EN DE ES PT FR CZ IT NL PL
Datenschutz Cookie-Hinweis Zusätzliche Datenverarbeitung auf der Website Europäischer Wirtschaftsraum (EMEA) Kalifornien (CCPA/CPRA) US-Datenübermittlungserklärung

Erklärung zur Übermittlung von personenbezogenen Daten von betroffenen Personen aus Europa in die Vereinigten Staaten

  1. Verpflichtung von Arthrex zur sicheren Datenübermittlung

Arthrex stellt sicher, dass jede Übermittlung personenbezogener Daten an unser Unternehmen in vollem Umfang mit den einschlägigen Datenschutzbestimmungen übereinstimmt. Wir stellen den Schutz Ihrer personenbezogenen Daten an erste Stelle und widmen uns weiterhin der Einhaltung der Standards, die im EU-US-Datenschutzrahmen festgelegt sind.

Arthrex implementiert in seinen Produkten, Systemen und Prozessen die notwendigen Sicherheitsvorkehrungen, um sicherzustellen, dass jede Weitergabe von personenbezogenen Daten unter Beachtung der höchsten Standards geschützt wird.

Informationen zum Schutz Ihrer personenbezogenen Daten auf ihrem gesamten Weg finden Sie in der Datenverarbeitungsvereinbarung, die wir mit Ihnen abschließen, in der Datenschutzerklärung von Arthrex oder in der besonderen Datenschutzerklärung, die Ihnen im Zusammenhang mit einem Produkt und einer Dienstleistung bereitgestellt wird.

  1. Gewährleistung eines sicheren transatlantischen Datenflusses mit dem EU-US-Datenschutzrahmen

Arthrex befolgt den EU-US-Datenschutzrahmen (EU-US DPF), die britische Erweiterung des EU-US DPF sowie den Datenschutzrahmen zwischen der Schweiz und den USA (Schweiz-US DPF), wie sie vom US-Handelsministerium festgelegt wurden. Arthrex hat dem US-Handelsministerium gegenüber bestätigt, dass es die Grundsätze des EU-US-Datenschutzrahmens (EU-US DPF-Grundsätze) befolgt und sich bei der Verarbeitung personenbezogener Daten aus der Europäischen Union auf den EU-US DPF stützt und bei der Verarbeitung personenbezogener Daten aus dem Vereinigten Königreich (einschließlich Gibraltar) auf die britische Erweiterung des EU-US DPF. Arthrex hat dem US-Handelsministerium gegenüber bestätigt, dass es bei der Verarbeitung personenbezogener Daten aus der Schweiz die Grundsätze des Datenschutzrahmens zwischen der Schweiz und den USA (Schweiz-US DPF-Grundsätze) befolgt und sich auf den Schweiz-US DPF stützt. Bei Konflikten zwischen den Bestimmungen in dieser Datenschutzerklärung und den Grundsätzen des EU-US DPF und/oder den Grundsätzen des Schweizer-US DPF haben die Grundsätze Vorrang. Unsere Zertifizierung finden Sie unter https://www.dataprivacyframework.gov/.

Sollten Sie Fragen oder Beschwerden über den Umgang von Arthrex mit Ihren personenbezogenen Daten gemäß dem Datenschutzrahmen oder über unsere Datenschutzpraktiken im Allgemeinen haben, wenden Sie sich bitte an uns: privacy@arthrex.com. Wir werden Ihre Anfrage umgehend beantworten. Sollten Sie ein ungelöstes Datenschutz- oder Datennutzungsproblem haben, das wir nicht zu Ihrer Zufriedenheit bearbeitet haben, wenden Sie sich bitte an unseren in den USA ansässigen Drittanbieter für Streitbeilegung (unentgeltlich) unter https://www.adr.org/. Falls weder Arthrex noch unser Drittanbieter für Streitbeilegung Ihre Beschwerde abwickelt, können Sie über das Gremium des Datenschutzrahmens ein bindendes Schlichtungsverfahren anstrengen. Weitere Informationen zum Gremium des Datenschutzrahmens finden Sie hier.

Sie können die Registrierung von Arthrex beim Datenschutzrahmen hier einsehen. Arthrex unterliegt den Ermittlungs- und Durchsetzungsbefugnissen der Bundeshandelskommission (Federal Trade Commission, FTC). Arthrex muss möglicherweise personenbezogene Daten, die wir im Zusammenhang mit dem Datenschutzrahmen verarbeiten, auf rechtmäßige Anfragen von öffentlichen Behörden offenlegen. Dies schließt auch die Erfüllung von Anforderungen im Hinblick auf die nationale Sicherheit bzw. im Rahmen einer Strafverfolgung ein.

