Internationale Datenübertragungen von Cision

 

Häufig gestellte Fragen

Dieser Fragen- und Antwortkatalog wurde erstellt, um unsere Kunden und Influencer in allen Fragen zu unterstützen, bei denen es darum geht, wie Cision mit der Übertragung von Daten außerhalb des EWR umgeht. Es werden im Besonderen folgende Themengebiete behandelt:

Das "Schrems II" Urteil des Europäischen Gerichtshofs vom Juli 2020 (siehe hier: http://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=en&mode=lst&dir=&occ=first&part=1&cid=12312155);

die neuen Standardvertragsklauseln der EU (siehe hier: https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Commission-Implementing-Decision-on-standard-contractual-clauses-for-the-transfer-of-personal-data-to-third-countries ; und Brexit.  

Wir befinden uns in einem Entwicklungsbereich der Gesetzgebung. Die Herangehensweise von Cision unterliegt daher ständiger Überprüfung. Insbesondere im Zusammenhang mit den regulatorischen Vorgaben des Europäischen Datenschutzausschusses (EDSA), sämtlichen zuständigen nationalen Datenschutzbehörden, sowie Entscheidungen der zuständigen Gerichte. Cision verpflichtet sich, mit seinen Kunden und Lieferanten zusammenzuarbeiten, um einen angemessenen Schutz der persönlichen Daten, die sie verarbeiten, zu gewährleisten.

 

Worum geht es bei dem Schrems II Urteil? 

Laut der europäischen und der britischen Datenschutzbestimmungen (DSGVO/UKGDPR) dürfen Daten nur dann außerhalb des EWR übertragen werden, wenn der Ausführende eine der gesetzlich vorgeschriebenen und zugelassenen Systeme anwendet, welche die Übertragung legal machen. Zwei solcher Systeme sind der Privacy Shield (nur für Datenübertragung in die USA) und die EU-Standardvertragsklauseln (für jedweden Datentransfer außerhalb des EWR).

Der Datenschutzaktivist Mr. Schrems brachte den Fall gegen Facebook Irland vor das irische Gericht, welches wiederum dem Europäischen Gerichtshof eine Reihe von Fragen zur Entscheidung vorlegte. Der Entscheid des Europäischen Gerichtshofs bezog sich auf die Möglichkeit der Einsicht in die USA übertragener, persönlicher Daten durch die US-Regierung oder -Geheimdienste (trotz der Anwendung der gesetzlich zugelassenen Systeme) und der aus der Sicht des Europäischen Gerichtshofes nicht ausreichenden Abhilfe/Entschädigung für EU-Bürger, die wegen einer solchen Verwendung ihrer persönlichen Daten skeptisch sind.

Der Europäische Gerichtshof hat Privacy Shield für unwirksam, die übrigen Systeme (auch die Standardvertragsklauseln) aber weiterhin für gültig erklärt. Im Zusammenhang mit den Standardvertragsklauseln hat der EuGH jedoch betont, dass die Datenexporteure bei jedem Datentransfer zu prüfen haben, ob die Notwendigkeit zusätzlicher Schutzmaßnahmen (über die Standardvertragsklausel hinaus) besteht, um den betroffenen Personen das gleiche Datenschutzniveau wie in der EU gewährleisten zu können.

 

Übertragen Sie persönliche Daten ins nichteuropäische Ausland und im Besonderen in die USA?

Ja, wir übertragen persönliche Daten ins nichteuropäische Ausland und auch in die USA.

 

Welche Art von persönlichen Daten werden von Ihnen übertragen?

Über die Art der von uns übertragenen persönlichen Daten können Sie in unserer Datenschutzerklärung unter: https://gdpr.cision.com/ nachlesen.


Im Groben übertragen wir vier Kategorien von Persönlichen Daten:

  • Cision-Influencer-Daten: Die persönlichen Daten von Influencern werden von Cision erfasst und in unseren Influencer-Datenbanken aufbewahrt. Dazu gehören auch unsere Mediendatenbank und TKIM. Der größte Teil dieser Daten sind öffentlich zugängliche Daten aus den Social-Media-Profilen der Influencer, ihren Webseiten, aus veröffentlichten Artikeln und anderen öffentlich zugänglichen Informationsquellen. Einige weitere Daten werden unter Umständen von den Influencern selbst oder deren Vorgesetzten beigesteuert.

