Anzeige

DSGVO

Letzten Sommer wurde das Privacy-Shield-Abkommen vom EuGH für ungültig erklärt. Einige europäische Unternehmen nutzen trotzdem US-amerikanische Dienste, was besonders bei der Verarbeitung sensibler Mitarbeiterdaten problematisch sein kann.

Dabei gibt es sichere Lösungen, wie unser Beispiel zeigt. 

Vor über einem halben Jahr – am 16. Juli 2020 – erklärte der Europäische Gerichtshof (EuGH) das Privacy-Shield-Abkommen zwischen der EU und den USA für ungültig, da es nicht mit den Richtlinien der Datenschutzgrundverordnung (DSGVO) zu vereinen ist. Seither herrscht in einigen Unternehmen Unklarheit darüber, welche praktischen Implikationen das Urteil für den eigenen Betrieb hat. Das Abkommen diente zahlreichen Unternehmen als rechtliche Grundlage für die DSGVO-konforme Übermittlung personenbezogener Daten in die USA. 

Vielerorts haben sich die betrieblichen Praktiken bisher nicht verändert: US-amerikanische Dienste sind weiterhin in die Prozesse europäischer Unternehmen involviert. Besonders brisant ist die Nutzung dieser Dienste, wenn Mitarbeiterdaten verarbeitet werden. Bei Mitarbeiterschulungen und Awareness-Trainings entstehen beispielsweise sensible Daten, die Auskunft über das Verhalten und den Lernstand einzelner Personen geben. 

Unternehmen, die weiterhin US-amerikanische Dienste nutzen, bewegen sich somit seit Monaten in einer gefährlichen Grauzone. Kommt es zu einer Beschwerde, kann laut Artikel 83 der DSGVO ein Bußgeld von bis zu 20 Millionen Euro oder 4 Prozent des weltweit erzielten Jahresumsatzes verhängt werden. Wie viel Geld im Einzelfall fällig wird, richtet sich nach der Schwere des Verstoßes und wird von der zuständigen Datenschutzbehörde individuell festgelegt.

Mitarbeitende haben ein Recht auf Datenschutz – besonders bei Schulungen

Die Verarbeitung und Speicherung personenbezogener Daten stellt für Unternehmen in vielerlei Hinsicht ein sensibles Thema dar. Neben hohen Bußgeldern drohen bei einem Verstoß gegen die DSGVO auch immaterielle Schäden wie Imageschäden und der Verlust des Vertrauens bei den Stakeholdern. Unternehmen sollten hierbei insbesondere an ihre Mitarbeiterinnen und Mitarbeiter denken, da ihnen im Arbeitsvertrag der Schutz ihrer personenbezogenen Daten zugesichert wurde. 

Die rechtlichen Fallstricke entstehen zudem nicht nur durch den physischen Standort des Servers, auf dem die personenbezogenen Daten gespeichert werden. Durch den PATRIOT Act können Unternehmen mit Sitz in den USA grundsätzlich durch die US-Behörden zur Herausgabe von personenbezogenen Daten gezwungen werden. Selbst wenn die Server in der EU stehen, kann auf Basis des CLOUD Acts die Herausgabe von europäischen Daten verlangt werden. „Deutsche Arbeitgeber können daher nicht sicherstellen, dass die personenbezogenen Daten ihrer Mitarbeitenden gemäß der DSGVO geschützt sind, wenn sie US-amerikanische Anbieter für Schulungen und Awareness-Trainings nutzen“, erklärt der Kölner Rechtsanwalt Benedikt Woltering, der beim deutschen Schulungsanbieter SoSafe als juristischer Berater tätig ist. 

Deutsche Aufsichtsbehörden sind alarmiert – Nicht nur Serverstandort zählt

Trotz der drohenden Risiken haben einige europäische Unternehmen ihre Praktiken bis heute nicht angepasst. Dies könnte sich bald ändern: Aufgrund von Beschwerden haben deutsche Aufsichtsbehörden bereits Verfahren eingeleitet, um gezielt gegen DSGVO-Verstöße vorzugehen. Die Beschwerden kommen hierbei auch von NGOs wie noyb, dem europäischen Zentrum für digitale Rechte. Nach eigenen Angaben reichte noyb schon kurz nach dem Urteil über 100 Beschwerden gegen europäische Unternehmen ein. Zudem erhöht sich das Risiko, dass auch Beschwerden von Mitarbeiterinnen und Mitarbeitern eingereicht werden, da laut Artikel 33 der DSGVO bei Verstößen eine Meldepflicht besteht. 

Was können Unternehmen tun, um Mitarbeitende DSGVO-konform zu schulen?

Um Vertrauensverluste und Bußgelder zu verhindern, sollten Unternehmen demnach schnellstmöglich prüfen, ob im eigenen Betrieb durch die Verarbeitung personenbezogener Daten gegen die DSGVO verstoßen wird. Die zentralen Fragen sind hierbei:

  1. Werden personenbezogene Daten auf Servern außerhalb der EU verarbeitet?

  2. Werden die personenbezogenen Daten an US-amerikanische Unternehmen übermittelt, beispielsweise während der Nutzung von E-Learnings oder Awareness-Trainings wie Phishing-Simulationen?

