Anzeige

EU - UK

Seit dem Austritt Großbritanniens aus der EU wird die Rechtsgrundlage für den gegenseitigen Datenaustausch über den Ärmelkanal neu diskutiert. Derzeit gilt für Firmen im Vereinigten Königreich eine Übergangsfrist, in der sie zusätzlich zu ihren geltenden Datenschutzgesetzen ein Datenschutzniveau nach Artikel 44 der DSGVO (Datenschutzgrundverordnung) bieten müssen.

Europäischen Unternehmen, die personenbezogene Informationen an britischen Standorten speichern, drohen hohe Strafzahlungen, wenn diese zusätzlichen Anforderungen nicht erfüllt sind.

Jetzt hat die Europäische Kommission die britischen Datenschutzgesetze nach einer eingehenden Prüfung für „angemessen“ erklärt, zusätzliche Anforderungen sind demnach nicht notwendig. Nach den Worten von EU-Kommissionsvizepräsidentin Věra Jourová bieten die geltenden Regeln einen ausreichenden Schutz persönlicher Daten auf dem Niveau der EU. Allerdings müssen die EU-Mitgliedsstaaten dem Entwurf noch zustimmen. Dafür haben sie bis Juni Zeit, dann endet die Übergangsphase. Erst danach ist der Datenaustausch zwischen der EU und dem Vereinigten Königreich wieder ohne Einschränkungen möglich. 

Nicht nur Großkonzerne, auch Mittelständler und Start-ups in Europa tauschen mit Standorten auf der Insel Daten aus. Gerade bei Cloud-Diensten sowie im Wartungs- und Kundenservice setzen viele Unternehmen aus der EU auf britische Dienstleister. Sie alle dürften den „Angemessenheitsbeschluss“ begrüßen, da er für Rechtssicherheit sorgt. 

Allerdings sollten sie sich nicht zu früh freuen, was die Sicherheit beim Datenaustausch zwischen der EU und UK angeht, warnt Marc Ahlgrim, Digital Transformation Specialist Risk Mitigation and Compliance, GDPR bei Veritas: „Unter Umständen bleibt der Beschluss nicht lange wirksam. Wie bei früheren Abkommen zu diesem Thema, zuletzt dem EU-US Privacy Shield und seinem Vorgänger Safe Harbor, besteht auch diesmal die Gefahr, dass NGOs vor den Europäischen Gerichtshof ziehen, um den Beschluss per Klage zu kippen.“ Nach Ansicht von Datenschützern nimmt es Großbritannien mit der Sicherheit von Personendaten nicht sehr genau. Zudem gibt es keine Prüfung, wie gut Daten dort vor dem Zugriff von Geheimdiensten geschützt sind, da das Vereinigte Königreich Mitglied der Five-Eyes-Allianz ist. 

Unternehmen, die personenbezogene Informationen mit Standorten im Vereinigten Königreich austauschen, sollten sich daher für mögliche Compliance-Probleme wappnen. Zu den wichtigsten Maßnahmen zählen umfassende Datenschutzkontrollen und die Implementierung eines automatisierten Datenmanagements, mit dessen Hilfe alte und neue Daten automatisch untersucht, kategorisiert und entsprechend ihrem Inhalt behandelt werden. In der Praxis haben sich fünf Best-Practice-Schritte bewährt, um diese Aufgabe zu lösen:

  • Lokalisieren: Zunächst braucht es einen Überblick darüber, wo welche Informationen überhaupt gelagert sind – sozusagen eine Datenlandkarte. Das gilt vor allem für Daten, die in der Cloud liegen. Aus Compliance-Gründen sollte das Unternehmen daher prüfen, ob das Rechenzentrum in der EU oder einem geeigneten Drittland beheimatet ist. 
     
  • Suchen: Die DSGVO gibt EU-Bürgern das Recht, eine Übersicht über die von ihnen gespeicherten Daten zu verlangen. Firmen müssen diese zeitnah liefern. Eine Software und ein entsprechender Prozess, um Daten schnell zu finden und bei Bedarf zu löschen, sind daher essenziell.
     
