Anzeige

DSVGO

Es ist höchste Zeit, dass international tätige Unternehmen ihren Status quo in Sachen Datenschutz überprüfen und im Rahmen der Digitalisierung ihrer Kommunikationsprozesse auch die Umsetzung der DSGVO sicherstellen.

Der Cloud-Anbieter Retarus unterstützt Unternehmen seit Jahrzehnten darin, Ihre Kommunikationsdaten rechtskonform zu verarbeiten und zeigt, welche Faktoren dabei zu berücksichtigen sind.

Laut einer aktuellen Studie der internationalen Anwaltskanzlei DLA Piper ist die Summe der verhängten Bußgelder für Verstöße gegen die EU-Datenschutzgrundverordnung (DSGVO) im letzten Jahr europaweit um 40 Prozent gestiegen. Seit dem Inkrafttreten der DSGVO im Mai 2018 wurden in der EU rund 281.000 Verstöße zur Anzeige gebracht. Die Strafen bei Verstößen betragen bis zu 20 Millionen Euro bzw. vier Prozent des weltweiten Umsatzes. Allein in Deutschland wurden bisher Bußgelder in Höhe von 69,1 Millionen Euro verhängt. Dennoch setzen laut Branchenverband Bitkom erst 20 Prozent der befragten Unternehmen in Deutschland die DSGVO vollständig um. Grund dafür ist unter anderem eine anhaltende Rechtsunsicherheit. Nicht zuletzt trägt auch das Urteil des Europäischen Gerichtshof (EuGH) zum „Privacy Shield“ zur Verwirrung bei.

Retarus hat deshalb DSGVO-Tipps speziell für Unternehmen zusammengestellt, die personenbezogene Daten über EU-Grenzen hinweg übertragen. Dazu zählen unter anderem:

1. Klären, welche personenbezogener Daten übertragen werden

Personenbezogene Daten sind jegliche Informationen in Bezug auf eine identifizierte oder identifizierbare natürliche Person: Name, Standort, Online-Identifikatoren wie etwa IP-Adressen sowie Fakten über physische, psychische, ökonomische oder soziale Identität – auch Faxnummern und E-Mail-Adressen zählen dazu. Ein Transfer personenbezogener Daten findet zum Beispiel bei der Korrespondenz via E-Mail, Fax oder SMS statt. Unternehmen müssen folglich klären, welche Daten sie besitzen oder sammeln, wo diese gespeichert sind, wer sie bearbeitet, wohin sie transferiert werden und ob diese entsprechend der neuen Rechtsgrundlage verarbeitet werden.

2. Werden IT-Dienstleistungen US-amerikanischer Firmen genutzt?

Falls Unternehmen IT-Dienstleistungen von US-Unternehmen – etwa großen Hyperscalern – nutzen, sollten sie genau prüfen, ob ihr Datenexport den DSGVO-Anforderungen gerecht wird, zum Beispiel im Bereich E-Mail-Security und -Archivierung.

3. Früher vom Privacy Shield geschützte Partner überprüfen

Im Juli 2020 hat der EuGH die Datenschutzvereinbarung zwischen der EU und den USA „Privacy Shield“ mit sofortiger Wirkung für ungültig erklärt. Die Begründung: EU-Bürger und -Unternehmen sind nicht ausreichend gegen Datenzugriffe amerikanischer Behörden geschützt. Unternehmen sind daher gut beraten, zum Beispiel auf der Website zum Privacy Shield Framework zu prüfen, ob sie mit Unternehmen zusammenarbeiten, die bislang unter den „Privacy Shield“ fielen. Falls ja, sollten sie umgehend klären, ob die Firmen die DSGVO-Anforderungen einhalten. Im Zweifel können sie sich eine Bestätigung ausstellen lassen, dass an keinem Punkt der Verarbeitung Daten in die USA beziehungsweise an Dienstleister in den USA übertragen werden und alle Daten ausschließlich in der EU verarbeitet werden.

