Ein Jahr nach dem „Schrems II-Urteil“: Die Rechtslage zur Datenübermittlung ist weiterhin unklar

Es ist ein Jahr her, dass der EuGH (Europäischer Gerichtshof) das „Schrems II-Urteil“ erlassen hat, mit dem das Privacy-Shield-Abkommen gekippt wurde. Das Privacy-Shield-Abkommen legitimierte den Transfer personenbezogener Daten zwischen der EU und den USA in Übereinstimmung mit der DSGVO. Mit der jüngsten Veröffentlichung der überarbeiteten EU-Vertragsklauseln stehen Unternehmen nun vor einer zusätzlichen Herausforderung: Sie müssen sicherstellen, dass ihre transatlantischen Datenströme Compliance-konform sind, sonst drohen hohe Bußgelder und unerwünschte Publicity.

Marc Ahlgrim, Digital Transformation Specialist Risk Mitigation und Compliance, GDPR, bei Veritas Technologies

Die globale digitale Wirtschaft ist dezentral aufgebaut: Ein länderübergreifender Datentransfer ist daher alltäglich im Betrieb von Konzernen, Unternehmen und Startups. Cloud-Dienste sowie Kundenservices werden international aufgesetzt und ihre Standorte befinden sich oftmals außerhalb Europas. „Unternehmen, die auf einen Datentransfer über nationale Grenzen hinweg angewiesen sind, müssen sich im Einzelfall absichern, ob der Datenschutz nach Artikel 44 der DSGVO gewährleistet ist“, erklärt Marc Ahlgrim, Digital Transformation Specialist Risk Mitigation und Compliance, GDPR, bei Veritas Technologies.

Unternehmen, die personenbezogene und sensible Daten an Standorte außerhalb der EU übermitteln, müssen sich stetig an die Compliance-Anforderungen anpassen. Es ist daher ratsam, dass Kunden ein automatisiertes Datenmanagement zur Untersuchung und Kategorisierung einführen und eine umfassende Datenschutzkontrolle einbinden. Die nachfolgenden Best-Practices haben sich bewährt, um den Anforderungen gerecht zu werden:

  • Lokalisieren: Zunächst ist es wichtig, den aktuellen Datenstand zu dokumentieren und zu erfassen, wie und wo Daten genutzt, gespeichert und gesichert werden. Dadurch werden die Informationen gemappt und das Unternehmen erhält einen vollständigen Überblick über die Daten sowohl bei deren Entstehung als auch im laufenden Prozess. Dabei sollte vor allem die Cloud einbezogen und überprüft werden, ob das Rechenzentrum des Anbieters in der EU oder in einem Drittland angesiedelt werden kann.
  • Suchen: Die DSGVO und immer häufiger auch andere Nicht-EU-Datenschutzgesetze räumen den Bürgern ein Recht auf Zugang zu ihren Daten ein. Sie können also eine Auskunft über ihre gespeicherten Daten und eine Erklärung über deren Verwendung verlangen. Im Falle einer solchen Anfrage müssen die Daten den Bürgern zeitnah zur Verfügung gestellt werden. Um die angeforderten Daten schnell zu identifizieren, können eine Software und ein entsprechender Prozess hilfreich sein. So lassen sich gespeicherte Informationen mit Metadaten versehen, um diese zu indizieren. Unternehmen können die Suche stark vereinfachen, indem sie Stich- und Schlagwörter verwenden.
  • Minimieren: Jede Datei, die personenbezogene Daten enthält, sollte mit einem Verfallsdatum versehen und, sofern keine gesetzliche Aufbewahrungspflicht besteht, nach einer bestimmten Zeit automatisch gelöscht werden. Auf diese Weise wird sichergestellt, dass insgesamt weniger sensible Daten gespeichert und nur für einen bestimmten Zweck aufbewahrt werden.
  • Schützen: Ransomware-Angriffe haben in den letzten Monaten enorm zugenommen. Daher müssen Unternehmen ein besonderes Augenmerk auf den Schutz persönlicher Daten vor internen und externen Angriffen legen. Eine erfolgreiche Attacke, bei der persönliche Daten abgeflossen sind, muss innerhalb von 72 Stunden an die Datenschutzbehörden gemeldet werden.
  • Überwachen: War ein Cyberangriff erfolgreich, gilt es im nächsten Schritt unverzüglich und eindeutig zu klären, welche Daten betroffen sind. Daher ist eine professionelle Datenmanagementlösung sinnvoll, um komplexe Speicherinfrastrukturen automatisch und dauerhaft auf Unregelmäßigkeiten überprüfen zu lassen.

Aus einer zentralen Richtlinie lassen sich Maßnahmen ableiten, die sofort und automatisch umgesetzt werden können. Um die verschiedenen Tools an die individuelle IT-Infrastruktur eines Unternehmens anpassen zu können, ist es zudem ratsam, einen Service dafür einzurichten und eine erste Einschätzung der allgemeinen Compliance-Reife durchzuführen. Daraus lassen sich individuelle Risiken ableiten und die dringlichsten Probleme können zuerst adressiert werden.

#Veritas