Externe Dienstleister begleiten den Prozess und zeigen neue Lösungen auf
Ulm (jm).
Ob Maschinenbauunternehmen, Automobilzulieferer, Energieversorger oder auch Dienstleister jeglicher Art: Firmen aus allen Branchen sind vom Urteil des Europäischen Gerichtshofes zu Privacy Shield betroffen. Seit dem Nein aus Luxemburg ist der Transfer von Personendaten in die USA auf Basis des bisherigen Datenschutzabkommens illegal. Und auch für die Verwendung der alternativen EU-Standard-Vertragsklauseln haben die Richter hohe Hürden aufgestellt. Das hat weitreichende Folgen für die digitalen Geschäftsabläufe: Denn jedem Unternehmen, das zum Beispiel cloudbasierte Dienste wie Microsoft 365, Dropbox, Google oder auch das beliebte CRM-System Salesforce einsetzt, droht ein Datenschutzproblem. Immer dann eben, wenn personenbezogene Daten wie die Daten von Kunden, Mitarbeitern, Lieferanten oder Geschäftspartnern auf Servern außerhalb der EU liegen und die Verträge auf Basis des bisherigen Privacy-Shield-Abkommens oder der EU-Standard-Vertragsklauseln abgeschlossen wurden.
„Augen zu und Wegducken hilft da nicht. Das Problem ist da und die Unternehmen müssen sich dem stellen. Aussitzen ist keine gute Idee, denn es drohen hohe Bußgelder“, sagt Andreas Zeller von der ditis Systeme in Ulm, einem auf Datenschutz und IT-Sicherheit spezialisierten Unternehmen des Voith-Konzerns.
Zellers Tipp an die Unternehmerschaft: „Jetzt ist es höchste Zeit, die eigenen Prozesse zu durchleuchten. Der erste Schritt ist dabei die Bestandsaufnahme. Hier gilt es zu ermitteln, ob überhaupt ein Problem vorliegt oder nicht.“ Zunächst müssen dabei alle relevanten Prozesse identifiziert und geklärt werden, mit welchen US-Firmen und anderen Unternehmen außerhalb der EU überhaupt ein Transfer von personenbezogenen Daten stattfindet. Im Anschluss daran wird die Rechtsgrundlage des Austausches geprüft – erfolgt dieser auf Basis von Privacy Shield, müssen neue Verträge abgeschlossen oder Alternativen gesucht werden.
„Die beste Alternative sind aktuell die so genannten EU-Standardvertragsklauseln“, sagt Zeller. Diese gelten bereits seit 2010 und waren viele Jahre lang das Mittel zur Legitimierung von Datentransfers mit Drittländern. Jedoch können auch diese nach dem Urteil nicht mehr ohne ergänzende Maßnahmen eingesetzt werden. Erweiterte Vorgaben der Aufsichtsbehörden zum Datenschutz sind zu beachten. Zudem gibt es mehrere Varianten der EU-Standard-Vertragsklauseln und es ist entscheidend, für jeden Einsatzzweck die richtige Vorlage zu wählen.
Hilfe von Experten
Für die Analyse rät Zeller Unternehmen deshalb, sich Unterstützung von Experten zu holen. „Spezialisierte Datenschutzdienstleister kennen sämtliche Vorgaben und sie wissen auch, wo die Fallstricke liegen. Wer auf Nummer sicher gehen will, der lässt sich entsprechend beraten. Das gibt Sicherheit und ist die beste Basis für die richtigen Entscheidungen, wenn es um die Alternativen zu Privacy Shield geht“, sagt der ditis-Spezialist. Denn eines sei klar: „Bestehende Verträge müssen mit Sicherheit angepasst werden. Im Einzelfall müssen sogar gänzlich neue Vereinbarungen getroffen werden. Gerade auch international verzweigte Unternehmen mit Niederlassungen oder Geschäftspartnern außerhalb der Europäischen Union stehen vor einer großen Herausforderung, was Datenaustausch und Kommunikation anbelangt“, so Zeller.
Datenschutzexperten wie die Spezialisten von ditis Systeme bieten Beratung, aber auch Schulungen und Leitfäden rund um das Thema der Auswirkungen des EuGH-Urteils auf das Privacy Shield und die EU-Standard-Vertragsklauseln an. Sie begleiten Unternehmen dabei über den kompletten Umstellungsprozess hinweg, decken sämtliche Schwachstellen im Datenschutz auf und suchen nach Alternativen zum EU-US-Abkommen. „Seit das Privacy Shield für ungültig erklärt wurde, bewegen wir uns beim Datentransfer in die USA in einer rechtlichen Grauzone. Einen Königsweg gibt es bislang nicht, deshalb kommt es immer darauf an, für jeden Kunden eine individuelle Lösung zu finden, die aktuelle Entwicklung zu beobachten und entsprechend zu reagieren“, sagt Andreas Zeller.