4. SCCs und BCR genau prüfen, gegebenenfalls ergänzen

Laut dem europäischen Datenschutzausschuss EDPB können auch Standardvertragsklauseln (SCCs) und verbindliche Unternehmensregeln (BCRs) nicht ohne Weiteres als Grundlage für einen Datenexport in die USA verwendet werden. Diese Einschätzung gilt auch für entsprechende Vereinbarungen mit Ländern wie China oder Russland. Gemäß EDBP sind deshalb „zusätzliche Maßnahmen“ notwendig, um die vom EuGH kritisierten Zugriffsrechte von US-Nachrichtendiensten komplett auszuschließen. Hierzu gibt es jedoch derzeit nur vorläufige Umsetzungs-Empfehlungen des EDPB. Des Weiteren dürfen Unternehmen gemäß den Sonderregeln aus Artikel 49 DSGVO weiterhin Daten in die USA transferieren, sofern die Bedingungen der Norm erfüllt sind. So ist beispielsweise eine ausdrückliche Einwilligungserklärung der betroffenen Person erforderlich.

5. Geeigneten Cloud-Dienstleister wählen

Mit dem richtigen Cloud-Dienstleister an ihrer Seite profitieren Unternehmen standortübergreifend von sicheren, performanten und flexiblen Kommunikationsprozessen. Dabei muss der Datenschutz gemäß DSGVO kein Hindernis sein, wenn bereits bei der Auswahl darauf geachtet wird, dass potenziell geeignete Cloud-Dienste strengsten Ansprüchen an Datenschutz und Datensicherheit genügen. Im Idealfall garantieren Dienstleister eine lokale Datenverarbeitung innerhalb der EU, stellen die Verarbeitung in eigenen Rechenzentren auch während Failover oder Wartung sicher und nutzen keine US-Hyperscaler.

www.retarus.de


Artikel zu diesem Thema

digitale Sprechstunde
Feb 03, 2021

Datenschutz in der digitalen Sprechstunde: Wie der CLOUD Act die DSGVO aushebelt

Immer mehr Ärztinnen und Ärzte sowie medizinisches Pflegepersonal setzen zur Eindämmung…
Datenschutz
Feb 01, 2021

Nachtrag zum Datenschutztag oder was Datenschutz im Kern ausmacht

Leider wissen heutzutage immer noch nicht genug Menschen wie ihre persönlichen Daten…
Datenschutz
Jan 28, 2021

Datenschutz in Zeiten von Cloud-first

Der diesjährige Europäische Datenschutztag steht ganz im Zeichen des 40. Jahrestages der…

Weitere Artikel

EU Flagge

Die Auswirkungen des Digital Markets Act auf Online-Werbung

Der Connected Commerce Council (3C), eine globale Organisation, die über 1.800 europäische kleine und mittelständische Unternehmen (KMUs) repräsentiert, kritisiert die aktuellen Vorschläge zum Digital Markets Act (DMA). Den momentanen Vorschlägen zufolge wird…
Cyber Security

Fertigung muss im Bereich der Datensicherheit nachbessern

Wie gut ist die verarbeitende Industrie angesichts steigender Cyberbedrohungen wie gezielten Ransomware-Attacken, staatlich unterstützten Angreifern auf der Suche nach geistigem Eigentum oder böswilligen Insidern aufgestellt?
DSGVO

Automatisierung von Datenschutzpraktiken

Unternehmen sind heute mehr denn je auf Daten und Technologien angewiesen, wenn es gilt Operationen zu skalieren. Aber angesichts der sich ständig weiterentwickelnden rechtlichen Rahmenbedingungen für den Datenschutz ist es eine ganz eigene Herausforderung,…
Google Assistant

Sprachassistenten und das Fake-Wake-Phänomen

In einem gemeinsamen Projekt mit einem Forschungsteam der chinesischen Zhejiang Universität in Hangzhou haben Forschende des System Security Lab an der TU Darmstadt das sogenannte „Fake-Wake-Phänomen“ systematisch untersucht. Dieses Phänomen führt bei…
USA EU

Datentransfer in die USA so sicher wie möglich gestalten

Fast alle Unternehmen übermitteln über ihre eingesetzte Software unbemerkt Daten in die USA. Handelt es sich um personenbezogene Daten, bedeutet das häufig einen Verstoß gegen die Datenschutzverordnung.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.