Der rechtliche Rahmen der DSGVO und die wichtigsten Bestimmungen, die US-Rechtsstreitigkeiten betreffen
Die Datenschutz-Grundverordnung (DSGVO) ist eine EU-Verordnung, die die EU-Datenschutzrichtlinie von 1995 ersetzt. Die DSGVO soll einen stärkeren und einheitlicheren Datenschutz für Einzelpersonen in der EU sowie für aus der EU exportierte personenbezogene Daten gewährleisten und damit die Einhaltung der Verordnung durch aussereuropäische Unternehmen erleichtern. Die DSGVO trat am 24. Mai 2016 in Kraft und musste 2 Jahre später, am 25. Mai 2018, umgesetzt worden sein.
Nach der DSGVO gilt für alle EU-Mitgliedsstaaten ein einheitliches Regelwerk. Die Auswirkungen der DSGVO sind weitreichend und betreffen die meisten Unternehmen mit Sitz in der EU sowie Unternehmen mit Sitz im Ausland, die personenbezogene Daten verarbeiten, die in der EU oder von in der EU ansässigen Personen erhoben werden. Die DSGVO legt die Messlatte für die Einhaltung im Vergleich zur Richtlinie deutlich höher. Sie sieht unter anderem strengere Beschränkungen für die Verwendung personenbezogener Daten vor, gibt dem Einzelnen mehr Durchsetzungsrechte und erfordert mehr Transparenz. Die DSGVO erhöht auch die Strafen bei Nichteinhaltung drastisch auf mehr als 20 Millionen Euro oder 4 % des weltweiten Umsatzes, was die Aufmerksamkeit des oberen Managements auf sich zieht. Darüber hinaus können Einwohner der EU nach dem DSGVO nun auch „materielle oder immaterielle“ Schäden infolge von Datenschutzverletzungen geltend machen. Dies kann dazu führen, dass US-Unternehmen in jedem der 28 EU-Mitgliedstaaten oder in mehreren Mitgliedstaaten aufgrund von Verstössen, die Einwohner mehrerer EU-Länder betreffen, gerichtlich belangt werden.
Wichtig für US-Unternehmen ist, dass die DSGVO die Art und Weise, wie die Beweisführung im Zusammenhang mit US-amerikanischen Rechtsstreitigkeiten erfolgt, erheblich beeinflussen kann. Die DSGVO beschränkt insbesondere die Umstände, unter denen personenbezogene Daten aus der EU exportiert werden dürfen. Daher muss jede Überprüfung von Dokumenten, die ausserhalb der EU durchgeführt wird und personenbezogene Daten betreffen, die in der EU erhoben oder gespeichert werden, in Übereinstimmung mit der DSGVO erfolgen. Darüber hinaus lagern viele globale Unternehmen E-Discovery und die Überprüfung von Prozessdokumenten an Dienstleister ausserhalb der EU aus. Die Folge ist, dass sich die Anbieter von solchen Dienstleistungen damit kämpfen, die Auswirkungen der DSGVO auf ihren Betrieb vollständig zu verstehen.
Wenn die Übermittlung von Daten in die USA zu Beweisführungszwecken erforderlich ist, müssen die Prozessbeteiligten Vorkehrungen treffen, wie die Verwendung von Suchbegriffen und Datenbeschränkungen, um die Menge der gesammelten und in die USA übermittelten Daten zu begrenzen. Im Hinblick auf die im Rahmen des DSGVO verfügbaren finanziellen Sanktionen sollten Unternehmen eine sorgfältige Einzelfallprüfung der Grundlage für die Übermittlung personenbezogener Daten in die USA oder in andere Länder ausserhalb der EU zur Verwendung für die Beweisführung oder für staatliche oder interne Untersuchungen vornehmen.
Wie im Folgenden detailliert erläutert, gehören zu den Möglichkeiten der Risikominderung im Rahmen der DSGVO:
- Minimierung der tatsächlich übertragenen Datenmenge, die für die Zwecke, für die die Daten verarbeitet werden, erforderlich ist,
- Wo immer möglich Verschlüsselung, Redaktion oder Anonymisierung personenbezogener Daten,
- Nutzung internationaler Verträge (Rechtshilfeabkommen) zur Rechtfertigung der Datenübermittlung,
- Abschluss von Standardvertragsklauseln mit Dritten, die personenbezogene Daten verarbeiten,
- Verarbeitung und Speicherung der Daten in der EU, insbesondere vor der Redaktion oder Anonymisierung, und
- Abschluss einer Schutzanordnung, die die Möglichkeit der Parteien, auf personenbezogene Daten aus der EU zuzugreifen und diese in Rechtsstreitigkeiten zu verbreiten, einschränkt.
