Retarus gibt Tipps zur Umsetzung der DSGVO-Vorgaben
Kommunikationsdaten rechtskonform verarbeiten
Der Cloud-Anbieter Retarus will Unternehmen darin unterstützen, Kommunikationsdaten rechtskonform zu verarbeiten und zeigt nachfolgend, welche Faktoren dabei zu berücksichtigen sind.
Laut einer aktuellen Studie der internationalen Anwaltskanzlei DLA Piper ist die Summe der verhängten Bußgelder für Verstöße gegen die EU-Datenschutzgrundverordnung (DSGVO) im letzten Jahr europaweit um 40 Prozent gestiegen. Die Strafen bei Verstößen betragen bis zu 20 Millionen Euro beziehungsweise vier Prozent des weltweiten Umsatzes. Dennoch setzen laut Branchenverband Bitkom erst 20 Prozent der befragten Unternehmen in Deutschland die DSGVO vollständig um. Grund dafür ist unter anderem eine anhaltende Rechtsunsicherheit. Nicht zuletzt trägt auch das Urteil des Europäischen Gerichtshof (EuGH) zum „Privacy Shield“ zur Verwirrung bei. Retarus hat deshalb DSGVO-Tipps speziell für Unternehmen zusammengestellt, die personenbezogene Daten über EU-Grenzen hinweg übertragen.
Zunächst sollen Unternehmen klären, welche personenbezogen Daten sie übertragen. Diese Daten sind jegliche Informationen in Bezug auf eine identifizierte oder identifizierbare natürliche Person, wie Name, Standort, Online-Identifikatoren sowie Fakten über physische, psychische, ökonomische oder soziale Identität. Ein Transfer personenbezogener Daten findet zum Beispiel bei der Korrespondenz via E-Mail, Fax oder SMS statt. Unternehmen müssen folglich klären, welche Daten sie besitzen oder sammeln, wo diese gespeichert sind, wer sie bearbeitet, wohin ein Transfer erfolgt und ob deren Verarbeitung der Rechtsgrundlage entspricht.
Falls Unternehmen IT-Dienstleistungen von US-Unternehmen – etwa großen Hyperscalern – nutzen, sollten sie genau prüfen, ob ihr Datenexport den DSGVO-Anforderungen gerecht ist, zum Beispiel im Bereich E-Mail-Security und -Archivierung.
Im Juli 2020 hat der EuGH die Datenschutzvereinbarung zwischen der EU und den USA „Privacy Shield“ mit sofortiger Wirkung für ungültig erklärt. Die Begründung war, dass EU-Bürger und -Unternehmen nicht ausreichend gegen Datenzugriffe amerikanischer Behörden geschützt sind. Unternehmen sind daher laut Retarus gut beraten, zum Beispiel auf der Website zum Privacy Shield Framework zu prüfen, ob sie mit Unternehmen zusammenarbeiten, die bislang unter den „Privacy Shield“ fielen. Falls ja, sollten sie umgehend klären, ob die Firmen die DSGVO-Anforderungen einhalten.
Laut dem europäischen Datenschutzausschuss EDPB können auch Standardvertragsklauseln (SCCs) und verbindliche Unternehmensregeln (BCRs) nicht ohne Weiteres als Grundlage für einen Datenexport in die USA Verwendung finden. Diese Einschätzung gilt auch für entsprechende Vereinbarungen mit Ländern wie China oder Russland. Gemäß EDBP sind deshalb zusätzliche Maßnahmen notwendig, um die vom EuGH kritisierten Zugriffsrechte von US-Nachrichtendiensten komplett auszuschließen. Dazu gibt es jedoch derzeit nur vorläufige Umsetzungs-Empfehlungen des EDPB. Des Weiteren dürfen Unternehmen gemäß den Sonderregeln aus Artikel 49 DSGVO weiterhin Daten in die USA transferieren, sofern die Bedingungen der Norm erfüllt sind. So ist beispielsweise eine ausdrückliche Einwilligungserklärung der betroffenen Person erforderlich.
Mit dem richtigen Cloud-Dienstleister profitieren Unternehmen standortübergreifend von sicheren, performanten und flexiblen Kommunikationsprozessen. Dabei muss der Datenschutz gemäß DSGVO kein Hindernis sein, wenn Unternehmen bereits bei der Auswahl darauf achten, dass potenziell geeignete Cloud-Dienste den Ansprüchen an Datenschutz und Datensicherheit genügen. Im Idealfall garantieren Dienstleister eine lokale Datenverarbeitung innerhalb der EU, stellen die Verarbeitung in eigenen Rechenzentren auch während Failover oder Wartung sicher und nutzen keine US-Hyperscaler.
Weitere Informationen stehen unter www.retarus.de zur Verfügung.
Lesen Sie mehr zum Thema
