Agnostische Zugangssicherheit
Vorschriften nach Schrems II einhalten
Das Urteil zu Schrems II hat die Datenschutzlandschaft verändert und neue Sicherheitsanforderungen für Unternehmen eingeführt, die Geschäfte in EU machen wollen. In diesem Zusammenhang kann eine Cloud-unabhängige und zugriffsgesteuerte Sicherheitslösung für Unternehmen nützlich sein.
Was ist das Urteil zu Schrems II und welche Auswirkungen hat es? Das Urteil in der Rechtssache Schrems II wurde vom Gerichtshof der Europäischen Union (EuGH) im Juli 2020 erlassen. Mit diesem Urteil wurde der Rahmen des EU-US Privacy Shield für ungültig erklärt, der es Unternehmen ermöglichte, personenbezogene Daten von Nutzern frei zu übermitteln. Der Grund für diese Entscheidung ist, dass das US-Überwachungsgesetz (FISA) keinen angemessenen Schutz oder Rechtsbehelf für Nicht-US-Personen in der EU vorsieht.
Im Wesentlichen zeigte das Urteil zu Schrems II Lücken im Zusammenhang mit der DSGVO und dem Schutz personenbezogener Daten von EU-Bürgern auf. Hintergrund ist, dass Daten unter Umständen an Organisationen außerhalb der EU ausgehändigt werden müssen. Mit der Außerkraftsetzung des Privacy Shield sind Unternehmen nicht mehr vor der Haftung für solche Datenübermittlungen geschützt, und die Bedingungen für die rechtmäßige Übermittlung dieser Daten sind weggefallen.
Stattdessen sollen Unternehmen Schutzmaßnahmen implementieren, welche die Daten angemessen schützen. Diese Entscheidung hat unmittelbare Auswirkungen auf die Nutzung digitaler Services. Die Tatsache, dass die großen Cloud-Anbieter nicht im Europäischen Wirtschaftsraum (EWR) beheimatet sind, wirft gewisse Bedenken hinsichtlich des Zugriffs auf personenbezogene Daten aus der EU auf. Der Europäische Datenschutzausschuss (EDSA) hat zwei unrechtmäßige Anwendungsfälle festgestellt:
- Unzulässiger Anwendungsfall 6: Übermittlung an Anbieter von Cloud-Diensten oder andere Auftragsverarbeiter, die Zugang zu den Daten im Klartext benötigen.
- Unzulässiger Anwendungsfall 7: Fernzugriff auf Daten zu Geschäftszwecken.
Die Verantwortlichen und Vorstände von Unternehmen sind aufgrund der üblichen Praktiken der Cloud-Anbieter einem Haftungsrisiko durch unrechtmäßigen Datenzugriff ausgesetzt.
Empfehlungen des EDSA zur Schließung der Lücken im Datenschutz
Um Defizite im Datenschutz zu schließen, hat der Europäische Datenschutzausschuss (EDSA) Empfehlungen für zusätzliche Maßnahmen in Verbindung mit grundlegenden Garantien ausgesprochen. Diese Empfehlungen geben Organisationen Hinweise auf konkrete Schutzmaßnahmen, um die Einhaltung des EU-Datenschutzniveaus für personenbezogene Daten zu gewährleisten. Die Empfehlungen des EDSA ermöglichen es Organisationen, einen vertrauenswürdigen Datenschutzrahmen für den Datenverkehr zu schaffen, der diesen übergreifenden Grundsätzen folgen sollte:
- Daten aufspüren und klassifizieren: Auf diese Weise kennen Unternehmen ihre Daten und können die entsprechenden Sicherheitsmaßnahmen gemäß der DSGVO umsetzen.
- Schützen vertraulicher Daten in Bewegung und überall dort, wo sie gespeichert sind, mit robuster Verschlüsselung. Die Verschlüsselung des Netzwerkverkehrs und der in der Cloud und in Rechenzentren gespeicherten Daten stellt sicher, dass niemand unkontrolliert die Daten lesen kann.
- Den Zugang zu den Daten kontrollieren, indem die Zugangsberechtigungen getrennt vom Cloud-Anbieter verwaltet werden. Auf diese Weise besitzt das Unternehmen die Schlüssel, nicht der Cloud-Anbieter, und keine Regierung kann auf die Daten zugreifen.
- Vorschriften nach Schrems II einhalten
- Ist agnostische Zugriffssicherheit die richtige Strategie für Schrems II?
Lesen Sie mehr zum Thema