Was abgedeckt wird
„Personenbezogene Daten“ im Sinne der DSGVO sind alle Informationen über eine identifizierte oder identifizierbare natürliche Person (eine „betroffene Person“). Eine identifizierbare Person ist eine Person, die direkt oder indirekt identifiziert werden kann, insbesondere durch Bezugnahme auf einen Identifikator wie einen Namen, eine Identifikationsnummer, Ortsdaten, Online-Identifikator oder auf einen oder mehrere Faktoren, die für die physische, physiologische, genetische, mentale, wirtschaftliche, kulturelle oder soziale Identität dieser Person spezifisch sind.
Die Definition der personenbezogenen Daten ist nach der DSGVO weitgehend unverändert. Die explizite Einbeziehung von Standortdaten, Online-Identifikatoren und genetischen Daten in die Definition von „personenbezogenen Daten“ bedeutet, dass Online-Identifikatoren wie IP-Adressen und Cookies in vielen Fällen als personenbezogene Daten betrachtet werden, wenn sie ohne grossen Aufwand wieder mit einer betroffenen Person verknüpft werden können. Es gibt keinen Unterschied zwischen personenbezogenen Daten über Personen in ihrer öffentlichen, privaten oder beruflichen Eigenschaft. Alle Informationen über eine Person, die der Definition entspricht, sind durch die DSGVO geschützt.
Besondere Kategorien personenbezogener Daten unterliegen einem zusätzlichen Schutz. „Besondere Kategorien personenbezogener Daten“ sind persönliche Daten, die die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Daten über Gesundheit oder Sexualleben und sexuelle Orientierung, genetische Daten oder biometrische Daten offenbaren. Generell müssen Unternehmen stärkere Gründe für die Verarbeitung besonderer Kategorien personenbezogener Daten haben als für die Verarbeitung von „personenbezogenen Daten“ erforderlich sind.”
Die DSGVO gilt für jedes Rechtsgebilde, das Daten von in der EU ansässigen Personen sammelt sowie für jede in der EU ansässige Person (der „Verantwortliche“), sowie für jedes Rechtsgebilde, das Daten im Auftrag des Verantwortlichen verarbeitet (der „Auftragsverarbeiter“), wie z.B. ein Anbieter von eDiscovery oder ein Anbieter von Unterstützungsleitungen bei Rechtsstreitigkeiten. Die Verordnung gilt auch für Verantwortliche und Auftragsverarbeiter mit Sitz ausserhalb der EU, wenn sie personenbezogene Daten von in der EU ansässigen Personen erheben oder verarbeiten.
Rechtmässigkeit der Verarbeitung
Nach der DSGVO darf ein Unternehmen personenbezogene Daten nur dann verarbeiten, wenn dafür eine gesetzliche Grundlage besteht. Nach § 6 DSGVO ist eine Verarbeitung nur zulässig, wenn und soweit mindestens einer der folgenden Punkte zutrifft:
- Die betroffene Person hat der Verarbeitung ihrer personenbezogenen Daten für einen oder mehrere bestimmte Zwecke zugestimmt.
- Die Verarbeitung ist notwendig für die Erfüllung eines Vertrages, an dem die betroffene Person beteiligt ist, oder um auf Verlangen der betroffenen Person vor Abschluss eines Vertrages Massnahmen zu ergreifen.
- Die Verarbeitung ist notwendig, um einer gesetzlichen Verpflichtung nachzukommen, der der Verantwortliche unterliegt.
- Die Verarbeitung ist notwendig, um die lebenswichtigen Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.
- Die Verarbeitung ist für die Erfüllung einer Aufgabe erforderlich, die im öffentlichen Interesse oder in Ausübung der dem Verantwortlichen übertragenen hoheitlichen Befugnisse durchgeführt wird.
- Die Verarbeitung ist für die Zwecke der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, es sei denn, diese Interessen werden durch die Interessen oder Grundrechte und -freiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, aufgehoben, insbesondere wenn die betroffene Person ein Kind ist.