  1. Bewertung des Interesses von US-Behörden an der Übermittlung personenbezogener Daten durch Arthrex

Neben dem Angemessenheitsbeschluss zum EU-US DPF haben wir eine umfangreiche Risikobewertung der Übermittlung personenbezogener Daten durch Arthrex durchgeführt und dabei die folgenden Faktoren berücksichtigt: den Zweck, für den die personenbezogenen Daten übermittelt und verarbeitet werden (z. B. Marketing, Personalwesen, Datenspeicherung, IT-Unterstützung, klinische Studien).    

  • Die Arten der an der Verarbeitung beteiligten juristischen Personen (z. B. öffentlich/ privat; Verantwortlicher/ Auftragsverarbeiter).
  • Die Abteilung, in die die Übermittlung erfolgt (z. B. Medizin, Telekommunikation, Finanzen usw.).
  • Die Kategorien der übermittelten personenbezogenen Daten (z. B. können personenbezogene Daten über Kinder in den Anwendungsbereich spezifischer Rechtsvorschriften des Drittlandes fallen).
  • Ob die personenbezogenen Daten im Drittland gespeichert werden oder ob es nur einen Fernzugriff auf die im EWR gespeicherten personenbezogenen Daten gibt.
  • Das Format der zu übermittelnden personenbezogenen Daten (z. B. im Klartext, pseudonymisiert oder verschlüsselt).
  • Die Möglichkeit, dass personenbezogene Daten aus einem Drittland in ein anderes Drittland (oder innerhalb desselben Drittlands) weitergegeben werden.

Diese Faktoren und insbesondere die Art der übermittelten personenbezogenen Daten sprechen dafür, dass die US-Regierung wahrscheinlich nicht versuchen wird, die übermittelten Daten zu erfassen. Als Unternehmen für Medizinprodukte ist Arthrex nicht in einer Branche mit erhöhten nationalen Sicherheitsbedenken tätig (z. B. Verteidigungsverträge, Unterstützung der Geheimdienste, Auftragsvergabe durch die Regierung oder Bereitstellung kritischer Infrastrukturen). Stattdessen umfassen die vom Unternehmen übermittelten Informationen personenbezogene Daten der Mitarbeitenden, die Sicherheit des Datensystems, Benutzeranmeldedaten und Kontoinformationen für Online-Schulungen sowie Krankenakten, die personenbezogene Daten enthalten können. Diese Krankenakten werden hauptsächlich verwendet, um spezielle chirurgische Werkzeuge und Pläne zu entwickeln, die Heilung und den Fortschritt des Patienten unter bestimmten postoperativen Umständen zu überwachen und, in vereinzelten Fällen, um die technische Unterstützung für Videoaufzeichnungen in der Chirurgie bereitzustellen. Arthrex erhält die personenbezogenen Daten von seinem EU-Tochterunternehmen, um seine üblichen Geschäftsbestrebungen zu unterstützen, die im Hinblick auf die nationale Sicherheit oder die Spionageabwehr nicht sensibel sind. Die personenbezogenen Daten werden von den Vereinigten Staaten aus nicht in weitere Länder übermittelt. Wenn sie in die Vereinigten Staaten übermittelt werden, dann entweder in einem verschlüsselten Format oder über einen sicheren Fernzugriff von den Vereinigten Staaten aus. Arthrex hat seitens der US-Regierung keine Anfragen hinsichtlich der von Arthrex verarbeiteten personenbezogenen Daten erhalten, und eine solche Anfrage ist auch unwahrscheinlich. Daher kann man vernünftigerweise nicht davon ausgehen, dass die von Arthrex verarbeiteten personenbezogenen Daten von besonderem Interesse für die nationale Sicherheit sind.

  1. Ergänzende Maßnahmen

Arthrex hat zusätzliche Maßnahmen implementiert, um einen angemessenen Schutz personenbezogener Daten zu gewährleisten, sogar in Fällen, in denen das rechtliche Regelwerk des Bestimmungslands ein geringes oder kein wesentliches Risiko darstellt. Diese zusätzlichen Maßnahmen werden in drei Kategorien eingestuft: (i) vertragliche Schutzmaßnahmen, (ii) organisatorische Schutzmaßnahmen und (iii) technische Schutzmaßnahmen.

   a) Vertraglich

Wie oben erläutert, wird Arthrex eine vertragliche Vereinbarung abschließen, die die Schutzmaßnahmen für die Übermittlung personenbezogener Daten in die Vereinigten Staaten behandelt.

