Informationen zum Datentransfer in die USA / Information on data transfer to the United States

gemäß Art 49 Abs 1 lit a DSGVO / pursuant to Art. 49 para. 1 lett. a GDPR

 

A. Deutsch: Risiko eines Datentransfers in die USA

In manchen Fällen übermittelt die CRIF GmbH, Rothschildplatz 3/Top 3.06.B, 1020 Wien („CRIF“) personenbezogene Daten zur Identität und Bonität betroffener Personen an Kunden in den Vereinigten Staaten von Amerika (USA).

Die USA sind ein so genanntes Drittland, in welchem die Vorschriften der EU Datenschutz-Grundverordnung („DSGVO“) nicht gelten. Ein Datentransfer in ein Drittland darf gemäß der DSGVO nur in bestimmten Fällen erfolgen.

Mit dem „Privacy Shield“ besteht ein Angemessenheitsbeschluss der Europäischen Kommission gemäß Art 45 DSGVO, der festhält, dass in den USA die Möglichkeiten für ein angemessenes Datensicherheitsniveau bestehen und Daten an jene US-amerikanischen Unternehmen übermittelt werden dürfen, die sich freiwillig dem „Privacy Shield“ unterworfen haben. Dies trifft jedoch nicht auf jedes US-amerikanische Unternehmen zu.

Die Datenübermittlung an Unternehmen außerhalb des Privacy Shields birgt gewisse Risiken, dass die Daten nicht auf einem der DSGVO entsprechenden Sicherheitsniveau verarbeitet werden. Nach US-amerikanischen Datenschutzrecht bestehen weniger strenge Bestimmungen betreffend Zweckbindung, Datenweitergabe, Transparenz und Datensicherheit. Die von US-amerikanischen Unternehmen ergriffenen technischen und organisatorischen Maßnahmen zum Schutz von Integrität, Verfügbarkeit und Vertraulichkeit personenbezogener Daten können daher geringer ausgeprägt sein, als bei einem Unternehmen in der EU. Dadurch kann unter Umständen ein höheres Risiko einer Weitergabe, eines Verlustes oder einer Manipulierung personenbezogener Daten bestehen. Auch sind die Rechtschutzmöglichkeiten in den USA im Vergleich zu jenen in der EU eingeschränkt.

Ein Datentransfer an nicht dem „Privacy Shield“ unterstehende US-amerikanische Unternehmen durch CRIF geschieht daher ausschließlich auf Basis einer ausdrücklichen, jederzeit widerufbaren Einwilligung der betroffenen Person gemäß Art 6 Abs 1 lit a, Art 7 und Art 49 Abs 1 lit a DSGVO. Auch übermittelt CRIF personenbezogene Daten an solche Unternehmen ausschließlich unter der Bedingung, dass diese ein mit der DSGVO vergleichbares Datensicherheitsniveau glaubhaft machen können.

Umfassende Informationen zur Datenverarbeitung durch CRIF finden sich unter https://www.crif.at/konsumenten/informationen-zur-dsgvo/.

B. English: Risk of data transfers to the United States

In some cases, CRIF GmbH, Diefenbachgasse 35, 1150 Vienna ("CRIF") may provide personal information about the identity and creditworthiness of data sbjects to customers in the United States of America (USA).

The USA are a so-called third country in which the provisions of the General Data Protection (“GDPR”) do not apply. According to the GDPR, data may only be transferred to a third country in certain cases.

The "Privacy Shield" is an adequacy decision of the European Commission pursuant to Art 45 GDPR, which states that there are possibilities for an adequate level of data security in the USA and that personal data may be transferred to those US-companies that have voluntarily submitted to the "Privacy Shield". However, this does not apply to every US-company.

The transfer of data to companies outside the Privacy Shield entails certain risks that the data is not processed at a security level that complies with the GDPR. Under US data protection law, there are less stringent provisions regarding purpose limitation, data transfer, transparency and data security. The technical and organisational measures taken by US-companies to protect the integrity, availability and confidentiality of personal data may therefore be less sophisticated than those taken by a company in the EU. This may result in a higher risk of disclosure, loss or manipulation of personal data. In addition, the possibilities for legal protection in the USA are limited compared to those in the EU.

Therefore, CRIF transfers personal data to US-companies not subject to the "Privacy Shield" exclusively based on the explicit consent of the data subject, which can be withdrawn at any time, in accordance with Art. 6 para. 1 lett. a, Art. 7 and Art. 49 para. 1 lett. a GDPR. CRIF only transfers personal data to such companies if they can demonstrate a level of data security comparable to the GDPR’s requirements.

More information on data processing by CRIF can be found at https://www.crif.at/konsumenten/informationen-zur-dsgvo/.

C. Kontakt /Contact

CRIF GmbH
Rothschildplatz 3/Top 3.06.B
1020 Wien
auskunft@crif.com

Jetzt Termin vereinbaren
Nachricht senden
Jetzt anmelden