Management
© pixabay.com/Elchinator
23.10.2021

Datentransfer in die USA so sicher wie möglich gestalten

Datentransfer in die USA so sicher wie möglich gestalten

Fast alle Unternehmen übermitteln über ihre eingesetzte Software unbemerkt Daten in die USA. Handelt es sich um personenbezogene Daten, bedeutet das häufig einen Verstoß gegen die Datenschutzverordnung. Eine Patentlösung gibt es nicht, doch Unternehmen können die Datennutzung zumindest so sicher wie möglich gestalten, erklärt Arnd Fackeldey, Datenschutz-Experte und Referent der TÜV NORD Akademie.

Praktisch jedes Unternehmen übermittelt in seinem Arbeitsalltag Daten in die USA, sei es über Bürosoftware, Videokonferenzsysteme, Newsletter-Dienste, Webtools oder Cloudlösungen. Auch wenn die Tools zunächst über Server innerhalb der EU laufen, werden doch trotzdem häufig Daten beim Mutterkonzern in den USA gespeichert. Für personenbezogene Daten wie Namen und Postadressen, Mailadressen, Bankdaten, Bestelldaten, etc. ist das jedoch problematisch, denn die USA gelten aus europäischer Sicht als „unsicheres Drittland“.

Eine generelle Regelung gibt es nicht mehr seit der Europäische Gerichtshof im Juli 2020 urteilte, dass die bis vor einiger Zeit geltenden Abkommen Safe Harbor und Privacy Shield nicht ausreichen. Auch die überarbeiteten EU-Standardvertragsklauseln, die den Datentransfer in viele andere Länder rechtssicher machen und seit Juni 2021 verfügbar sind, bieten keine pauschale Absicherung für den Datentransfer in die USA – deutsche Unternehmen sollten aus Vorsicht zunächst davon ausgehen, dass amerikanische Unternehmen diese schlicht nicht immer einhalten können. Die überarbeiteten EU-Standardvertragsklauseln verlangen zusätzliche Maßnahmen, wie zum Beispiel Beschreibungen der Übertragungen, der Sicherheitsmaßnahmen und des Umgangs mit Unterauftragsverarbeitern. Wie können Unternehmen ihre Datennutzung daher so sicher wie möglich gestalten?

Arnd Fackeldey, Datenschutz-Referent der TÜV NORD Akademie und Geschäftsführer von DigiCom Consulting, nennt die wichtigsten Punkte, mit denen sich Unternehmen – neben der Anwendung der überarbeiteten EU-Standardvertragsklauseln – so weit wie möglich absichern können:

© pixabay.com/Thomas Breher
© pixabay.com/Thomas Breher
1. Daten verschlüsseln

Indem personenbezogene Daten auf dem Transportweg und bei der Speicherung verschlüsselt werden, können sich Unternehmen zusätzliche Sicherheit verschaffen. Daten sollten am besten stets verschlüsselt sein, um im Ernstfall einen Schaden gering zu halten. Allerdings sind bereits vor der Einführung einer Verschlüsselung mehrere datenschutzrelevante, technische Aspekte zu berücksichtigen, wie z.B. die Robustheit und Stärke des Verschlüsselungsalgorithmus.

2. Europäische Server nutzen

Die Daten sollten vom Unternehmen selbst nach Möglichkeit nur in europäischen Rechenzentren gespeichert werden, die damit der Datenschutz-Grundverordnung unterliegen. Eine hundertprozentige Sicherheit bietet dies jedoch nicht, denn oftmals können trotzdem Administratorinnen und Administratoren aus einem unsicheren Drittland darauf zugreifen, Teilmengen von Daten ausgelagert werden oder Back-up-Server in den USA liegen. Daher ist es besonders wichtig, dass sich der Administrationsservice des Rechenzentrums in einem Land mit anerkanntem Datenschutzniveau befindet.

3. Rechtsmittel ausschöpfen

Werden Auftragsverarbeiter in einem unsicheren Drittstaat wie den USA beauftragt, sollten sich deutsche Unternehmen vergewissern, dass der Dienstleister alle Rechtsmittel ausschöpft, um die Herausgabe personenbezogener Daten an Behörden des Heimatlandes abzuwenden.

© TÜV Nord
© TÜV Nord
4. Alternativen suchen

Manchmal besteht die beste Lösung darin, auf andere Dienste auszuweichen und Alternativen zu dem aktuell genutzten Internetdienst in Betracht zu ziehen, die mehr kosten, dafür aber Rechenzentren in Europa einsetzen.