Strenge Regeln gelten, wenn Zustimmung als rechtmässige Grundlage für die Verarbeitung verwendet wird:
- Der Verantwortliche muss nachweisen können, dass die betroffene Person der Verarbeitung ihrer personenbezogenen Daten zugestimmt hat.
- Wird die Einwilligung der betroffenen Person im Rahmen einer schriftlichen Erklärung erteilt, die auch andere Angelegenheiten betrifft, so ist der Antrag auf Einwilligung in klarer, verständlicher und leicht zugänglicher Form in klarer und verständlicher Sprache zu stellen.
- Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Der Widerruf muss so einfach wie die Einwilligung sein.
- Die Einwilligung muss ausdrücklich für die erhobenen Daten und die Verwendung der Daten erfolgen.
- Die Einwilligung für Kinder muss vom Elternteil oder der Aufsichtsperson des Kindes erteilt und nachprüfbar sein.
- Die Verantwortlichen müssen in der Lage sein, ihre „Einwilligung“ nachzuweisen (Opt-in).
Auf absehbare Zeit ist es unwahrscheinlich, dass die Unternehmen über die notwendigen Genehmigungen verfügen, um Daten für Rechtsstreitigkeiten ausserhalb der EU zu übermitteln. Darüber hinaus ist eine Einwilligung nicht möglich, wenn der Betroffene nicht vollständig über den Zweck der Übermittlung informiert werden kann, z.B. bei internen Untersuchungen. Folglich müssen sich die Unternehmen auf eine der anderen Grundlagen für die rechtmässige Verarbeitung der Daten wie oben beschrieben verlassen.
Darüber hinaus hat die EU bei der Ausarbeitung der DSGVO spezielle Bestimmungen hinzugefügt, die deutlich machen, dass Unternehmen bei Rechtsstreitigkeiten in den Vereinigten Staaten und anderswo den Datenschutz in der EU respektieren müssen. Nach Artikel 48 kann „jede Entscheidung eines Gerichts und jede Entscheidung einer Verwaltungsbehörde eines Drittlandes, die die Übermittlung oder Offenlegung personenbezogener Daten verlangt, nur dann anerkannt oder vollstreckbar sein, wenn sie auf einem internationalen Abkommen, wie z.B. einem Rechtshilfeabkommen, beruht…..“.
Da die meisten Mitgliedsstaaten keine Rechtshilfeabkommen mit den Vereinigten Staaten haben und selbst die bestehenden Abkommen oft nicht die vorprozessuale Beweisführung in den USA abdecken, stellt diese Bestimmung ein Hindernis für die Beweissammlung in den Vereinigten Staaten und anderswo dar.
Gründe für die Übermittlung personenbezogener Daten ausserhalb der EU
Unter der Annahme, dass ein Unternehmen über eine legitime Grundlage für die Verarbeitung der relevanten personenbezogenen Daten verfügt, scheinen die Artikel 46 und 49 DSGVO die nützlichsten Mechanismen zu bieten, die es Unternehmen ermöglichen, Daten zur Überprüfung von Dokumenten oder zur Unterstützung bei Rechtsstreitigkeiten ausserhalb der EU zu übermitteln. Datenübermittlungen auf der Grundlage einer Einwilligung sind zwar möglich, sie werden jedoch in Rechtsstreitigkeiten kaum hilfreich sein, da die Einwilligung der betroffenen Person und nicht des Unternehmens, das die Daten erhoben hat, eingeholt werden muss.
Die Standardvertragsklauseln der EU (Artikel 46 Absatz 3 Buchstabe a) eignen sich besonders gut für Datenübertragungen im Zusammenhang mit der Überprüfung von Dokumenten, bei denen eine Vielzahl von Anbietern, wie z. B. ein eDiscovery-Anbieter, ein Anbieter von Dokumentenprüfungen, Vertragsanwälte oder Anwaltskanzleien, Zugang zu den Daten benötigen. Wie oben erwähnt, dürfen Standardvertragsklauseln jedoch nur verwendet werden, wenn die Daten aus Gründen übermittelt werden, die nach der DSGVO als legitim angesehen werden. Auch die derzeit gültigen Standardvertragsklauseln erfüllen nicht alle Anforderungen der DSGVO für den Transfer zwischen Verantwortlichen und Verarbeitern, wie im Folgenden ausführlich erläutert. Bestehende Standardvertragsklauseln müssen daher ggf. an die DSGVO angepasst werden.
