Compliance & Datenschutz
Fünf Tipps zur Umsetzung von DSGVO-Richtlinien
Nur jedes fünfte Unternehmen setzt die Richtlinien der Europäischen Datenschutz-Grundverordnung vollständig um. Obwohl die Bußgelder für Verstöße weiter steigen und der "Privacy Shield" von Europäischen Gerichtshof gekippt wurde. Retarus gibt fünf Tipps, was Unternehmen beachten sollten.
Laut der Studie "DLA Piper GDPR fines and data breach survey: January 2021" der internationalen Anwaltskanzlei DLA Piper ist die Summe der verhängten Bußgelder für Verstöße gegen die Europäische Datenschutz-Grundverordnung (EU-DSGVO) im letzten Jahr europaweit um 40 Prozent gestiegen. Seit dem Inkrafttreten der DSGVO im Mai 2018 wurden in der EU rund 281.000 Verstöße zur Anzeige gebracht. Die Strafen bei Verstößen betragen bis zu 20 Millionen Euro bzw. vier Prozent des weltweiten Umsatzes. Laut der Studie "DS-GVO und Corona – Datenschutzherausforderungen für die Wirtschaft" des Branchenverbands Bitkom setzen allerdings lediglich 20 Prozent der befragten Unternehmen in Deutschland die DSGVO vollständig um. Grund dafür ist unter anderem eine anhaltende Rechtsunsicherheit.
Der Cloud-Anbieter Retarus hat fünf Tipps für Unternehmen zusammengestellt, um personenbezogene Daten über EU-Grenzen hinweg zu übertragen.
1. Klären, welche personenbezogene Daten übertragen werden
Zu personenbezogenen Daten zählen jegliche Informationen in Bezug auf eine identifizierte oder identifizierbare natürliche Person: Name, Standort, Online-Identifikatoren wie etwa IP-Adressen sowie Fakten über physische, psychische, ökonomische oder soziale Identität, auch Faxnummern und E-Mail-Adressen. Solche Daten werden beispielsweise auch bei der Korrespondenz via E-Mail, Fax oder SMS übertragen. Unternehmen müssen deshalb klären, welche Daten sie besitzen oder sammeln, wo diese gespeichert sind, wer sie bearbeitet, wohin sie transferiert werden und ob diese entsprechend der neuen Rechtsgrundlage verarbeitet werden.
2. Werden IT-Dienstleistungen US-amerikanischer Firmen genutzt?
Nutzen Unternehmen IT-Dienstleistungen von US-Unternehmen, wie etwa große Hyperscaler, sollte sie prüfen, ob der Datenexport DSGVO-konform ist. Dies kann zum Beispiel im Bereich E-Mail-Security und -Archievierung stattfinden.
3. Früher vom Privacy Shield geschützte Partner überprüfen
Im Juli 2020 hat der Europäische Gerichtshof den "Privacy Shield", die Datenschutzvereinbarung zwischen der EU und den USA, für ungültig erklärt. Laut dem EuGH werden EU-BürgerInnen und -Unternehmen dadurch nicht ausreichend gegen Datenzugriffe amerikanischer Behörden geschützt. Deshalb sollten Unternehmen überprüfen, ob einer ihrer Partner von der Regeländerung betroffen ist, und gegebenenfalls abklären, ob diese die DSGVO-Anforderungen einhalten.
4. SCCs und BCR prüfen und ergänzen
Laut dem europäischen Datenschutzausschuss EDPB können auch Standardvertragsklauseln (SCCs) und verbindliche Unternehmensregeln (BCRs) nicht ohne Weiteres als Grundlage für einen Datenexport in die USA verwendet werden. Dies gilt auch für entsprechende Vereinbarungen mit Ländern wie China oder Russland. Gemäß EDBP sind deshalb zusätzliche Maßnahmen notwendig, um die vom EuGH kritisierten Zugriffsrechte von US-Nachrichtendiensten komplett auszuschließen. Hierzu gibt es jedoch derzeit nur vorläufige Umsetzungs-Empfehlungen des EDPB. Des Weiteren dürfen Unternehmen gemäß den Sonderregeln aus Artikel 49 der DSGVO weiterhin Daten in die USA transferieren, sofern die Bedingungen der Norm erfüllt sind. So ist beispielsweise eine ausdrückliche Einwilligungserklärung der betroffenen Person erforderlich.
5. Geeignete Cloud-Dienstleister wählen
Nutzen Unternehmen Cloud-Dienste, müssen sie darauf achten, dass diese Datenschutz-Richtlinien der DSGVO einhalten und nicht etwa Daten widerrechtlich in die USA transferieren. Hierfür dienlich ist eine lokale Datenverarbeitung innerhalb der EU und die Verarbeitung in eigenen Rechenzentren auch während Failover oder Wartung.