5. Interne Unternehmensregeln

Konzerne mit Tochtergesellschaften in anderen Ländern haben zudem die Option, interne Unternehmensregeln, sogenannte Binding Corporate Rules (BCR), aufzustellen, die festlegen, dass ausländische Tochtergesellschaften das europäische Datenschutzrecht einhalten müssen. „Das funktioniert wie ein Datenschutz-Schutzschirm“, so Arnd Fackeldey. Auch dieser stoße aber an seine Grenzen, wenn die unternehmensinternen Regeln mit den Regelungen anderer Länder in Konflikt geraten.

6. Sensibilisierung und Schulung

Alle Mitarbeitenden im Unternehmen, auch wenn sie nicht direkt für die Datensicherheit verantwortlich sind, sollten zum Thema Datenschutz sensibilisiert und geschult werden. Schließlich haben sehr viele Mitarbeiterinnen und Mitarbeiter an irgendeinem Punkt im Arbeitsablauf mit personenbezogenen Daten zu tun. Daher sollte neben dem Schaffen eines generellen Bewusstseins auch eine eingehende Schulung über nationale und internationale Datensicherheit durchgeführt werden.

© pixabay.com/ kalhh
© pixabay.com/ kalhh

„Wenn Unternehmen alle Möglichkeiten ausschöpfen, um für eine maximale Sicherheit zu sorgen, haben sie gute Chancen, den Missbrauch personenbezogener Daten zu vermeiden und nicht ins Visier von Aufsichtsbehörden zu gelangen“, sagt Arnd Fackeldey. Das setze aber voraus, auf dem Laufenden zu bleiben und die internen Regelungen immer wieder zu überprüfen. Fackeldey betont: „Das Thema internationaler Datenschutz ist nichts, was ich heute abschließen kann. Es muss kontinuierlich beobachtet werden, denn es gibt immer wieder neue Entwicklungen und Änderungen.“ Eine hundertprozentige Sicherheit gebe es nicht im internationalen Datenschutz, aber Unternehmen können sich darum bemühen, von Ihnen genutzte Daten so gut wie möglich zu schützen.

Im Rahmen eines eintägigen Webinars „Internationaler Datentransfer“ der TÜV NORD Akademie vermittelt Referent Arnd Fackeldey das aktuelle Grundlagenwissen, um die betrieblichen Strukturen zu hinterfragen, Vertragswerke zu prüfen und die Konformität der Datenverarbeitung feststellen zu können. Dabei werden die neuesten rechtlichen Entwicklungen aufgrund aktueller Rechtsprechung berücksichtigt.

(Quelle: Presseinformation der TÜV Nord Group)

Schlagworte

DatenschutzInternationalesSoftware

Verwandte Artikel

29.11.2021

VDMA Robotik + Automation veröffentlicht OPC UA für die Schraubtechnik

Um die interoperable Kommunikation in der Integrated Assembly Solutions-Branche voranzutreiben, hat der Fachverband VDMA Robotik + Automation die erste OPC UA-Spezifikati...

Fügetechnik Internationales Klebtechnik Regelwerke Verbindungstechnik
Mehr erfahren
13.11.2021

Im Homeoffice effektiv und rechtssicher arbeiten

Die vierte Corona-Welle rollt und aufgrund der bevorstehenden Wintermonate ist absehbar: Die Mitarbeitenden vieler Unternehmen werden wieder vermehrt im Homeoffice arbeit...

Corona-Hilfe Corona-Krise Datenschutz DSGVO Rechtssicherheit
Mehr erfahren
26.10.2021

Kooperation ermöglicht Optimierung von Industrieprozessen

Rockell Automation und Ansys kooperieren im digitalen Bereich. Das bietet neue Möglichkeiten, Simulationen zur Verbesserung industrieller Prozesse zu nutzen.

Automatisierung Digitalisierung Prozesstechnik Simulation Software
Mehr erfahren
13.10.2021

Schweißtechnik „made in Germany“ auf der Weldex

Schweißtechnik „made in Germany“ ist in Russland gefragt. Daher zeigen mehrere deutsche Unternehmen vom 12. bis zum 15. Oktober ihre Produkte und Dienstleistungen auf der...

Beschichten Fügen Fügetechnik Internationales Trennen
Mehr erfahren
Schweissen und Schneiden
12.10.2021

Schweißen und Schneiden 2020: Produktion, Importe und Exporte im Zeichen der Pandemie

Der Produktionswert deutscher Schweißtechnik sank im Jahr 2020 um 15,6%. Pandemiebedingt verringerte sich das Bruttoinlandsprodukt der Weltwirtschaft um 3,5%.

Export Exporte Fügetechnik Import Importe Internationales Produktion Statistik Trenntechnik Volkswirtschaft Wirtschaft
Mehr erfahren