Im Gegensatz zu ihrem Vorgänger (der Richtlinie) legt die DSGVO zahlreiche Pflichten des Verbeiters fest, die in einem Vertrag mit dem Verantwortlichen oder in einem „anderen Rechtsakt nach dem Unionsrecht oder dem Recht der Mitgliedstaaten“ (Artikel 28) festgelegt werden müssen. Die DSGVO ermächtigt die Europäische Kommission und die Aufsichtsbehörden (d.h. die Datenschutzbehörden der EU-Mitgliedstaaten), Standardvertragsklauseln zur Erfüllung dieser Anforderungen festzulegen. Soweit uns bekannt ist, hat bisher keiner von ihnen einen Entwurf für geänderte Standardvertragsklauseln vorgelegt.
Ein weiteres Mittel der Datenübermittlung ist die Begründung, Ausübung oder Abwehr von Rechtsansprüchen nach § 49 Abs. 1 Buchst. e DSGVO. Diese Bestimmung kann die beste Rechtfertigung für Datenübertragungen im Zusammenhang mit Rechtsstreitigkeiten, einschliesslich der vorgerichtlichen Beweisführung, bieten. Während diese Ausnahme nach der Richtlinie durch Rechtsvorschriften in einigen EU-Ländern begrenzt wurde, werden diese Ausnahmen nach der DSGVO begrenzter sein.
Artikel 49 Absatz 1 Buchstabe d DSGVO ermöglicht die Übermittlung von Daten aus wichtigen Gründen des öffentlichen Interesses. Dieser Ansatz unterstützt zwar nicht die Datenübermittlung im Zusammenhang mit zivilgerichtlichen Verfahren, kann aber für Strafverfolgungsersuchen und behördliche Ermittlungen gelten. Nach Artikel 49 Absatz 4 muss der „wichtige Grund“ jedoch entweder von der EU oder von den Mitgliedstaaten anerkannt werden. Daher kann sich die Datenübermittlung im Rahmen dieser Bestimmung auf Situationen beschränken, die sowohl im öffentlichen Interesse der EU als auch der USA liegen, wie etwa die Bekämpfung der Geldwäsche oder der öffentlichen Gesundheit.
Wenn die oben genannten Möglichkeiten zur Übermittlung von Beweissicherungsdaten nicht zur Verfügung stehen, ermöglicht Artikel 49 Absatz 1 Nummer 2 eine begrenzte Übertragung einzelner Daten für zwingende berechtigte Interessen der übermittelnden Partei, wenn folgende Kriterien erfüllt sind:
- Die Übertragung ist nicht wiederholend und betrifft nur eine begrenzte Anzahl von betroffenen Personen.
- Die Übermittlung ist notwendig für zwingende, berechtigte Interessen der übermittelnden Stelle, die nicht durch die Interessen oder Rechte und Freiheiten der betroffenen Person ausser Kraft gesetzt werden.
- Die übermittelnde Stelle hat alle Umstände der Datenübermittlung geprüft und geeignete Sicherheitsvorkehrungen getroffen.
- Die zuständige Datenschutzbehörde wurde über die Übermittlung informiert.
- Die betroffenen Personen wurden über die beabsichtigte Datenübermittlung informiert.
Unabhängig davon, auf welches Übermittlungsverfahren sich ein Unternehmen stützt, sollte die übermittelte Datenmenge das Minimum sein, um den Zweck zu erreichen, für den die Daten übermittelt werden, und es müssen weiterhin geeignete technische und organisatorische Verfahren zum Schutz der relevanten Daten eingerichtet werden. Die Antworten auf einen Beweisantrag oder eine Vorladung müssen so eingegrenzt werden, dass sie sich nur auf die Informationen und Treuhänder konzentrieren, die für das betreffende Thema unmittelbar relevant sind.
Überlegungen zur Auswahl eines Anbieters von Prozessunterstützungsdienstleistungen
Die DSGVO erlegt den Verarbeitern neben den Pflichten der Verantwortlichen auch unmittelbar gesetzliche Compliance-Verpflichtungen auf. Der Verarbeiter ist ausserdem verpflichtet, personenbezogene Daten gemäss den Anweisungen des Verantwortlichen zu verarbeiten. Infolgedessen werden Verantwortliche Verarbeiter benötigen, die viele der für den Verantwortlichen geltenden Anforderungen erfüllen müssen.