  • Kunden-Influencer-Daten: Persönliche Daten von Influencern, die uns von unserem Kunden mittels einer persönlichen Liste zur Verfügung gestellt werden. Diese Daten sind artverwandt mit den Cision-Influencer-Daten und können zusätzliche Hinweise von unseren Kunden enthalten.

  • Kundendaten: Persönliche Daten, die in Kontoverwaltungsinformationen enthalten sind und von Cision benötigt werden, um Kundenkonten zu verwalten. Hierbei handelt es sich hauptsächlich um geschäftliche Kontaktdaten und Stellenbezeichnungen.

  • Cision-interne, persönliche Daten aus dem Geschäftlichen Bereich (z.B. Personaldaten). Dieser Katalog befasst sich nicht mit den genannten Daten.

 


Wem werden persönliche Daten übertragen?

Wir übertragen Daten an unsere Kunden (das schließt Kunden aus dem nichteuropäischen Ausland ein) und an unsere Konzerngesellschaften in den USA, Kanada, Brasilien und China.

Kunden-Influencer-Daten werden uns von unseren Kunden zur Verfügung gestellt und wir verarbeiten diese in deren Auftrag. Dies kann die Übertragung solcher Daten aus einem EU-Land an unsere Konzerngesellschaften in den Vereinigten Staaten beinhalten, wo diese Daten dann gehostet werden.

In manchen Fällen übertragen wir Kundendaten zur Verwaltung von Kundenkonten an unsere Konzerngesellschaften in den USA.

In manchen Fällen übertragen wir Cision-Influencer-Daten, Kunden-Influencer-Daten und Kundendaten an Dritte: Anbieter/Händler, mit denen wir zusammenarbeiten – zum Beispiel E-Mail Provider – welche dann diese Daten in unserem Auftrag verarbeiten. Details zu diesen Anbietern finden Sie in unseren Datenschutzhinweisen.

 

Welches System hat sich für Sie bei der internationalen Übertragung von Daten bewährt?

Manche Länder (wie Kanada) haben laut Erklärung der Europäischen Kommision ausreichende Datenschutzbestimmungen – für diese Länder sind keine weiteren Maßnahmen notwendig.

Für Länder außerhalb dieser Erklärung verlassen wir uns auf den Schutz der Standardvertragsklauseln.

Privacy Shield wurde von uns weder für interne Cision Konzerntransfers noch für den Datentransfer zu unseren Kunden verwendet.

Wir haben eine Prüfung unserer Anbieter/Händler vorgenommen, um festzustellen, inwiefern diese bei der Datenübertragung den Privacy Shield verwenden und fanden heraus, dass keiner unserer Anbieter/Händler dies tut.

 

Ist Ihre Firma den internationalen Überwachungsbefugnissen laut Abschnitt 702 FISA und EO 12333 unterstellt?

Cision ist kein „Telekommunikations-Unternehmen“ im Sinne der einschlägigen Rechtsvorschriften.

Einige der von uns angebotenen Service-Leistungen (z.B. E-Mail-Service) könnte man als „elektronische Kommunikationsdienste“ kategorisieren und Cision könnte somit prinzipiell dem Überwachungsregime laut Abschnitt 702 FISA und EO 12333 unterliegen.

 

Ist Cision sich einer Überwachung durch die US-Strafverfolgungsbehörden oder andere in Bezug auf seine Systeme und Datenbanken bewusst?

Uns ist keine solche Überwachung der Systeme und Datenbanken von Cision bekannt.

 

Erhält Cision Anfragen von Strafverfolgungsbehörden, die Herausgabe von persönlichen Daten betreffend?

Ja. Cision hat in der Vergangenheit Vorladungen und andere Aufforderungen zur Herausgabe persönlicher Daten erhalten.

