Contact
QR code for the current URL

Story Box-ID: 1079745

TÜV NORD Akademie GmbH & Co. KG Große Bahnstraße 31 22525 Hamburg, Germany http://www.tuevnordakademie.de
Contact Ms Annika Burchard +49 201 8251421

Datentransfer in die USA so sicher wie möglich gestalten

Fast alle Unternehmen übermitteln über ihre eingesetzte Software unbemerkt Daten in die USA.

(PresseBox) (Hamburg, )
Handelt es sich um personenbezogene Daten, bedeutet das häufig einen Verstoß gegen die Datenschutzverordnung. Eine Patentlösung gibt es nicht, doch Unternehmen können die Datennutzung zumindest so sicher wie möglich gestalten, erklärt Arnd Fackeldey, Datenschutz-Experte und Referent der TÜV NORD Akademie.

Praktisch jedes Unternehmen übermittelt in seinem Arbeitsalltag Daten in die USA, sei es über Bürosoftware, Videokonferenzsysteme, Newsletter-Dienste, Webtools oder Cloudlösungen. Auch wenn die Tools zunächst über Server innerhalb der EU laufen, werden doch trotzdem häufig Daten beim Mutterkonzern in den USA gespeichert. Für personenbezogene Daten wie Namen und Postadressen, Mailadressen, Bankdaten, Bestelldaten, etc. ist das jedoch problematisch, denn die USA gelten aus europäischer Sicht als „unsicheres Drittland“.

Eine generelle Regelung gibt es nicht mehr seit der Europäische Gerichtshof im Juli 2020 urteilte, dass die bis vor einiger Zeit geltenden Abkommen Safe Harbor und Privacy Shield nicht ausreichen.

Auch die überarbeiteten EU-Standardvertragsklauseln, die den Datentransfer in viele andere Länder rechtssicher machen und seit Juni 2021 verfügbar sind, bieten keine pauschale Absicherung für den Datentransfer in die USA – deutsche Unternehmen sollten aus Vorsicht zunächst davon ausgehen, dass amerikanische Unternehmen diese schlicht nicht immer einhalten können. Die überarbeiteten EU-Standardvertragsklauseln verlangen zusätzliche Maßnahmen, wie zum Beispiel Beschreibungen der Übertragungen, der Sicherheitsmaßnahmen und des Umgangs mit Unterauftragsverarbeitern. Wie können Unternehmen ihre Datennutzung daher so sicher wie möglich gestalten?

Arnd Fackeldey, Datenschutz-Referent der TÜV NORD Akademie und Geschäftsführer von DigiCom Consulting, nennt die wichtigsten Punkte, mit denen sich Unternehmen – neben der Anwendung der überarbeiteten EU-Standardvertragsklauseln – so weit wie möglich absichern können:

1. Daten verschlüsseln

Indem personenbezogene Daten auf dem Transportweg und bei der Speicherung verschlüsselt werden, können sich Unternehmen zusätzliche Sicherheit verschaffen. Daten sollten am besten stets verschlüsselt sein, um im Ernstfall einen Schaden gering zu halten. Allerdings sind bereits vor der Einführung einer Verschlüsselung mehrere datenschutzrelevante, technische Aspekte zu berücksichtigen, wie z.B. die Robustheit und Stärke des Verschlüsselungsalgorithmus.

2. Europäische Server nutzen

Die Daten sollten vom Unternehmen selbst nach Möglichkeit nur in europäischen Rechenzentren gespeichert werden, die damit der Datenschutz-Grundverordnung unterliegen. Eine hundertprozentige Sicherheit bietet dies jedoch nicht, denn oftmals können trotzdem Administratorinnen und Administratoren aus einem unsicheren Drittland darauf zugreifen, Teilmengen von Daten ausgelagert werden oder Back-up-Server in den USA liegen. Daher ist es besonders wichtig, dass sich der Administrationsservice des Rechenzentrums in einem Land mit anerkanntem Datenschutzniveau befindet.

3. Rechtsmittel ausschöpfen

Werden Auftragsverarbeiter in einem unsicheren Drittstaat wie den USA beauftragt, sollten sich deutsche Unternehmen vergewissern, dass der Dienstleister alle Rechtsmittel ausschöpft, um die Herausgabe personenbezogener Daten an Behörden des Heimatlandes abzuwenden.