Darüber hinaus dürfen die Verantwortlichen nur solche Verarbeiter benennen, die ausreichende Garantien für die Durchführung geeigneter technischer und organisatorischer Massnahmen bieten, um sicherzustellen, dass die Verarbeitung den Anforderungen der DSGVO entspricht. Daher müssen viele Verantwortliche ihre bestehenden Vereinbarungen mit den Verarbeitern neu verhandeln, um diese Vereinbarungen mit der DSGVO in Einklang zu bringen.
Die Vereinbarung zwischen einem Verantwortlichen und dem Verarbeiter muss schriftlich erfolgen und umfasst die Dauer, Art und Zweck der Verarbeitung, die Art der verarbeiteten Daten sowie die Pflichten und Rechte des Verantwortlichen. Gemäss Artikel 28 Absatz 1 DSGVO muss der Verarbeiter im Rahmen der schriftlichen Vereinbarung zwischen einem Verantwortlichen und dem Verarbeiter Folgendes vereinbaren:
- Nur nach den dokumentierten Anweisungen des Verantwortlichen handeln;
- Verpflichtung aller Mitarbeitenden, die die relevanten Daten verarbeiten, zur Vertraulichkeit;
- Gewährleistung der Sicherheit der von ihm verarbeiteten personenbezogenen Daten;
- Beachtung der Anforderungen der DSGVO bezüglich der Bestellung von Unterverarbeitern;
- Durchführung von Massnahmen zur Unterstützung des Verantwortlichen bei der Erfüllung seiner Pflichten und der Rechte der betroffenen Personen;
- Unterstützung des Verantwortlichen bei der Einholung von Genehmigungen durch die Datenschutzbehörden, falls erforderlich;
- Nach Wahl des Verantwortlichen die personenbezogenen Daten am Ende der Beziehung zurückzugeben oder zu vernichten; und
- Dem Verantwortlichen alle notwendigen Informationen zur Verfügung stellen, um die Einhaltung der DSGVO nachzuweisen.
Bei der Auswahl eines Dienstleisters zur Prozessunterstützung, der mit dem Umgang mit EU-geschützten personenbezogenen Daten beauftragt ist, sollten Unternehmen die folgenden Überlegungen berücksichtigen:
Datenschutz durch Technikgestaltung (Data Protection by Design)
Nach Artikel 25 DSGVO ist der Datenschutz in die Entwicklung von Geschäftsprozessen für Produkte und Dienstleistungen einzubeziehen. Ein Datenverarbeiter muss geeignete technische und organisatorische Massnahmen ergreifen, die darauf ausgerichtet sind, die Datenschutzgrundsätze der DSGVO über den gesamten Verarbeitungszyklus hinweg umzusetzen. Dies setzt voraus, dass die Privatsphäre-Einstellungen standardmässig auf einem hohen Niveau eingestellt sind. Unter anderem sollte der Verarbeiter Massnahmen ergreifen, um sicherzustellen, dass standardmässig nur personenbezogene Daten verarbeitet werden, die für den jeweiligen Verarbeitungszweck erforderlich sind, und dass personenbezogene Daten nur dann verarbeitet werden, wenn dies für den jeweiligen Zweck erforderlich ist.
Sicherheit
Verarbeiter wie auch Verantwortliche sind verpflichtet, angemessene Sicherheits- und Organisationsmassnahmen zum Schutz personenbezogener Daten zu ergreifen. Welche Massnahmen als angemessen erachtet werden, hängt von einer Vielzahl von Faktoren ab, darunter die Art und Sensibilität der Daten, die Risiken für Personen, die mit einem Sicherheitsverstoss verbunden sind, die Kosten der Implementierung und die Art der Verarbeitung. Diese Massnahmen können bei der Arbeit mit anonymisierten oder redigierten Daten etwas lockerer sein. Gegebenenfalls ist auch eine regelmässige Überprüfung der Wirksamkeit von Sicherheitsmassnahmen erforderlich.
