Anzeige

EU - UK

Seit dem Austritt Großbritanniens aus der EU wird die Rechtsgrundlage für den gegenseitigen Datenaustausch über den Ärmelkanal neu diskutiert. Derzeit gilt für Firmen im Vereinigten Königreich eine Übergangsfrist, in der sie zusätzlich zu ihren geltenden Datenschutzgesetzen ein Datenschutzniveau nach Artikel 44 der DSGVO (Datenschutzgrundverordnung) bieten müssen.

Europäischen Unternehmen, die personenbezogene Informationen an britischen Standorten speichern, drohen hohe Strafzahlungen, wenn diese zusätzlichen Anforderungen nicht erfüllt sind.

Jetzt hat die Europäische Kommission die britischen Datenschutzgesetze nach einer eingehenden Prüfung für „angemessen“ erklärt, zusätzliche Anforderungen sind demnach nicht notwendig. Nach den Worten von EU-Kommissionsvizepräsidentin Věra Jourová bieten die geltenden Regeln einen ausreichenden Schutz persönlicher Daten auf dem Niveau der EU. Allerdings müssen die EU-Mitgliedsstaaten dem Entwurf noch zustimmen. Dafür haben sie bis Juni Zeit, dann endet die Übergangsphase. Erst danach ist der Datenaustausch zwischen der EU und dem Vereinigten Königreich wieder ohne Einschränkungen möglich. 

Nicht nur Großkonzerne, auch Mittelständler und Start-ups in Europa tauschen mit Standorten auf der Insel Daten aus. Gerade bei Cloud-Diensten sowie im Wartungs- und Kundenservice setzen viele Unternehmen aus der EU auf britische Dienstleister. Sie alle dürften den „Angemessenheitsbeschluss“ begrüßen, da er für Rechtssicherheit sorgt. 

Allerdings sollten sie sich nicht zu früh freuen, was die Sicherheit beim Datenaustausch zwischen der EU und UK angeht, warnt Marc Ahlgrim, Digital Transformation Specialist Risk Mitigation and Compliance, GDPR bei Veritas: „Unter Umständen bleibt der Beschluss nicht lange wirksam. Wie bei früheren Abkommen zu diesem Thema, zuletzt dem EU-US Privacy Shield und seinem Vorgänger Safe Harbor, besteht auch diesmal die Gefahr, dass NGOs vor den Europäischen Gerichtshof ziehen, um den Beschluss per Klage zu kippen.“ Nach Ansicht von Datenschützern nimmt es Großbritannien mit der Sicherheit von Personendaten nicht sehr genau. Zudem gibt es keine Prüfung, wie gut Daten dort vor dem Zugriff von Geheimdiensten geschützt sind, da das Vereinigte Königreich Mitglied der Five-Eyes-Allianz ist. 

Unternehmen, die personenbezogene Informationen mit Standorten im Vereinigten Königreich austauschen, sollten sich daher für mögliche Compliance-Probleme wappnen. Zu den wichtigsten Maßnahmen zählen umfassende Datenschutzkontrollen und die Implementierung eines automatisierten Datenmanagements, mit dessen Hilfe alte und neue Daten automatisch untersucht, kategorisiert und entsprechend ihrem Inhalt behandelt werden. In der Praxis haben sich fünf Best-Practice-Schritte bewährt, um diese Aufgabe zu lösen:

  • Lokalisieren: Zunächst braucht es einen Überblick darüber, wo welche Informationen überhaupt gelagert sind – sozusagen eine Datenlandkarte. Das gilt vor allem für Daten, die in der Cloud liegen. Aus Compliance-Gründen sollte das Unternehmen daher prüfen, ob das Rechenzentrum in der EU oder einem geeigneten Drittland beheimatet ist. 
     
  • Suchen: Die DSGVO gibt EU-Bürgern das Recht, eine Übersicht über die von ihnen gespeicherten Daten zu verlangen. Firmen müssen diese zeitnah liefern. Eine Software und ein entsprechender Prozess, um Daten schnell zu finden und bei Bedarf zu löschen, sind daher essenziell.
     
  • Minimieren: Durch die DSGVO soll erreicht werden, dass Unternehmen insgesamt weniger personenbezogene Daten vorhalten und diese nur zweckgebunden speichern. Deshalb sollte jede Datei ein Verfallsdatum erhalten und nach einer gewissen Zeitspanne (abhängig vom Verwendungszweck) automatisch gelöscht werden.
     
  • Schützen: Eigentlich selbstverständlich: Personenbezogene Daten sind besonders schützenswert. Unternehmen müssen Maßnahmen ergreifen, um Angriffe von außen und innen abzuwehren. Passiert doch etwas, muss das Datenleck innerhalb von 72 Stunden gemeldet werden. 
     
  • Überwachen: Wer eine Sicherheitslücke melden will, muss zunächst wissen, dass sie existiert. Im zweiten Schritt geht es darum, schnell und eindeutig zu klären, welche Daten verloren gegangen sind. Denn die DSGVO fordert eindeutig, dass die von dem Vorfall Betroffenen sowie die Behörden innerhalb von 72 Stunden über den Vorfall informiert werden. Daher ist eine professionelle Datenmanagement-Lösung empfehlenswert, mit der sich die komplexe Speicherinfrastruktur permanent und automatisch auf Unregelmäßigkeiten überprüfen lässt.

Die für jeden dieser Schritte eingesetzten Datenmanagement-Werkzeuge folgen im Idealfall einer zentralen Policy, aus der sich Maßnahmen ableiten lassen, die dann automatisch umgesetzt werden. Empfehlenswert ist zudem ein Service, der die verschiedenen Tools an die individuelle Umgebung anpasst und ein erstes Assessment zur generellen DSGVO-Reife durchführt. Aus den Ergebnissen lassen sich schnell individuelle Risiken herauslesen und die großen Probleme als erstes angehen. 

www.veritas.com/de
 


Weitere Artikel

E-Mail Security

E-Mail-Verschlüsselung - Wie Sicherheit und Komfort harmonieren

Die Verschlüsselung von E-Mails war jahrzehntelang eine hoch komplizierte Angelegenheit. Deshalb schreckten viele Nutzer vor der Verwendung zurück. Heute ist es möglich, eine sichere Verschlüsselung auf Knopfdruck zu erzeugen.
Verschlüsselung

Global Encryption Day – warum Verschlüsselung so wichtig ist

Eine Gruppe von zivilen Organisationen und Technologieunternehmen aus der ganzen Welt hat sich am ersten Globalen Verschlüsselungstag zusammengeschlossen, um die Verwendung starker Verschlüsselung zu fördern und sich bedrohlichen Bemühungen von Regierungen…
EU Flagge

Die Auswirkungen des Digital Markets Act auf Online-Werbung

Der Connected Commerce Council (3C), eine globale Organisation, die über 1.800 europäische kleine und mittelständische Unternehmen (KMUs) repräsentiert, kritisiert die aktuellen Vorschläge zum Digital Markets Act (DMA). Den momentanen Vorschlägen zufolge wird…
Cyber Security

Fertigung muss im Bereich der Datensicherheit nachbessern

Wie gut ist die verarbeitende Industrie angesichts steigender Cyberbedrohungen wie gezielten Ransomware-Attacken, staatlich unterstützten Angreifern auf der Suche nach geistigem Eigentum oder böswilligen Insidern aufgestellt?

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.