4. Alternativen suchen

Manchmal besteht die beste Lösung darin, auf andere Dienste auszuweichen und Alternativen zu dem aktuell genutzten Internetdienst in Betracht zu ziehen, die mehr kosten, dafür aber Rechenzentren in Europa einsetzen.

5. Interne Unternehmensregeln

Konzerne mit Tochtergesellschaften in anderen Ländern haben zudem die Option, interne Unternehmensregeln, sogenannte Binding Corporate Rules (BCR), aufzustellen, die festlegen, dass ausländische Tochtergesellschaften das europäische Datenschutzrecht einhalten müssen. „Das funktioniert wie ein Datenschutz-Schutzschirm“, so Arnd Fackeldey. Auch dieser stoße aber an seine Grenzen, wenn die unternehmensinternen Regeln mit den Regelungen anderer Länder in Konflikt geraten.

6. Sensibilisierung und Schulung

Alle Mitarbeitenden im Unternehmen, auch wenn sie nicht direkt für die Datensicherheit verantwortlich sind, sollten zum Thema Datenschutz sensibilisiert und geschult werden. Schließlich haben sehr viele Mitarbeiterinnen und Mitarbeiter an irgendeinem Punkt im Arbeitsablauf mit personenbezogenen Daten zu tun. Daher sollte neben dem Schaffen eines generellen Bewusstseins auch eine eingehende Schulung über nationale und internationale Datensicherheit durchgeführt werden.

„Wenn Unternehmen alle Möglichkeiten ausschöpfen, um für eine maximale Sicherheit zu sorgen, haben sie gute Chancen, den Missbrauch personenbezogener Daten zu vermeiden und nicht ins Visier von Aufsichtsbehörden zu gelangen“, sagt Arnd Fackeldey.Das setze aber voraus, auf dem Laufenden zu bleiben und die internen Regelungen immer wieder zu überprüfen. Fackeldey betont: „Das Thema internationaler Datenschutz ist nichts, was ich heute abschließen kann. Es muss kontinuierlich beobachtet werden, denn es gibt immer wieder neue Entwicklungen und Änderungen.“ Eine hundertprozentige Sicherheit gebe es nicht im internationalen Datenschutz, aber Unternehmen können sich darum bemühen, von Ihnen genutzte Daten so gut wie möglich zu schützen.

Im Rahmen des eintägigen Webinars „Internationaler Datentransfer“ der TÜV NORD Akademie vermittelt Referent Arnd Fackeldey das aktuelle Grundlagenwissen, um die betrieblichen Strukturen zu hinterfragen, Vertragswerke zu prüfen und die Konformität der Datenverarbeitung feststellen zu können. Dabei werden die neuesten rechtlichen Entwicklungen aufgrund aktueller Rechtsprechung berücksichtigt. Mehr unter: https://www.tuev-nord.de/de/weiterbildung/seminare/webinar-internationaler-datentransfer-gem-art-44-ff-dsgvo-a/

Mehr Informationen über den internationalen Datentransfer zum einen innerhalb der EU, zum anderen in weitere Drittländer finden Interessierte im Wissensportal der TÜV NORD Akademie: https://www.tuev-nord.de/de/unternehmen/bildung/wissen-kompakt/datenschutz/internationaler-datenschutz-tipps/

TÜV NORD Akademie GmbH & Co. KG

Seit über 35 Jahren bildet die TÜV NORD Akademie Fach- und Führungskräfte für die unterschiedlichsten Unternehmen, Wirtschafts- und Aufgabenbereiche aus. Als eines der großen Weiterbildungsunternehmen in Deutschland bieten wir ein umfangreiches Schulungsangebot in zeitgemäßen Lernformen - digital und präsent.

Die TÜV NORD Akademie ist ein Unternehmen der TÜV NORD GROUP, die seit über 150 Jahren weltweit für Sicherheit und Vertrauen steht. Als Wissensunternehmen haben wir die digitale Zukunft fest im Blick.

www.tuevnordakademie.de

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.
Important note:

Systematic data storage as well as the use of even parts of this database are only permitted with the written consent of unn | UNITED NEWS NETWORK GmbH.

unn | UNITED NEWS NETWORK GmbH 2002–2024, All rights reserved

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.