 

Wie begegnet Cision Anfragen von Regierungsbehörden nach Zugang zu persönlichen Daten?

Cision kommt den gesetzlichen Anforderungen nach.

Cision kooperiert nicht aus eigenem Antrieb mit Überwachungsbehörden und gewährt auch keinen Zugang zu persönlichen Daten, es sei denn, es ist gesetzlich zwingend vorgeschrieben.

Anfragen von Regierungsbehörden werden von Cision geprüft. Persönliche Daten werden nur herausgegeben, wenn sich zweifelsfrei feststellen lässt, dass die Anfrage gültig in der richtigen Form und mit der erforderlichen Befugnis gestellt wurde. Persönliche Daten werden nur im Rahmen einer rechtmäßigen Anfrage herausgegeben.

 

Informiert Cision über Anfragen von Regierungsbehörden nach Zugang zu persönlichen Daten ?

Auf Anfrage und in Rahmen der gesetzlichen Vorgaben wird Cision im Einzelfall über Anfragen zur Freigabe von Daten informieren. Naturgemäß unterliegen allerdings viele (wenn nicht alle) dieser Regierungsanfragen der Geheimhaltung und Cision wird nicht befugt sein, über die Anfrage oder Details hierzu zu informieren.

 

Wie häufig gehen bei Cision Anfragen von Regierungsbehörden nach Zugang zu persönlichen Daten im Zusammenhang mit Kunden oder Influencern von Cision ein?

Pro Jahr gehen typischerweise weniger als 15 Anfragen, verteilt auf den gesamten Cision-Konzern, ein. Diese Anfragen beziehen sich normalerweise auf Kundenkonten und Aktivitäten, die keine persönlichen Daten enthalten.

 

Wie schätzen Sie Ihre internationalen Datenübertragungen ein?

Cision hat den Datenfluss innerhalb des Cision Konzerns und zu unseren Anbietern und Kunden in den USA geprüft. Wir planen ähnliche Prüfungen in anderen Bereichen.

Der Hauptdatentransfer findet zwischen unseren europäischen Geschäftsstellen und unserer Hauptgeschäftsstelle in den USA, anderen US-Niederlassungen und US-Kunden statt. Aus diesem Grund und aufgrund der vom Europäischen Gerichtshof angesprochenen Thematik mit Bezug auf Datentransfer in die USA ist dies im Augenblick unser Haupt-Fokus.

 

Cision- und Kunden-Influencer-Daten

Ausgehend von der Art der Betroffenen, der verarbeiteten Daten, der Empfänger dieser Daten, und der Geschäftstätigkeit von Cision, glauben wir nicht, dass ein Transfer von Cision- und Kunden-Influencer-Daten in Länder außerhalb des EWR ein zusätzliches oder wesentliches Risiko darstellt, welches über das hinausgeht, welches bereits durch die Öffentlichmachung von Daten seitens der Betroffenen (Influencer) und vor der Erfassung, Verarbeitung und Weiterleitung durch Cision entsteht.

Die zwei wesentlichen Faktoren, die zu dieser Schlussfolgerung führten sind:

  • (a) Bei dem größten Teil dieser Daten handelt es sich um öffentlich zugängliche Daten (zugänglich zum Beispiel auf Social-Media-Plattformen, wo die Daten von den Betroffen selbst eingestellt wurden); und

  • (b) bei den Daten handelt es sich um Daten mit geringem Risiko. Hätte eine Regierungsbehörde Interesse an diesen Daten, könnten sie auf die gleichen, öffentlich zugänglichen Kanäle zugreifen wie Cision auch. Nach unserer Auffassung ist das Risiko einer Überwachung von Cision durch US-Behörden gering und wenn sie einträfe, ginge es um Daten, welche bereits weitgehend öffentlich zugänglich sind.

 

Kundendaten

Kundendaten beschränken sich im Allgemeinen auf die persönlichen Kontaktdaten aus dem Kundenkonto und Aktivitäten bezogen auf Kundenkonten. Unserer Auffassung nach sind das ebenfalls Daten mit geringem Risiko.