Wenn eine der beiden Fragen bejaht werden muss, besteht Handlungsbedarf. Auch die Nutzung von Standardvertragsklauseln – die von manchen Unternehmen als Interimslösung eingesetzt werden – stellt keine hinreichende Rechtsgrundlage für den Datentransfer zwischen den Kontinenten dar. Rechtssicherheit kann derzeit nur ein Ausweg garantieren: Der Wechsel auf europäische Dienstleiter, deren Server ebenfalls in der EU betrieben werden.

Das Kölner Software-Unternehmen eyeo geht in diesem Kontext auf Nummer sicher und achtet gerade in sensiblen Bereichen wie für Security-Schulungen auf DSGVO-Konformität. Peter Meyer, IT-Security Specialist bei eyeo, betont: „Wir haben uns für einen EU-Anbieter entschieden, um unseren Mitarbeitenden die Garantie geben zu können, dass ihre personenbezogenen Daten gemäß der DSGVO geschützt sind. Alle Orte, an denen die Schulungsdaten verarbeitet werden, befinden sich in der EU. Schließlich möchte kein Mitarbeitender, dass die sensiblen Daten, die bei E-Learnings und Phishing-Simulationen entstehen, von US-Behörden eingesehen werden können“.

DSGVO-Konformität als Qualitätsmerkmal bei der Anbietersuche

Bei der Suche neuer Anbieter sollten Unternehmen demnach DSGVO-Konformität achten. Europäische Anbieter können eine Rechtssicherheit garantieren, die US-Dienste nicht leisten können. Auch wenn die Umstellung aus Sicht vieler Unternehmen zunächst mit Aufwand verbunden ist, bietet der Wechsel auch Chancen. US-amerikanische Dienste haben in den letzten Jahren vor allem von ihrer Bekanntheit profitiert – und nicht unbedingt deshalb, weil sie die besten Produkte auf dem Markt anbieten. Allein in Deutschland hat sich in den letzten Jahren mit Blick auf digitale Schulungsangebote und Awareness-Trainings viel getan. Durch den Wechsel auf einen deutschen Anbieter können Unternehmen demnach nicht nur die DSGVO-Vorgaben erfüllen, sondern auch von hochwertigen Lösungen made in Germany profitieren.

Dr. Niklas Hellemann, Geschäftsführer
Dr. Niklas Hellemann
Geschäftsführer, SoSafe GmbH
Dr. Niklas Hellemann ist Diplom-Psychologe, langjähriger Unternehmensberater (Boston Consulting Group) und Geschäftsführer der Firma SoSafe Cyber Security Awareness. Als Experte für Social Engineering beschäftigt er sich mit innovativen Methoden der Mitarbeitersensibilisierung.

Artikel zu diesem Thema

DSVGO
Feb 14, 2021

Fünf Tipps zur Umsetzung der DSGVO-Vorgaben

Es ist höchste Zeit, dass international tätige Unternehmen ihren Status quo in Sachen…
Privacy-Shield
Okt 29, 2020

Schrems II - Das Aus für die Datenübermittlung in die USA?

Der Europäische Gerichtshof das Privacy-Shield Abkommen mit den USA für ungültig erklärt.…
Aufmacher SoSafe Coverstory
Jun 22, 2020

Phishing in der aktuellen Krise - Wie Hacker den „Faktor Mensch“ ausnutzen

Die Corona-Krise hat der Digitalisierung einen ordentlichen Schub gegeben. Die Nutzung…

Weitere Artikel

Facebook

Datensicherheit bei Facebook: So können Sie das Risiko von Datendiebstahl verringern

Facebook-Mitglieder weltweit schreckten am Osterwochenende auf: Persönliche Daten von mehr als 530 Millionen Nutzer:innen sollen im Internet veröffentlicht worden sein. Darunter sollen auch Daten von rund sechs Millionen Menschen aus Deutschland sein.
Justitia

Warum IT-Experten härtere Regeln für Tech-Konzerne fordern

Die Corona-Pandemie dominierte im Jahr 2020 einen Großteil der Nachrichten und hat einen rasanten Digitalisierungsschub bewirkt. Damit kommt auch das Thema Datenschutz zurück auf die Tagesordnung. So wurde in Niedersachsen zuletzt der IT-Händler…
Post-Brexit Changes

Herkulesaufgabe Datenschutz: Datenaustausch zwischen EU und UK

Der Datenschutz stellt Unternehmen in der EU und Großbritannien vor große Herausforderungen. Sie sind darauf angewiesen, dass ein geregelter und sicherer Datenaustausch zwischen den Ländern bald gewährleistet wird. Vergleichbare Datenschutzverordnungen und…
Datenschutz

Bitkom zum Jahresbericht des Bundesdatenschutzbeauftragten

Aus Anlass der Veröffentlichung des Tätigkeitsberichts des Bundesdatenschutzbeauftragten (BfDI) erklärt Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder:

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.