Datenschutzbeauftragter
Sowohl die Verantwortlichen als auch Verarbeiter sind verpflichtet, in bestimmten Situationen Datenschutzbeauftragte (DSB) zu benennen, auch dann, wenn die Datenverarbeitung eine regelmässige Überwachung der betroffenen Personen in grossem Umfang erfordert oder wenn die Kernaktivitäten der Verarbeitung grosse Mengen sensibler Daten oder Daten im Zusammenhang mit strafrechtlichen Verurteilungen oder Straftaten umfassen. Die Hauptaufgabe des DSB besteht darin, den Verarbeiter bei der Einhaltung der DSGVO zu unterstützen. Der DSB sollte auf der Grundlage der Kenntnis der Datenschutzgesetze und -praktiken benannt werden. Der DSB muss über eine gewisse Unabhängigkeit verfügen und ist die Anlaufstelle für alle betroffenen Personen und die Aufsichtsbehörde.
Einschränkung der Unterverarbeitung
Damit ein Verarbeiter im Rahmen der DSGVO einen Unterauftrag erteilen kann, muss er die vorherige schriftliche Zustimmung des Verantwortlichen einholen. Während die DSGVO den Verantwortlichen ein hohes Mass an Kontrolle in Bezug auf die Fähigkeit des Verarbeiters, Unteraufträge zu vergeben, gibt, muss der Verarbeiter den Verantwortlichen über neue Unterprozessoren informieren und ihm Zeit zum Einspruch geben. Der Hauptdatenverarbeiter ist auch verpflichtet, die gleichen Vertragsbedingungen, die er mit dem Verantwortlichen hat, in jedem Untervertrag mit einem Unterauftragsverarbeiter zu reflektieren und bleibt dem Verantwortlichen gegenüber für die Handlungen oder Unterlassungen eines Unterauftragsverarbeiters haftbar.
Nachweis der Compliance
Der Verarbeiter muss die Einhaltung der DSGVO nachweisen können. Verarbeiter sind verpflichtet, über alle Arten von Verarbeitungstätigkeiten Buch zu führen. Dazu gehören Angaben über die Verantwortlichen und Unterauftragsverarbeiter von personenbezogenen Daten, DSBs, die Art der Verarbeitung, Angaben über etwaige Übermittlungen in Drittländer sowie eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmassnahmen. Diese Aufzeichnungen sind der Aufsichtsbehörde auf Verlangen zur Verfügung zu stellen.
Übermittlung in Drittländer
Jede Übermittlung personenbezogener Daten, die zur Verarbeitung nach der Übermittlung in ein Drittland bestimmt sind, unterliegt besonderen Beschränkungen in Kapitel V der DSGVO. Ein Verantwortlicher oder Verarbeiter darf personenbezogene Daten nur dann in ein Drittland übermitteln, wenn der Verantwortliche oder Verarbeiter angemessene Garantien gegeben hat und wenn nach der Übermittlung durchsetzbare Rechte und wirksame Rechtsmittel für die betroffenen Personen zur Verfügung stehen. Dies ist ein Bereich, der in Verträgen zwischen Verantwortlichen und Verarbeitern geklärt werden sollte. Geeignete Schutzvorkehrungen können auf verschiedene Weise getroffen werden, unter anderem in Form von verbindlichen Unternehmensregeln oder Standardvertragsklauseln.
Verletzungen des Schutzes personenbezogener Daten
Nach der DSGVO ist der Verantwortliche verpflichtet, die Aufsichtsbehörde unverzüglich zu informieren. Die Meldung eines Datenverstosses unterliegt keinem De-minimis-Standard und muss der Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden des Datenverstosses gemeldet werden (Artikel 33). Einzelpersonen müssen benachrichtigt werden, wenn eine nachteilige Auswirkung festgestellt wird (Artikel 34).
Schlussfolgerungen
Die DSGVO belastet und birgt erhebliche Risiken für Unternehmen, die in den USA und anderen Ländern ausserhalb der EU in Rechtsstreitigkeiten und Ermittlungen verwickelt sind. Die Beschränkungen der DSGVO in Bezug auf die Verwendung personenbezogener Daten und die Übermittlung personenbezogener Daten ausserhalb der EU sind sorgfältig zu beachten, um sicherzustellen, dass solche Verwendungen und Übertragungen sowohl zulässig als auch von minimalem Umfang sind. Es ist zusätzlich darauf zu achten, dass Drittanbieter, die zur Unterstützung bei Rechtsstreitigkeiten oder zur Überprüfung von Dokumenten ausserhalb der EU eingesetzt werden, die Verpflichtungen von Verarbeitern und Unterauftragnehmern nach der DSGVO einhalten.
Lawtechnologytoday.org; David M. Klein; 01./08.06.2018