Ungeachtet dessen erkennen wir an, dass es für US-Behörden theoretisch möglich ist, sich Zugang zu persönlichen Daten verschaffen, die durch Cision erfasst wurden. Aus diesem Grund wird Cision einige zusätzliche Sicherheitssysteme zum Schutz der persönlichen Daten, die von uns in Länder außerhalb des EWR übertragen werden, einführen. Siehe unten.

 

Welche technischen Maßnahmen -wenn überhaupt- werden von Ihnen ergriffen, um den angemessenen Schutz von persönlichen Daten bei der Übertragung außerhalb des EWR zu gewährleisten?

Cision unterhält solide Sicherheitssysteme, sowohl im technischen, als auch im organisatorischen Bereich, um den angemessenen Schutz persönlicher Daten zu gewährleisten. Detaillierte Angaben zu diesen Maßnahmen finden Sie unter: https://gdpr.cision.com/technicalorgmeasures.

Cision setzt sowohl bei der Übertragung (TLS) als auch bei der Aufbewahrung eine starke Verschlüsselung ein und wir arbeiten kontinuierlich daran, persönliche Daten besser verschlüsseln zu können.

Wenn Daten in unserem Auftrag verarbeitet werden, stellen wir sicher, dass die von uns beauftragten Parteien angemessene Sicherheitsvorkehrungen getroffen haben.

 

Welche zusätzlichen Maßnahmen – wenn überhaupt- werden von Ihnen ergriffen, um den angemessenen Schutz von persönlichen Daten bei der Übertragung außerhalb des EWR zu gewährleisten?

Trotz unserer Einschätzung der Risiken wird Cision einige vertragliche Anpassungen vornehmen, welche die Bedenken des EDSA berücksichtigen. Diese Anpassungen werden bei den Aktualisierungen unserer Master Services Agreements eingesetzt werden, zusammen mit aktualisierten Standardvertragsklauseln, sobald die endgültigen Versionen der neuen Standardvertragsklauseln veröffentlicht sind. Diese Änderungen erlangen mit Verlängerung der jeweiligen, laufenden Kundenverträge oder bei Abschluss neuer Verträge Gültigkeit. 

Die aktuellen Standardvertragsklauseln werden innerhalb des von der Europäischen Kommission festgelegten Zeitrahmens – zwölf Monate ab Veröffentlichung der Standardvertragsklauseln – realisiert.

 

Können Sie Dienstleistungen auch unter Ausschluss der internationalen Übertragung von Kundendaten anbieten?

Im Augenblick werden sämtliche Cision Influencer-Daten sowie sämtliche Kundendaten von Servern verwaltet, die sich in den USA befinden. Es ist nicht geplant, diese Regelung zu ändern. Darum ist es nicht möglich, unseren Kunden Cision Dienstleistungen ohne die Übertragung persönlicher Daten aus Europa in die USA anzubieten.

 

Welchen Einfluss hat ein Kunde auf seine Daten, die übertragen werden?

Kunden haben eventuell Bedenken, was ihre Kundendaten oder Kunden-Influencer-Daten angeht.  

Für die internationale Geschäftstätigkeit von Cision (besonders für Cision US Inc.) ist es notwendig, Zugriff auf Kundendaten zu haben, um die Kundenkonten verwalten zu können.

Es ist dem Kunden überlassen, welche Daten er Cision zur Verfügung stellt. Hat ein Kunde Bedenken wegen der internationalen Übertragung von Kunden-Influencer-Daten, dann sollte er Cision diese Daten nicht zur Verfügung stellen oder seine Bedenken Cision gegenüber äußern, bevor er Daten freigibt.

 

Sollten Cision Kunden sich über auf privaten Listen befindlichen, persönlichen Daten, welche von Cision (für sie) verwaltet werden, Gedanken machen?

Jeder Kunde sollte selbst eine Einschätzung der persönlichen Daten vornehmen, die er Cision zur Verfügung stellt (Kunden-Influencer-Daten oder Kundendaten). Ist er der Meinung, dass hierunter Daten sind, die sehr sensibel sind, sollte er in Erwägung ziehen, diese Daten von privaten Listen, zum Beispiel, zu streichen oder diese gar nicht erst dort zu vermerken.

