Veritas-Kommentar zu „Schrems II-Urteil"
Die Rechtslage zur Datenübermittlung ist weiterhin unklar
Vor einem Jahr hat der EuGH (Europäischer Gerichtshof) das „Schrems II-Urteil" erlassen, mit dem das Privacy-Shield-Abkommen gekippt ist. Das Privacy-Shield-Abkommen legitimierte den Transfer personenbezogener Daten zwischen der EU und den USA in Übereinstimmung mit der DSGVO. Mit der jüngsten Veröffentlichung der überarbeiteten EU-Vertragsklauseln stehen Unternehmen nun vor einer zusätzlichen Herausforderung: Sie müssen sicherstellen, dass ihre transatlantischen Datenströme Compliance-konform sind, sonst drohen hohe Bußgelder.
Die globale digitale Wirtschaft ist dezentral aufgebaut: Ein länderübergreifender Datentransfer ist daher alltäglich im Betrieb von Konzernen, Unternehmen und Start-ups. Cloud-Dienste sowie Kunden-Services sind international aufgesetzt und ihre Standorte befinden sich oft außerhalb Europas.
Unternehmen, die personenbezogene und sensible Daten an Standorte außerhalb der EU übermitteln, müssen sich stetig an die Compliance-Anforderungen anpassen. Es ist daher ratsam, ein automatisiertes Daten-Management zur Untersuchung und Kategorisierung einzuführen und eine umfassende Datenschutzkontrolle einzubinden. Die nachfolgenden Handlungsempfehlungen haben sich laut Veritas diesbezüglich bewährt:
Lokalisieren: Zunächst ist es wichtig, den aktuellen Datenstand zu dokumentieren und zu erfassen, wie und wo Daten genutzt, gespeichert und gesichert sind. Dadurch erhält das Unternehmen einen vollständigen Überblick über die Daten sowohl bei deren Entstehung als auch im laufenden Prozess. Dabei sollte man vor allem die Cloud einbeziehen und überprüfen, ob das Rechenzentrum des Anbieters in der EU oder in einem Drittland angesiedelt ist.
Suchen: Die DSGVO und immer häufiger auch andere Nicht-EU-Datenschutzgesetze räumen den Bürgern ein Recht auf Zugang zu ihren Daten ein. Sie können also eine Auskunft über ihre gespeicherten Daten und eine Erklärung über deren Verwendung verlangen. Im Falle einer solchen Anfrage müssen die Daten den Bürgern zeitnah zur Verfügung stehen. Um die angeforderten Daten schnell zu identifizieren, können eine Software und ein entsprechender Prozess hilfreich sein. So lassen sich gespeicherte Informationen mit Metadaten versehen, um diese zu indizieren. Unternehmen können die Suche stark vereinfachen, indem sie Stich- und Schlagwörter verwenden.
Minimieren: Jede Datei, die personenbezogene Daten enthält, sollte mit einem Verfallsdatum versehen sein. Außerdem sollte nach einer bestimmten Zeit die automatische Löschung erfolgen sofern keine gesetzliche Aufbewahrungspflicht besteht.
Schützen: Ransomware-Angriffe haben in den letzten Monaten enorm zugenommen. Daher müssen Unternehmen ein besonderes Augenmerk auf den Schutz persönlicher Daten vor internen und externen Angriffen legen. Eine erfolgreiche Attacke, bei der persönliche Daten abgeflossen sind, muss man innerhalb von 72 Stunden an die Datenschutzbehörden melden.
Überwachen: War ein Cyberangriff erfolgreich, gilt es im nächsten Schritt unverzüglich und eindeutig zu klären, welche Daten betroffen sind. Daher ist eine professionelle Daten-Management-Lösung sinnvoll, um komplexe Speicherinfrastrukturen automatisch und dauerhaft auf Unregelmäßigkeiten überprüfen zu lassen.
Lesen Sie mehr zum Thema
