Unternehmen, die zukünftig Daten aus der EU an US-Unternehmen übertragen wollen, müssen vorab prüfen, ob der Empfänger der personenbezogenen Daten eine entsprechende Zertifizierung vorweisen kann. Der Verantwortlicher muss mindesten jährlich prüfen, ob die Zertifizierung noch vorliegt.

Sofern ein US-unternehmen diese Rezertifizierung nicht rechtzeitig durchführt und bei der US-Behörde meldet, verfällt seine Teilnahme an dem Verfahren. Für den Verantwortlichen bedeutet dieses, das die Datenübertragung nicht mehr auf die rechtliche Grundlage des Angemessenheitsbeschlusses stattfindet.

Was ist zu tun?

! Prüfen, ob der Datenempfänger in den USA auf der Zertifizierungsliste eingetragen ist.

(Der Zertifizierungsnachweis darf nicht älter als 12 Monate sein – außerdem sollte beachtet werden für welche Bereiche die Zertifizierung abgegeben wurde – HR, NON-HR)

! Verarbeitungsverzeichnis ergänzen.

! Auftragsverarbeitungsverträge ergänzen.

! Datenschutzinformationen aktualisieren.

! Prozess zur regelmäßigen Überprüfung der Zertifizierung einrichten.