 

Nehmen Sie Änderungen an den Standardvertragsklauseln vor?

Das Schrems II Urteil schreibt keine Änderung der Standardvertragsklauseln vor. Es wird jedoch empfohlen, gegebenenfalls zusätzliche Sicherheitsmaßnahmen (einschließlich vertraglicher Absicherungen) zu ergreifen. Das wird von uns im Rahmen der Aktualisierung unserer MSA umgesetzt werden (s.o.).

Die aktuellen Standardvertragsklauseln werden von uns innerhalb des von der Europäischen Kommission festgelegten Zeitrahmens – zwölf Monate ab Veröffentlichung der Standardvertragsklauseln – umgesetzt werden. Zur Zeit wird erwartet, dass die Neufassung der Standardvertragsklauseln Anfang 2021 veröffentlicht wird.

 

Wie gehen Sie mit Übertragung von Daten in andere Länder, außer den USA, um?

Cision zieht eine Prüfung der internationalen Datenübertragung, Bereiche außer den USA betreffend, in Erwägung.

Cision ist der Ansicht, dass - selbst wenn die betreffenden Regierungen ihren Strafverfolgungs-behörden Zugang gewähren würden, vergleichbar mit dem der US-amerikanischen, und selbst wenn der den betroffenen Personen gewährte Rechtsbehelf die gleichen Mängel aufweisen würde, wie sie der Europäische Gerichtshof in den USA festgestellt hat - die Tatsache, dass es sich um öffentlich zugängliche Daten handelt und das damit einhergehende, mangelnde Interesse der Strafbehörden an diesen Daten bedeutet, dass die Risiken bei der Übermittlung an diese Länder gering sind.

Wir werden sorgfältig alle ergänzenden Richtlinien der EDSA, nationaler Datenschutz-Behörden und jede Form von Best-Practice-Empfehlungen beachten. Es wird ein laufender Prozess bleiben.

 

Welche Schritte werden unternommen, um sicherzustellen, dass Dritte (Anbieter, Händler) angemessene Schutzmaßnahmen zum Schutz von Daten ergreifen, die sie im Auftrag von Cision verarbeiten?

Wir führen Prüfungen unserer Anbieter und Händler durch um so sicherzustellen, dass ein angemessener Schutz von persönlichen Daten, die von ihnen in unserem Auftrag verarbeitet werden, umgesetzt wird.

 

Wie wird Cision im Hinblick auf den Brexit mit Datenübertragung nach und von GB umgehen?

Großbritannien hat im Rahmen seiner nationalen Gesetzgebung die DSGVO übernommen, hier UK GDPR genannt. Die Gesetzgebung für internationale Datenübertragungen trifft somit weiterhin auch auf die Übertragung nach und von GB zu, mit dem Unterschied, dass GB jetzt im Sinne des DSGVO ein „Drittland“ ist. Das bedeutet, dass eine Übertragung von der EU nach GB nun denselben Richtlinien unterliegt wie die Übertragung aus dem EWR in jedes andere Land sowie auch die Übertragung aus Großbritannien in Länder außerhalb des EWR diesen Richtlinien unterliegt.

Die britische Regierung hat sich mit der EU auf eine Zwischenposition geeinigt. Für einen Zeitraum von 6 Monaten, bis zum 31. Juni 2021, wird das Großbritannien als "angemessener" Geltungsbereich in Bezug auf Datenübertragung nach GB angesehen.  Das bedeutet, dass während dieses Übergangszeitraums Datenübertragungen aus der EU in das Vereinigte Königreich keine weiteren Schutzmaßnahmen erfordern werden.  Es bleibt abzuwarten, wie die Position nach dieser Übergangszeit sein wird. Cision wird die Entwicklung in dieser Angelegenheit beobachten und diesen Fragen & Antwortkatalog entsprechend erweitern, sobald die entsprechenden Informationen vorliegen.