Wenn die Verarbeitung personenbezogener Daten betroffener Personen aus Europa vertraglich vorgeschrieben ist, wird Arthrex:

  (i) der direkten Verbindlichkeit der Datenschutzvereinbarung zustimmen, die die organisatorischen und technischen Maßnahmen behandelt, die Arthrex ergreift, um die personenbezogenen Daten betroffener Personen aus Europa zu schützen.

  (ii) angemessene Standardvertragsklauseln bei Verhältnissen zwischen Auftragsverarbeitern mit allen Unterauftragsverarbeitern vereinbaren, die in Drittländern ohne angemessenen Schutz ansässig sind, in denen die Unterverarbeitung zu einer Weitergabe an ein Drittland führt.

   b) Organisatorisch

Zentraler Punkt der vom EuGH geäußerten Bedenken hinsichtlich der Übermittlung personenbezogener Daten in die Vereinigten Staaten sind die Datenerhebungspraktiken der US-Regierung, wie sie in der US-Durchführungsverordnung 12333 („Executive Order (EO) 12333“) und Abschnitt 702 des Gesetzes zur Überwachung in der Auslandsaufklärung („Foreign Intelligence Surveillance Act (FISA) § 702“) dargelegt sind, insbesondere in Bezug auf die „vorgelagerte“ Überwachung gemäß FISA § 702. Die mit diesen spezifischen Rechtsvorschriften verbundenen Risiken gelten jedoch nicht für die Verarbeitung personenbezogener Daten durch Arthrex oder können durch die Umsetzung geeigneter organisatorischer Schutzmaßnahmen, die von Arthrex angeboten werden, wirksam minimiert werden. Außerdem beabsichtigt Arthrex, verfügbare rechtliche Mechanismen einzusetzen, um Forderungen nach einem Zugang zu personenbezogenen Daten durch US-Behörden anzufechten.

Es ist wichtig zu betonen, dass Arthrex die US-Behörden bei ihren Bemühungen zur Datenerhebung gemäß EO 12333 weder unterstützt noch dazu gezwungen werden kann. Arthrex unterstützt US-Behörden nicht bei Überwachungsaktivitäten im Sinne von EO 12333 und wird auch keine Form der Unterstützung bieten. EO 12333 erteilt der US-Regierung nicht die Befugnis, Unternehmen zur Unterstützung bei solchen Aktivitäten zu zwingen, und Arthrex wird sich nicht an einer freiwilligen Zusammenarbeit beteiligen. Folglich beteiligt sich Arthrex nicht an der Massenüberwachung gemäß EO 12333, die als problematisch gesehen wird, und es kann ihm nicht auferlegt werden, Maßnahmen zu ergreifen, die eine solche Überwachung ermöglichen.

Arthrex ist nicht qualifiziert, Aufträge der „vorgelagerten“ Überwachung oder Massenüberwachung im Sinne von FISA § 702 zu erhalten, da es die relevanten Dienstleistungen nicht anbietet. Die Auslegung und Anwendung von FISA § 702 durch die US-Regierung bestätigen die mangelnde Qualifikation von Arthrex für diese besonderen Aufträge. Es ist höchst unwahrscheinlich, dass die verarbeiteten personenbezogenen Daten der Kunden von Arthrex für die Auslandsaufklärung, die in FISA § 702 geregelt wird, relevant sind. Wären solche Daten relevant, würde die Regierung wahrscheinlich andere rechtliche Möglichkeiten verfolgen, wie z. B. die Einholung eines Durchsuchungsbefehls, da dies ein schnelleres und einfacheres Verfahren ist als die Ausstellung von Verfügungen gemäß FISA § 702.

   c) Technisch

Arthrex setzt technische Maßnahmen um, die vordergründige Bedenken minimieren, und zwar die Massenüberwachung im Sinne von FISA § 702 und Massenabhörungen im Sinne von EO 12333.

