Anzeige

USA EU

Fast alle Unternehmen übermitteln über ihre eingesetzte Software unbemerkt Daten in die USA. Handelt es sich um personenbezogene Daten, bedeutet das häufig einen Verstoß gegen die Datenschutzverordnung.

Eine Patentlösung gibt es nicht, doch Unternehmen können die Datennutzung zumindest so sicher wie möglich gestalten, erklärt Arnd Fackeldey, Datenschutz-Experte und Referent der TÜV NORD Akademie. 

Praktisch jedes Unternehmen übermittelt in seinem Arbeitsalltag Daten in die USA, sei es über Bürosoftware, Videokonferenzsysteme, Newsletter-Dienste, Webtools oder Cloudlösungen. Auch wenn die Tools zunächst über Server innerhalb der EU laufen, werden doch trotzdem häufig Daten beim Mutterkonzern in den USA gespeichert. Für personenbezogene Daten wie Namen und Postadressen, Mailadressen, Bankdaten, Bestelldaten, etc. ist das jedoch problematisch, denn die USA gelten aus europäischer Sicht als „unsicheres Drittland“.  

Eine generelle Regelung gibt es nicht mehr seit der Europäische Gerichtshof im Juli 2020 urteilte, dass die bis vor einiger Zeit geltenden Abkommen Safe Harbor und Privacy Shield nicht ausreichen.

Auch die überarbeiteten EU-Standardvertragsklauseln, die den Datentransfer in viele andere Länder rechtssicher machen und seit Juni 2021 verfügbar sind, bieten keine pauschale Absicherung für den Datentransfer in die USA – deutsche Unternehmen sollten aus Vorsicht zunächst davon ausgehen, dass amerikanische Unternehmen diese schlicht nicht immer einhalten können. Die überarbeiteten EU-Standardvertragsklauseln verlangen zusätzliche Maßnahmen, wie zum Beispiel Beschreibungen der Übertragungen, der Sicherheitsmaßnahmen und des Umgangs mit Unterauftragsverarbeitern. Wie können Unternehmen ihre Datennutzung daher so sicher wie möglich gestalten? 

Arnd Fackeldey, Datenschutz-Referent der TÜV NORD Akademie und Geschäftsführer von DigiCom Consulting, nennt die wichtigsten Punkte, mit denen sich Unternehmen – neben der Anwendung der überarbeiteten EU-Standardvertragsklauseln – so weit wie möglich absichern können: 

1. Daten verschlüsseln

Indem personenbezogene Daten auf dem Transportweg und bei der Speicherung verschlüsselt werden, können sich Unternehmen zusätzliche Sicherheit verschaffen. Daten sollten am besten stets verschlüsselt sein, um im Ernstfall einen Schaden gering zu halten. Allerdings sind bereits vor der Einführung einer Verschlüsselung mehrere datenschutzrelevante, technische Aspekte zu berücksichtigen, wie z.B. die Robustheit und Stärke des Verschlüsselungsalgorithmus. 

2. Europäische Server nutzen

Die Daten sollten vom Unternehmen selbst nach Möglichkeit nur in europäischen Rechenzentren gespeichert werden, die damit der Datenschutz-Grundverordnung (DSGVO) unterliegen. Eine hundertprozentige Sicherheit bietet dies jedoch nicht, denn oftmals können trotzdem Administratorinnen und Administratoren aus einem unsicheren Drittland darauf zugreifen, Teilmengen von Daten ausgelagert werden oder Back-up-Server in den USA liegen. Daher ist es besonders wichtig, dass sich der Administrationsservice des Rechenzentrums in einem Land mit anerkanntem Datenschutzniveau befindet. 

3. Rechtsmittel ausschöpfen

Werden Auftragsverarbeiter in einem unsicheren Drittstaat wie den USA beauftragt, sollten sich deutsche Unternehmen vergewissern, dass der Dienstleister alle Rechtsmittel ausschöpft, um die Herausgabe personenbezogener Daten an Behörden des Heimatlandes abzuwenden.

4. Alternativen suchen

Manchmal besteht die beste Lösung darin, auf andere Dienste auszuweichen und Alternativen zu dem aktuell genutzten Internetdienst in Betracht zu ziehen, die mehr kosten, dafür aber Rechenzentren in Europa einsetzen.

5. Interne Unternehmensregeln

Konzerne mit Tochtergesellschaften in anderen Ländern haben zudem die Option, interne Unternehmensregeln, sogenannte Binding Corporate Rules (BCR), aufzustellen, die festlegen, dass ausländische Tochtergesellschaften das europäische Datenschutzrecht einhalten müssen. „Das funktioniert wie ein Datenschutz-Schutzschirm“, so Arnd Fackeldey. Auch dieser stoße aber an seine Grenzen, wenn die unternehmensinternen Regeln mit den Regelungen anderer Länder in Konflikt geraten. 

