Übermittlung von personenbezogenen Daten von betroffenen Personen aus Europa in die Vereinigten Staaten

1. Die Verpflichtung von Arthrex für die sichere Übermittlung personenbezogener Daten

Arthrex stellt sicher, dass jede Übermittlung personenbezogener Daten an unser Unternehmen in vollem Umfang mit den einschlägigen Datenschutzbestimmungen übereinstimmt. Wir stellen den Schutz Ihrer personenbezogenen Daten an erste Stelle und widmen uns weiterhin der Einhaltung der Standards, die im EU-US-Datenschutzrahmen festgelegt sind.

Arthrex implementiert in seinen Produkten, Systemen und Prozessen die notwendigen Sicherheitsvorkehrungen, um sicherzustellen, dass jede Weitergabe von personenbezogenen Daten unter Beachtung der höchsten Standards geschützt wird.

Informationen zum Schutz Ihrer personenbezogenen Daten auf ihrem gesamten Weg finden Sie in der Datenverarbeitungsvereinbarung, die wir mitIhnen abschließen, in der Datenschutzerklärung von Arthrex oder in der besonderen Datenschutzerklärung, die Ihnen im Zusammenhang mit einem Produkt und einer Dienstleistung bereitgestellt wird.

2. ‍Übermittlung von personenbezogenen Daten in die Vereinigten Staaten

Arthrexhält sich an das EU-U.S. Data Privacy Framework (EU-U.S. DPF) und die britische Erweiterung des EU-U.S. DPF sowie an das Swiss-U.S. Data Privacy Framework (Swiss-U.S. DPF), wie vom U.S. Department of Commerce festgelegt. Arthrex hat gegenüber dem US-Handelsministerium bestätigt, dass es die EU-U.S. Data Privacy Framework Principles (EU-U.S. DPF Principles)in Bezug auf die Verarbeitung personenbezogener Daten einhält, die es aus der Europäischen Union und dem Vereinigten Königreich unter Berufung auf die EU-U.S. DPF und die britische Erweiterung der EU-U.S. DPF erhält. Arthrex hat gegenüber dem U.S. Department of Commerce bestätigt, dass es die Swiss-U.S. Data Privacy Framework Principles (Swiss-U.S. DPF Principles) in Bezug auf die Verarbeitung personenbezogener Daten, die es aus der Schweiz unter Berufung auf das Swiss-U.S. DPF erhalten hat, einhält. Im Falle eines Konflikts zwischenden Bestimmungen dieser Datenschutzrichtlinie und den Prinzipien des EU-USA-DSR und/oder den Prinzipien des Schweiz-USA-DSR sind diese Prinzipien maßgebend. To learn more about the Data Privacy Framework (DPF) Program, and to view our certification, please visit https://www.dataprivacyframework.gov/.

Die folgenden Arthrex US-Gesellschaften oder Arthrex US Tochterunternehmen halten sich an die Prinzipien des EU-USA-DSR, einschließlich, falls zutreffend, an die Prinzipien unter der UK-Erweiterungdes EU-USA-DSR und des Schweiz-USA-DSR und sind durch die Unterordnung des Arthrex DSR gedeckt.

• Arthrex Inc., 1370 Creekside Blvd, Naples, Florida 34108-1945, USA
• Arthrex Manufacturing Inc., 6875 Arthrex Commerce Dr., Ave Maria, FL 34142, USA
• Arthrex California Technology, Inc., 460 Ward Drive, Santa Barbara, California 93111, USA

In Übereinstimmung mit der EU-US-DSGVO und der britischen Erweiterung der EU-US-DSGVO und der schweizerisch-US-amerikanischen DDSG verpflichtet sich Arthrex, ungelöste Beschwerden über unseren Umgang mit personenbezogenen Daten, die wir unter Berufung auf die EU-US-DSGVO und die britische Erweiterung der EU-US-DSGVO und die schweizerisch-US-amerikanische DDSGVO erhalten haben, an den ICDR-AAA DPF IRM Service weiterzuleiten, einen in den VereinigtenStaaten ansässigen Anbieter für alternative Streitbeilegung.  Wenn Sie von uns keine rechtzeitigeBestätigung Ihrer Beschwerde im Zusammenhang mit den DPF-Grundsätzen erhaltenoder wenn wir Ihre Beschwerde im Zusammenhang mit den DPF-Grundsätzen nicht zuIhrer Zufriedenheit bearbeitet haben, besuchen Sie bittehttps://go.adr.org/dpf_irm.html, um weitere Informationen zu erhalten oder umeine Beschwerde einzureichen.  DieDienstleistungen der ICDR-AAA sind für Sie kostenlos.

3. Bewertung des Interesses von US-Behörden an der Übermittlung personenbezogener Daten durch Arthrex

Neben dem Angemessenheitsbeschluss zum EU-US DPF haben wir eine umfangreiche Risikobewertung der Übermittlung personenbezogener Daten durch Arthrex durchgeführt und dabei die folgenden Faktoren berücksichtigt: den Zweck, für den die personenbezogenen Daten übermittelt und verarbeitet werden (z. B. Marketing, Personalwesen, Datenspeicherung, IT-Unterstützung, klinische Studien).    

