Anzeige

Laptop

Es ist ein Jahr her, dass der EuGH (Europäischer Gerichtshof) das „Schrems II-Urteil" erlassen hat, mit dem das Privacy-Shield-Abkommen gekippt wurde. Das Privacy-Shield-Abkommen legitimierte den Transfer personenbezogener Daten zwischen der EU und den USA in Übereinstimmung mit der DSGVO.

Mit der jüngsten Veröffentlichung der überarbeiteten EU-Vertragsklauseln stehen Unternehmen nun vor einer zusätzlichen Herausforderung: Sie müssen sicherstellen, dass ihre transatlantischen Datenströme Compliance-konform sind, sonst drohen hohe Bußgelder und unerwünschte Publicity.

Die globale digitale Wirtschaft ist dezentral aufgebaut: Ein länderübergreifender Datentransfer ist daher alltäglich im Betrieb von Konzernen, Unternehmen und Start-ups. Cloud-Dienste sowie Kundenservices werden international aufgesetzt und ihre Standorte befinden sich oftmals außerhalb Europas. „Unternehmen, die auf einen Datentransfer über nationale Grenzen hinweg angewiesen sind, müssen sich im Einzelfall absichern, ob der Datenschutz nach Artikel 44 der DSGVO gewährleistet ist", erklärt Marc Ahlgrim, Digital Transformation Specialist Risk Mitigation und Compliance, GDPR, bei Veritas Technologies.

Unternehmen, die personenbezogene und sensible Daten an Standorte außerhalb der EU übermitteln, müssen sich stetig an die Compliance-Anforderungen anpassen. Es ist daher ratsam, dass Kunden ein automatisiertes Datenmanagement zur Untersuchung und Kategorisierung einführen und eine umfassende Datenschutzkontrolle einbinden. Die nachfolgenden Best Practices haben sich bewährt, um den Anforderungen gerecht zu werden:

  • Lokalisieren: Zunächst ist es wichtig, den aktuellen Datenstand zu dokumentieren und zu erfassen, wie und wo Daten genutzt, gespeichert und gesichert werden. Dadurch werden die Informationen gemappt und das Unternehmen erhält einen vollständigen Überblick über die Daten sowohl bei deren Entstehung als auch im laufenden Prozess. Dabei sollte vor allem die Cloud einbezogen und überprüft werden, ob das Rechenzentrum des Anbieters in der EU oder in einem Drittland angesiedelt werden kann.
  • Suchen: Die DSGVO und immer häufiger auch andere Nicht-EU-Datenschutzgesetze räumen den Bürgern ein Recht auf Zugang zu ihren Daten ein. Sie können also eine Auskunft über ihre gespeicherten Daten und eine Erklärung über deren Verwendung verlangen. Im Falle einer solchen Anfrage müssen die Daten den Bürgern zeitnah zur Verfügung gestellt werden. Um die angeforderten Daten schnell zu identifizieren, können eine Software und ein entsprechender Prozess hilfreich sein. So lassen sich gespeicherte Informationen mit Metadaten versehen, um diese zu indizieren. Unternehmen können die Suche stark vereinfachen, indem sie Stich- und Schlagwörter verwenden. 
  • Minimieren: Jede Datei, die personenbezogene Daten enthält, sollte mit einem Verfallsdatum versehen und, sofern keine gesetzliche Aufbewahrungspflicht besteht, nach einer bestimmten Zeit automatisch gelöscht werden. Auf diese Weise wird sichergestellt, dass insgesamt weniger sensible Daten gespeichert und nur für einen bestimmten Zweck aufbewahrt werden.
  • Schützen: Ransomware-Angriffe haben in den letzten Monaten enorm zugenommen. Daher müssen Unternehmen ein besonderes Augenmerk auf den Schutz persönlicher Daten vor internen und externen Angriffen legen. Eine erfolgreiche Attacke, bei der persönliche Daten abgeflossen sind, muss innerhalb von 72 Stunden an die Datenschutzbehörden gemeldet werden.
  • Überwachen: War ein Cyberangriff erfolgreich, gilt es im nächsten Schritt unverzüglich und eindeutig zu klären, welche Daten betroffen sind. Daher ist eine professionelle Datenmanagementlösung sinnvoll, um komplexe Speicherinfrastrukturen automatisch und dauerhaft auf Unregelmäßigkeiten überprüfen zu lassen. 

Aus einer zentralen Richtlinie lassen sich Maßnahmen ableiten, die sofort und automatisch umgesetzt werden können. Um die verschiedenen Tools an die individuelle IT-Infrastruktur eines Unternehmens anpassen zu können, ist es zudem ratsam, einen Service dafür einzurichten und eine erste Einschätzung der allgemeinen Compliance-Reife durchzuführen. Daraus lassen sich individuelle Risiken ableiten und die dringlichsten Probleme können zuerst adressiert werden.

www.veritas.com/de

Marc Ahlgrim, Digital Transformation Specialist Risk Mitigation und Compliance, GDPR
Marc Ahlgrim
Digital Transformation Specialist Risk Mitigation und Compliance, GDPR, Veritas Technologies

Weitere Artikel

Google Assistant

Sprachassistenten und das Fake-Wake-Phänomen

In einem gemeinsamen Projekt mit einem Forschungsteam der chinesischen Zhejiang Universität in Hangzhou haben Forschende des System Security Lab an der TU Darmstadt das sogenannte „Fake-Wake-Phänomen“ systematisch untersucht. Dieses Phänomen führt bei…
USA EU

Datentransfer in die USA so sicher wie möglich gestalten

Fast alle Unternehmen übermitteln über ihre eingesetzte Software unbemerkt Daten in die USA. Handelt es sich um personenbezogene Daten, bedeutet das häufig einen Verstoß gegen die Datenschutzverordnung.
Smartphone

Deutsche Smartphone-Nutzer legen viel Wert auf Privatsphäreeinstellungen

Anlässlich des Release der neuen iPhone 13-Reihe und der bedeutenden Datenschutz-Offensive von Apple haben die Datenschutzexperten von heyData, der digitalen Plattform für Datenschutzlösungen, eine Untersuchung veröffentlicht, die Aufschluss über die…
Kunden

6 Tipps für die datenschutzkonforme Lead-Generierung

Online-Marketing per E-Mail oder Newsletter wird immer mehr von der Kür zur Pflicht. Ein wichtiges Ziel ist die Lead-Generierung. Doch wer Direktmarketing im Netz betreibt, der sammelt personenbezogene Daten. Und deren Schutz verschärft der Gesetzgeber mehr…
DSGVO

Datenschutz setzt Unternehmen unter Dauerdruck

Ein aufwändiger Prüfprozess vor der Einführung jedes digitalen Tools, regelmäßig neue Entscheidungen der Aufsichtsbehörden und Gerichtsurteile in ganz Europa, die Auswirkungen auf das eigenen Unternehmen haben können – die Anforderungen an den Datenschutz…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.