Arthrex verschlüsselt alle personenbezogenen Daten in unserem System und bei der Übermittlung mit einer Verschlüsselung, die den Anforderungen der DSGVO entspricht. Die von Arthrex implementierten Verschlüsselungsmaßnahmen sollen den unbefugten Zugriff auf personenbezogene Daten in einem erkennbaren Format verhindern und die Übermittlung personenbezogener Daten zwischen zwei Endpunkten vor unbefugtem Abhören oder Sabotage schützen.

Arthrex setzt strenge administrative, technische und physische Protokolle durch, um die auf seinen Servern gespeicherten personenbezogenen Daten zu schützen. Der Zugriff auf personenbezogene Daten wird durch die Verwendung von Anmeldedaten eingeschränkt, die nur Mitarbeitenden zur Verfügung stehen, die einen solchen Zugriff für die Ausübung ihrer Tätigkeit benötigen. Arthrex verwendet Zugangskontrollen wie die Multi-Faktor-Authentifizierung, den eingeschränkten Zugang zu administrativen Konten, das einmalige Anmeldeverfahren (Single Sign On), das Prinzip der geringsten Berechtigung und umfassende Passwortkontrollen. Außerdem setzt Arthrex Methoden zur Datenminimierung ein, um die Übermittlung personenbezogener Daten aus der EU in Gerichtsbarkeiten von Drittländern zu beschränken. Dies kann ggf. die Pseudonymisierung oder Anonymisierung personenbezogener Daten beinhalten.

  1. Weiter zu beachten

Wo zutreffend, speichert und verarbeitet Arthrex personenbezogene Daten betroffener Personen aus Europa ausschließlich innerhalb der Europäischen Union. In solchen Fällen werden die personenbezogenen Daten nicht in den Vereinigten Staaten gespeichert, und jeder Zugriff auf solche Daten aus den Vereinigten Staaten erfolgt auf einer „Need-to-know“-Grundlage. Dies umfasst die Erfüllung von Kundendienstanfragen, die Bereitstellung spezieller Sicherheitsunterstützung oder die technische Fehlerbehebung.

Die Übermittlung personenbezogener Daten in die USA erfolgt strikt auf einer „Need-to-know“- / „Need-to-have“-Grundlage gemäß der Datenverarbeitungsvereinbarung, die die organisatorischen und technischen Maßnahmen behandelt, die Arthrex ergreift, um die personenbezogenen Daten betroffener Personen in Europa zu schützen.

Arthrex räumt ein, dass es im Falle einer Anordnung, den US-Behörden Zugang zu personenbezogenen Daten zu gewähren, verpflichtet wäre, seine Kunden zu informieren, damit diese ihren Vertrag mit uns kündigen und die Übermittlung personenbezogener Daten an unser Unternehmen einstellen können. Es ist wichtig, darauf hinzuweisen, dass Arthrex noch nie eine solche Mitteilung zu machen hatte. Auf der Grundlage der oben genannten Bewertung ist es höchst unwahrscheinlich, dass ein solcher Fall in Zukunft eintreten wird.

  1. Schlussfolgerung

Auf der Grundlage der oben dargelegten umfassenden Analyse sind wir davon überzeugt, dass das Schadensrisiko für die betroffenen Personen minimal ist. Diese Schlussfolgerung stützt sich auf die drastischen Schutzmaßnahmen und Sicherheitsvorkehrungen, die Arthrex implementiert hat, sowie darauf, dass ein Antrag der US-Behörden auf Zugang zu personenbezogenen Daten im Zusammenhang mit unseren Produkten und Dienstleistungen höchst unwahrscheinlich ist. Unter Berücksichtigung dieser Faktoren und in Übereinstimmung mit den einschlägigen rechtlichen Verpflichtungen bekräftigen wir daher, dass das Schadensrisiko für die betroffenen Personen als unbedeutend anzusehen ist.

Ungeachtet des geringen Risikos bei der Übermittlung personenbezogener Daten der betroffenen Personen aus Europa in die USA verpflichtet sich Arthrex zur Einhaltung der Grundsätze und Sicherheitsvorkehrungen, die im EU-US-Datenschutzrahmen und in allen einschlägigen Vorschriften sowie in den bewährten Praktiken des Datenschutzes dargelegt sind. Durch die Einhaltung dieser Standards gewährleisten wir die sichere und rechtmäßige Übermittlung personenbezogener Daten und zeigen damit unser unermüdliches Engagement für den Schutz der Privatsphäre unserer Kunden.

Technische und organisatorische
Maßnahmen
FAQ
Kontaktieren Sie uns