• Die Arten der an der Verarbeitung beteiligten juristischen Personen (z. B. öffentlich/ privat; Verantwortlicher/ Auftragsverarbeiter).
• Die Abteilung, in die die Übermittlung erfolgt (z. B. Medizin, Telekommunikation, Finanzen usw.).
• Die Kategorien der übermittelten personenbezogenen Daten (z. B. können personenbezogene Daten über Kinder in den Anwendungsbereich spezifischer Rechtsvorschriften des Drittlandes fallen).
• Ob die personenbezogenen Daten im Drittland gespeichert werden oder ob es nur einen Fernzugriff auf die im EWR gespeicherten personenbezogenen Daten gibt.
• Das Format der zu übermittelnden personenbezogenen Daten (z. B. im Klartext, pseudonymisiert oder verschlüsselt).
• Die Möglichkeit, dass personenbezogene Daten aus einem Drittland in ein anderes Drittland (oder innerhalb desselben Drittlands) weitergegeben werden.

Diese Faktoren und insbesondere die Art der übermittelten personenbezogenen Daten sprechen dafür, dass die US-Regierung wahrscheinlich nicht versuchen wird, die übermittelten Daten zu erfassen. Als Unternehmen für Medizinprodukte ist Arthrex nicht in einer Branche mit erhöhten nationalen Sicherheitsbedenken tätig (z. B. Verteidigungsverträge, Unterstützung der Geheimdienste, Auftragsvergabe durch die Regierung oder Bereitstellung kritischer Infrastrukturen). Stattdessen umfassen die vom Unternehmen übermittelten Informationen personenbezogene Daten der Mitarbeitenden, die Sicherheit des Datensystems, Benutzeranmeldedaten und Kontoinformationen für Online-Schulungen sowie Krankenakten, die personenbezogene Daten enthalten können. Diese Krankenakten werden hauptsächlich verwendet, um spezielle chirurgische Werkzeuge und Pläne zu entwickeln, die Heilung und den Fortschritt des Patienten unter bestimmten postoperativen Umständen zu überwachen und, in vereinzelten Fällen, um die technische Unterstützung für Videoaufzeichnungen in der Chirurgie bereitzustellen. Arthrex erhält die personenbezogenen Daten von seinem EU-Tochterunternehmen, um seine üblichen Geschäftsbestrebungen zu unterstützen, die im Hinblick auf die nationale Sicherheit oder die Spionageabwehr nicht sensibel sind. Die personenbezogenen Daten werden von den Vereinigten Staaten aus nicht in weitere Länder übermittelt. Wenn sie in die Vereinigten Staaten übermittelt werden, dann entweder in einem verschlüsselten Format oder über einen sicheren Fernzugriff von den Vereinigten Staaten aus. Arthrex hat seitens der US-Regierung keine Anfragen hinsichtlich der von Arthrex verarbeiteten personenbezogenen Daten erhalten, und eine solche Anfrage ist auch unwahrscheinlich. Daher kann man vernünftigerweise nicht davon ausgehen, dass die von Arthrex verarbeiteten personenbezogenen Daten von besonderem Interesse für die nationale Sicherheit sind.

4. Weiter zu beachten

Wo zutreffend, speichert und verarbeitet Arthrex personenbezogene Daten betroffener Personen aus Europa ausschließlich innerhalb der Europäischen Union. In solchen Fällen werden die personenbezogenen Daten nicht in den Vereinigten Staaten gespeichert, und jeder Zugriff auf solche Daten aus den Vereinigten Staaten erfolgt auf einer „Need-to-know“-Grundlage. Dies umfasst die Erfüllung von Kundendienstanfragen, die Bereitstellung spezieller Sicherheitsunterstützung oder die technische Fehlerbehebung.

Die Übermittlung personenbezogener Daten in die USA erfolgt strikt auf einer „Need-to-know“- / „Need-to-have“-Grundlage gemäß der Datenverarbeitungsvereinbarung, die die organisatorischen und technischen Maßnahmen behandelt, die Arthrex ergreift, um die personenbezogenen Daten betroffener Personen in Europa zu schützen.

Arthrex räumt ein, dass es im Falle einer Anordnung, den US-Behörden Zugang zu personenbezogenen Daten zu gewähren, verpflichtet wäre, seine Kunden zu informieren, damit diese ihren Vertrag mit uns kündigen und die Übermittlung personenbezogener Daten an unser Unternehmen einstellen können. Es ist wichtig, darauf hinzuweisen, dass Arthrex noch nie eine solche Mitteilung zu machen hatte. Auf der Grundlage der oben genannten Bewertung ist es höchst unwahrscheinlich, dass ein solcher Fall in Zukunft eintreten wird.

5. Schlussfolgerung

Auf der Grundlage der oben dargelegten umfassenden Analyse sind wir davon überzeugt, dass das Schadensrisiko für die betroffenen Personen minimal ist. Diese Schlussfolgerung stützt sich auf die drastischen Schutzmaßnahmen und Sicherheitsvorkehrungen, die Arthrex implementiert hat, sowie darauf, dass ein Antrag der US-Behörden auf Zugang zu personenbezogenen Daten im Zusammenhang mit unseren Produkten und Dienstleistungen höchst unwahrscheinlich ist. Unter Berücksichtigung dieser Faktoren und in Übereinstimmung mit den einschlägigen rechtlichen Verpflichtungen bekräftigen wir daher, dass das Schadensrisiko für die betroffenen Personen als unbedeutend anzusehen ist.

Ungeachtet des geringen Risikos bei der Übermittlung personenbezogener Daten der betroffenen Personen aus Europa in die USA verpflichtet sich Arthrex zur Einhaltung der Grundsätze und Sicherheitsvorkehrungen, die im EU-US-Datenschutzrahmen und in allen einschlägigen Vorschriften sowie in den bewährten Praktiken des Datenschutzes dargelegt sind. Durch die Einhaltung dieser Standards gewährleisten wir die sichere und rechtmäßige Übermittlung personenbezogener Daten und zeigen damit unser unermüdliches Engagement für den Schutz der Privatsphäre unserer Kunden.