichzeitige Anfrage nach L\u00f6schung und Daten\u00fcbertragbarkeit. Das System muss beide Operationen korrekt orchestrieren und sicherstellen, dass die Daten vor der L\u00f6schung exportiert werden. Sicherheitsmechanismen verhindern versehentliche L\u00f6schungen bei Konflikten oder falscher Reihenfolge.<\/p>\n

(d) Implementierung von Sicherheitsma\u00dfnahmen<\/h4>\n

Der Datenverantwortliche stellt sicher, dass geeignete technische und organisatorische Ma\u00dfnahmen basierend auf einer Risikobewertung getroffen werden. Dies reicht von End-to-End-Verschl\u00fcsselung, sicherem Schl\u00fcsselmanagement, Mikrosegmentierung des Netzwerks bis hin zu regelm\u00e4\u00dfigen Penetrationstests und integrierten SIEM-Systemen (Security Information and Event Management) mit Bedrohungsintelligenz.<\/p>\n

Ebenso wichtig ist die organisatorische Kultur: Spezifische Schulungsprogramme, Simulationen und Sensibilisierungskampagnen erh\u00f6hen das Bewusstsein f\u00fcr Cybersicherheitsrisiken und die proaktive Rolle des Personals. Incident-Response-Pl\u00e4ne sollten vordefiniert und technische, rechtliche sowie kommunikative Aspekte abdecken, um eine zeitgerechte und DSGVO-konforme Benachrichtigung zu gew\u00e4hrleisten.<\/p>\n

(e) Meldung von Datenvorf\u00e4llen<\/h4>\n

Im Falle eines Vorfalls muss ein klarer Prozess zur Erkennung, Analyse und Reaktion aktiviert werden. Sicherheitssysteme sollten automatisch Protokolle, Anomaliebewertungen und forensische Indikatoren zusammenf\u00fchren. Der Datenverantwortliche hat 72 Stunden Zeit, die zust\u00e4ndige Aufsichtsbeh\u00f6rde (in Deutschland die BfDI) zu benachrichtigen, unter Verwendung standardisierter Vorlagen und unterst\u00fctzender technischer Dokumentation.<\/p>\n

Wenn das Risiko f\u00fcr die Rechte der Betroffenen hoch ist, muss der Datenverantwortliche auch die betroffenen Personen direkt informieren, mit transparenten Mitteilungen, die rechtlich gepr\u00fcft und \u00fcber mehrere Kan\u00e4le (E-Mail, SMS, Apps) versendet werden. Die Texte m\u00fcssen klar und ohne werbliche Sprache sein und Ma\u00dfnahmen zum Schutz der Betroffenen beinhalten.<\/p>\n

(f) Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen<\/h4>\n

Der Datenverantwortliche integriert den Datenschutz bereits in der Konzeptionsphase (Privacy by Design), indem f\u00fcr jedes Projekt oder jede Entwicklung Datenschutz- und Sicherheitsverantwortliche benannt werden, damit die Anforderungen nativ umgesetzt werden. Die Strukturen der Datenbanken, architektonische Entscheidungen und Drittanbieter m\u00fcssen vor der Produktion \u00fcberpr\u00fcft werden.<\/p>\n

\u201eDurch Voreinstellungen\u201c bedeutet, dass Systeme mit datenschutzfreundlichen Konfigurationen gestartet werden m\u00fcssen: minimale Datenerhebung, eingeschr\u00e4nkter Zugriff, deaktivierte Tracking-Mechanismen, begrenzte Speicherung. Entwickler setzen konfigurierbare Modelle um, die falsche oder riskante Konfigurationen verhindern.<\/p>\n

(g) Benennung des Datenschutzbeauftragten (DSB)<\/h4>\n

Der Datenverantwortliche bewertet, ob die Benennung eines Datenschutzbeauftragten (DSB) erforderlich ist \u2014 zum Beispiel bei umfangreicher \u00dcberwachung oder der Verarbeitung sensibler Daten \u2014 und bestellt ihn formell, wobei ihm Autonomie, geeignete Ressourcen und direkter Zugang zur Gesch\u00e4ftsf\u00fchrung gew\u00e4hrleistet werden.<\/p>\n

Der DSB f\u00fchrt kontinuierliche Aktivit\u00e4ten durch: Er \u00fcberwacht das Risikomanagement, f\u00fchrt Audits durch, unterst\u00fctzt bei Datenschutz-Folgenabsch\u00e4tzungen und ber\u00e4t das Management zu aufkommenden Risiken. Regelm\u00e4\u00dfige Berichte an die Gesch\u00e4ftsf\u00fchrung stellen sicher, dass der Datenschutz ein integraler Bestandteil der Unternehmensstrategie bleibt.<\/p>\n

(h) Internationale Daten\u00fcbermittlung<\/h4>\n

Der Datenverantwortliche w\u00e4hlt und verwaltet die Mechanismen f\u00fcr jede Daten\u00fcbertragung in Drittl\u00e4nder: Angemessenheitsentscheidungen, Standardvertragsklauseln (SCC) oder verbindliche Unternehmensregeln (BCR). \u00dcberwachungs- und DLP-Systeme (Data Loss Prevention) kontrollieren, dass Daten nicht in nicht autorisierte L\u00e4nder \u00fcbertragen werden.<\/p>\n

\u00dcbertragungsrisikoanalysen (Transfer Risk Assessments) bewerten den rechtlichen und politischen Kontext des Empf\u00e4ngerlandes. Drittanbieter m\u00fcssen vertragliche Garantien bieten. Compliance-Aussch\u00fcsse \u00fcberwachen Updates zu Sanktionen, internationalen Vertr\u00e4gen und Rechtsprechungs\u00e4nderungen, um \u00dcbertragungen bei Bedarf auszusetzen oder anzupassen.<\/p>\n\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t