Großbritannien hat sich bereiterklärt, die EU als „angemessenen“ Geltungsbereich im Sinne des UK GDPR anzuerkennen. Das bedeutet, dass bei Datenübertragung aus GB in die EU keine weiteren Schutzmaßnahmen notwendig sein werden.

Laut UK GDPR werden Datenübertragungen aus GB in Länder außerhalb des EWR denselben Richtlinien unterliegen wie bisher. Cision wird sich weiterhin auf die Standardvertragsklauseln verlassen, wenn es um solche Übertragungen geht. Es wird sich zeigen, ob Großbritannien die aktuellen EU-Standardvertragsklauseln übernehmen oder seine eigene Version veröffentlichen wird. Cision wird dies unter Beobachtung halten und entsprechende Maßnahmen ergreifen, sollte dies notwendig werden.  

 

Welche Schritte hat Cision unternommen, Influencer über diese Änderungen in Kenntnis zu setzen?

Cision hat seine Datenschutzhinweise überarbeitet, um Influencer auf das Schrems II Urteil aufmerksam zu machen und sie daran zu erinnern, dass sie die Abänderung oder Löschung ihrer Profile verlangen dürfen.

 

Welche Schritte können Influencer unternehmen, um ihre persönlichen Daten zu schützen, wenn sie bei der Übertragung dieser Daten in Länder außerhalb des EWR Bedenken haben?

Influencer sollten den folgenden, geänderten Abschnitt aus den Datenschutzhinweisen von Cision beachten:

„Sie sind sich vielleicht eines jüngst (im Juli 2020) gefällten Urteils des Europäischen Gerichthofs, bekannt als „Schrems II“ bewusst, in welchem es um Datenübertragungen in die USA und andere Länder außerhalb des EWR geht. Bei diesem Fall ging es um den möglichen Zugriff der US-Strafverfolgungsbehörden auf persönliche Daten, welche in die USA übertragen werden und um die Befürchtung, dass die Betroffenen - Sie also - keine adäquaten Mittel zur Verfügung hätten, um gegen eine solche Verwendung ihrer Daten Einspruch zu erheben, sollten Sie deswegen Bedenken haben. Das Urteil wirkte sich auf zwei gängige Mittel zum Datenschutz aus: (a) den Privacy Shield und (b) die Standardvertragsklauseln. Der Europäische Gerichtshof hat Privacy Shield für unwirksam, die Standardvertragsklauseln aber weiterhin für gültig erklärt. Gleichzeitig wurde empfohlen, dass Datenexporteure (wie Cision) welche die Standardklauseln nutzen, zusätzliche Sicherheitsvorkehrungen treffen sollten, um angemessenen Schutz zu gewährleisten. Cision setzt Privacy Shield bei internationalen Datenübertragungen nicht ein. Was die Verwendung der Standardvertragsklauseln angeht, ist Cision nach sorgfältiger Prüfung seiner Datenübertragungen zu dem Schluss gekommen, dass, angesichts dessen, dass die betroffenen Influencer-Daten größtenteils öffentlicher Natur sind und angesichts der Serviceleistung, die Cision anbietet, der hier vorhandene Schutz angemessen ist. Sollten Sie dennoch befürchten, dass Ihre persönlichen Daten von den US- oder andern Behörden eingesehen werden könnten, bitte kontaktieren Sie uns unter: privacy@cision.com. Wir können dann Ihr Profil ändern und alle betroffenen Daten löschen oder das gesamte Profil aus unserer Datenbank entfernen.“

Influencer aus dem EWR möchten vielleicht Ihre Profile einsehen um zu überprüfen, ob Daten enthalten sind, von denen sie nicht möchten, dass sie außerhalb des EWR übertragen werden. Influencer können jederzeit mit Cision unter privacy@cision.com in Kontakt treten und eine Kopie ihres Profils anfordern.

Cision wird auf Anfrage jedes Profil ändern und jeden Influencer, der nicht mehr in unserer Datenbank sein möchte, aus dieser entfernen. 

 

Diese Seite wurde zuletzt geändert am 18.02.2021