  • Minimieren: Durch die DSGVO soll erreicht werden, dass Unternehmen insgesamt weniger personenbezogene Daten vorhalten und diese nur zweckgebunden speichern. Deshalb sollte jede Datei ein Verfallsdatum erhalten und nach einer gewissen Zeitspanne (abhängig vom Verwendungszweck) automatisch gelöscht werden.
     
  • Schützen: Eigentlich selbstverständlich: Personenbezogene Daten sind besonders schützenswert. Unternehmen müssen Maßnahmen ergreifen, um Angriffe von außen und innen abzuwehren. Passiert doch etwas, muss das Datenleck innerhalb von 72 Stunden gemeldet werden. 
     
  • Überwachen: Wer eine Sicherheitslücke melden will, muss zunächst wissen, dass sie existiert. Im zweiten Schritt geht es darum, schnell und eindeutig zu klären, welche Daten verloren gegangen sind. Denn die DSGVO fordert eindeutig, dass die von dem Vorfall Betroffenen sowie die Behörden innerhalb von 72 Stunden über den Vorfall informiert werden. Daher ist eine professionelle Datenmanagement-Lösung empfehlenswert, mit der sich die komplexe Speicherinfrastruktur permanent und automatisch auf Unregelmäßigkeiten überprüfen lässt.

Die für jeden dieser Schritte eingesetzten Datenmanagement-Werkzeuge folgen im Idealfall einer zentralen Policy, aus der sich Maßnahmen ableiten lassen, die dann automatisch umgesetzt werden. Empfehlenswert ist zudem ein Service, der die verschiedenen Tools an die individuelle Umgebung anpasst und ein erstes Assessment zur generellen DSGVO-Reife durchführt. Aus den Ergebnissen lassen sich schnell individuelle Risiken herauslesen und die großen Probleme als erstes angehen. 

www.veritas.com/de
 


Weitere Artikel

Cookie-Banner

Cookie-Banner – was ab 1.Dezember 2021 zu beachten ist

Jeder kennt das nervige Cookie-Banner. Mit dem Öffnen einer Webseite ploppt sofort ein Fenster auf, bevor es zu den eigentlichen Informationen weiter geht. Es gibt einen fetten Button, um in die Speicherung von Cookies einzuwilligen. Das Ablehnen wird…
Data Breach

Die 5 häufigsten Datenschutzverletzungen

Meldungen von Unternehmen, die von Datenschutzverletzungen und Daten-Leaks betroffen sind, haben in letzter Zeit stark zugenommen. Im Durchschnitt kosten solche Datenschutzverletzungen deutsche Unternehmen stolze 4,11 Millionen Euro – damit liegt Deutschland…
Cookies

Das Aus der Third-Party-Cookies – die Chance für den Neuanfang

Das bevorstehende Ende der Third-Party-Cookies verändert die Spielregeln im Internet. Wir müssen uns von gewohnten Handlungsmustern verabschieden, dürfen uns im Gegenzug aber auf erweiterte Möglichkeiten freuen – von denen nicht zuletzt auch die Nutzer…
FAQ

9 klare Antworten auf die Datenschutz-FAQs im digitalen Marketing

Alle Welt spricht von Datenschutz, aber keiner traut sich, die wirklich wichtigen Fragen zu stellen. Das gilt auch oder sogar im Besonderen für Online-Marketer.
Whistleblower

Eine Einordnung zur Whistleblower-Richtlinie

Die EU-Richtlinie zum Schutz von Hinweisgebern kommt zum 17.12.2021 - und bemerkenswert wenige Unternehmen sind darauf vorbereitet. Natürlich ist das wieder eine Regelung, die umgesetzt werden muss. Wir meinen: Diese Richtlinie bietet vor allem Chancen!

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.