\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t
\n\t\t\t
<\/div>\n\t\t<\/div>\n\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\r\n\r\n
\r\n \r\n
\r\n \r\n \n
\n\n
\n \n \n \r\n
\r\n \r\n
\r\n \r\n \r\n \r\n \r\n \r\n \r\n\r\n \"\"\r\n <\/span>\r\n\r\n \r\n \r\n \r\n <\/a>\r\n \r\n \r\n <\/div>\r\n \r\n \r\n<\/figure>\r\n\r\n\n
\n\n
\n\n
\r\n

\r\n \r\n Pr\u00e4vention\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \r\n
\r\n \r\n
\r\n \r\n \r\n \r\n \r\n \r\n \r\n\r\n \"\"\r\n <\/span>\r\n\r\n \r\n \r\n \r\n <\/a>\r\n \r\n \r\n <\/div>\r\n \r\n \r\n<\/figure>\r\n\r\n\n
\n\n
\n\n
\r\n

\r\n \r\n Erkennung\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \r\n
\r\n \r\n
\r\n \r\n \r\n \r\n \r\n \r\n \r\n\r\n \"\"\r\n <\/span>\r\n\r\n \r\n \r\n \r\n <\/a>\r\n \r\n \r\n <\/div>\r\n \r\n \r\n<\/figure>\r\n\r\n\n
\n\n
\n\n
\r\n

\r\n \r\n Untersuchung\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \r\n
\r\n \r\n
\r\n \r\n \r\n \r\n \r\n \r\n \r\n\r\n \"\"\r\n <\/span>\r\n\r\n \r\n \r\n \r\n <\/a>\r\n \r\n \r\n <\/div>\r\n \r\n \r\n<\/figure>\r\n\r\n\n
\n\n
\n\n
\r\n

\r\n \r\n Reaktion\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \r\n
\r\n \r\n
\r\n \r\n \r\n \r\n \r\n \r\n \r\n\r\n \"\"\r\n <\/span>\r\n\r\n \r\n \r\n \r\n <\/a>\r\n \r\n \r\n <\/div>\r\n \r\n \r\n<\/figure>\r\n\r\n\n
\n\n
\n\n
\r\n

\r\n \r\n Beratung\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \r\n
\r\n \r\n
\r\n \r\n \r\n \r\n \r\n \r\n \r\n\r\n \"\"\r\n <\/span>\r\n\r\n \r\n \r\n \r\n <\/a>\r\n \r\n \r\n <\/div>\r\n \r\n \r\n<\/figure>\r\n\r\n\n
\n\n
\n\n
\r\n

\r\n \r\n Prozessf\u00fchrung\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \r\n
\r\n \r\n
\r\n \r\n \r\n \r\n \r\n \r\n \r\n\r\n \"\"\r\n <\/span>\r\n\r\n \r\n \r\n \r\n <\/a>\r\n \r\n \r\n <\/div>\r\n \r\n \r\n<\/figure>\r\n\r\n\n
\n\n
\n\n
\r\n

\r\n \r\n Verhandlung\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article> \r\n \r\n <\/div>\r\n \r\n \r\n<\/div>\r\n\r\n \t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<\/div>\n\t\t","protected":false},"excerpt":{"rendered":"

Die Rolle des Datenverantwortlichen (DV) ist im Rahmen der Datenschutz-Grundverordnung (DSGVO) zentral, da er die prim\u00e4re Entit\u00e4t darstellt, die die Zwecke, Mittel und den allgemeinen Rahmen aller Datenverarbeitungsaktivit\u00e4ten bestimmt. Dies bedeutet nicht nur die Festlegung von Richtlinien, sondern auch deren Umsetzung in den IT-Systemen, operativen Prozessen und Vertr\u00e4gen mit externen Auftragsverarbeitern und Subunternehmern. Governance-Strukturen m\u00fcssen so gestaltet sein, dass jede neue Datenverarbeitungsaktivit\u00e4t auf ihre \u00dcbereinstimmung mit den Grunds\u00e4tzen der DSGVO \u00fcberpr\u00fcft wird und die Gesch\u00e4ftsf\u00fchrung in Echtzeit Informationen \u00fcber Datenfl\u00fcsse, den Status von Datenschutz-Folgenabsch\u00e4tzungen (DSFA) und Sicherheitsvorf\u00e4lle erh\u00e4lt. Die Aufmerksamkeit des Managements f\u00fcr Datenschutz ist daher unverzichtbar: Eine unzureichende Aufsicht<\/p>\n","protected":false},"author":2,"featured_media":28932,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[184],"tags":[],"class_list":["post-6744","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-datenschutz-daten-und-cybersicherheit"],"acf":[],"_links":{"self":[{"href":"https:\/\/vanleeuwenlawfirm.eu\/de\/wp-json\/wp\/v2\/posts\/6744","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/vanleeuwenlawfirm.eu\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/vanleeuwenlawfirm.eu\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/de\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/de\/wp-json\/wp\/v2\/comments?post=6744"}],"version-history":[{"count":8,"href":"https:\/\/vanleeuwenlawfirm.eu\/de\/wp-json\/wp\/v2\/posts\/6744\/revisions"}],"predecessor-version":[{"id":29435,"href":"https:\/\/vanleeuwenlawfirm.eu\/de\/wp-json\/wp\/v2\/posts\/6744\/revisions\/29435"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/de\/wp-json\/wp\/v2\/media\/28932"}],"wp:attachment":[{"href":"https:\/\/vanleeuwenlawfirm.eu\/de\/wp-json\/wp\/v2\/media?parent=6744"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/de\/wp-json\/wp\/v2\/categories?post=6744"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/de\/wp-json\/wp\/v2\/tags?post=6744"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}