6. Sensibilisierung und Schulung

Alle Mitarbeitenden im Unternehmen, auch wenn sie nicht direkt für die Datensicherheit verantwortlich sind, sollten zum Thema Datenschutz sensibilisiert und geschult werden. Schließlich haben sehr viele Mitarbeiterinnen und Mitarbeiter an irgendeinem Punkt im Arbeitsablauf mit personenbezogenen Daten zu tun. Daher sollte neben dem Schaffen eines generellen Bewusstseins auch eine eingehende Schulung über nationale und internationale Datensicherheit durchgeführt werden. 

„Wenn Unternehmen alle Möglichkeiten ausschöpfen, um für eine maximale Sicherheit zu sorgen, haben sie gute Chancen, den Missbrauch personenbezogener Daten zu vermeiden und nicht ins Visier von Aufsichtsbehörden zu gelangen“, sagt Arnd Fackeldey. Das setze aber voraus, auf dem Laufenden zu bleiben und die internen Regelungen immer wieder zu überprüfen. Fackeldey betont: „Das Thema internationaler Datenschutz ist nichts, was ich heute abschließen kann. Es muss kontinuierlich beobachtet werden, denn es gibt immer wieder neue Entwicklungen und Änderungen.“ Eine hundertprozentige Sicherheit gebe es nicht im internationalen Datenschutz, aber Unternehmen können sich darum bemühen, von Ihnen genutzte Daten so gut wie möglich zu schützen.

www.tuev-nord-group.com
 


Artikel zu diesem Thema

DSGVO
Sep 15, 2021

Datenschutz setzt Unternehmen unter Dauerdruck

Ein aufwändiger Prüfprozess vor der Einführung jedes digitalen Tools, regelmäßig neue…
Datentransfer
Sep 07, 2021

Internationaler Datenverkehr: Deutsche Unternehmen brauchen Rechtssicherheit

In einem gemeinsamen Positionspapier fordern der deutsche Industrieverband SPECTARIS und…
DSGVO
Jul 06, 2021

Drei Jahre DSGVO-Bußgelder: Der Datenschutz hat Zähne bekommen

Anfang 2018 ging ein Gespenst um in Europa: Der neue Rechtsrahmen für den Datenschutz –…

Weitere Artikel

EU Flagge

Die Auswirkungen des Digital Markets Act auf Online-Werbung

Der Connected Commerce Council (3C), eine globale Organisation, die über 1.800 europäische kleine und mittelständische Unternehmen (KMUs) repräsentiert, kritisiert die aktuellen Vorschläge zum Digital Markets Act (DMA). Den momentanen Vorschlägen zufolge wird…
Cyber Security

Fertigung muss im Bereich der Datensicherheit nachbessern

Wie gut ist die verarbeitende Industrie angesichts steigender Cyberbedrohungen wie gezielten Ransomware-Attacken, staatlich unterstützten Angreifern auf der Suche nach geistigem Eigentum oder böswilligen Insidern aufgestellt?
DSGVO

Automatisierung von Datenschutzpraktiken

Unternehmen sind heute mehr denn je auf Daten und Technologien angewiesen, wenn es gilt Operationen zu skalieren. Aber angesichts der sich ständig weiterentwickelnden rechtlichen Rahmenbedingungen für den Datenschutz ist es eine ganz eigene Herausforderung,…
Google Assistant

Sprachassistenten und das Fake-Wake-Phänomen

In einem gemeinsamen Projekt mit einem Forschungsteam der chinesischen Zhejiang Universität in Hangzhou haben Forschende des System Security Lab an der TU Darmstadt das sogenannte „Fake-Wake-Phänomen“ systematisch untersucht. Dieses Phänomen führt bei…
Smartphone

Deutsche Smartphone-Nutzer legen viel Wert auf Privatsphäreeinstellungen

Anlässlich des Release der neuen iPhone 13-Reihe und der bedeutenden Datenschutz-Offensive von Apple haben die Datenschutzexperten von heyData, der digitalen Plattform für Datenschutzlösungen, eine Untersuchung veröffentlicht, die Aufschluss über die…
Kunden

6 Tipps für die datenschutzkonforme Lead-Generierung

Online-Marketing per E-Mail oder Newsletter wird immer mehr von der Kür zur Pflicht. Ein wichtiges Ziel ist die Lead-Generierung. Doch wer Direktmarketing im Netz betreibt, der sammelt personenbezogene Daten. Und deren Schutz verschärft der Gesetzgeber mehr…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.