Prozess angeschoben
Die aktuelle Situation ist unübersichtlich. „Hier ist momentan vieles in Bewegung. Die ersten US-Dienstleister haben bereits auf das EuGH-Urteil reagiert und ihre Datenschutzbestimmungen an die EU-Standard-Vertragsklauseln angepasst. „Da gilt es, den Überblick zu behalten und zu verfolgen, wer von den Dienstleistern schon wie auf die Veränderungen reagiert hat und wie sich das auf die eigene Situation auswirkt“, so Zeller.
Zusätzliche Verschlüsselung der Daten
Bei der Unterzeichnung eines Vertrages nach den EU-Standardvertragsklauseln verpflichtet sich das Partnerunternehmen in Drittländern übrigens, wesentliche Datenschutzvorgaben der EU einzuhalten. Aber Achtung: Je nach Gesetzeslage im Empfängerland, müssen Firmen weitere Schutzmaßnahmen ergreifen. Hierbei kommt es auf den Einzelfall an. So bietet sich laut Zeller zum Beispiel die zusätzliche Verschlüsselung der Personendaten an. Zudem muss regelmäßig geprüft werden, ob die Standardvertragsklauseln von den Unternehmen außerhalb der EU auf Grund dort bestehender Gesetze auch eingehalten werden können.
„Unternehmen stehen jetzt vor der schwierigen Aufgabe, das EuGH-Urteil zu Privacy Shield in die Praxis umzusetzen. Das ist keine einfache Aufgabe, denn auch die Standardvertragsklauseln bringen einige Tücken mit sich. Umso wichtiger ist, dass sich die Verantwortlichen Unterstützung holen. Erfahrene Dienstleister helfen beim Umstellungsprozess und bauen gemeinsam mit den Kunden eine DSGVO-konforme IT-Infrastruktur auf. So haben die Unternehmen den Datenschutz jederzeit im Griff und können sich voll auf ihr Kerngeschäft konzentrieren“, betont Zeller.
Zum Hintergrund:
Im Juli 2020 hat der Europäische Gerichtshof (EuGH) das Datenschutzabkommen Privacy Shield gekippt. Personendaten seien auf US-Servern nicht ausreichend vor dem Zugriff dortiger Behörden geschützt, so das Gericht. Das Urteil stärkt also die Grundrechte europäischer Bürger, bringt vor allem für Unternehmen aber auch große Herausforderungen mit sich. Zugleich haben die Richter auch Vorgaben zu einer gängigen Alternative zu Privacy Shield gemacht – den sogenannten EU-Standardvertragsklauseln.
Über das bisherige EU-US Privacy Shield:
Das Privacy Shield diente dazu, Personendaten von europäischen Bürgern DSGVO-konform an US-Unternehmen übermitteln zu können. Hintergrund war, dass in den Vereinigten Staaten deutlich weniger strenge Datenschutzregeln gelten als in der Europäischen Union. Im Rahmen des Abkommens konnten sich US-Unternehmen für den transatlantischen Datenverkehr zertifizieren lassen. Dabei verpflichteten sie sich dazu, wesentliche datenschutzrechtliche Grundsätze einzuhalten: zum Beispiel, die Daten zu löschen, wenn diese nicht mehr benötigt werden.
Seit Inkrafttreten von Privacy Shield im Jahr 2016 gab es immer wieder Kritik an dem Abkommen. Denn trotz der Vereinbarung konnten US-Behörden aus Gründen der nationalen oder öffentlichen Sicherheit auf die übermittelten personenbezogenen Daten zugreifen.
Über die Standardvertragsklauseln:
Standardvertragsklauseln sind aktuell die am weitesten verbreitete Möglichkeit, den Transfer von Personendaten in die USA und andere Staaten außerhalb der EU zu legitimieren. Sie wurden von der Europäischen Kommission verabschiedet und legen die Grundsätze für den Datentransfer in Drittländer fest. Bei Unterzeichnung verpflichtet sich zum Beispiel ein US-Unternehmen, die im Vertrag enthaltenen Vorgaben zum Datenschutz einzuhalten. Werden die Verträge dabei unverändert verwendet, ist der Datentransfer genehmigungsfrei. Dies gilt auch, wenn sie um weitere Klauseln oder zusätzliche Garantien erweitert werden.
Europäische Unternehmen müssen dabei prüfen, ob die Standradvertragsklauseln und das erforderliche Schutzniveau vom Datenempfänger auf Grund bestehender gesetzlicher Regelungen auch eingehalten werden können. Ist dies nicht der Fall, muss der Austausch umgehend ausgesetzt werden.
Über ditis Systeme:
ditis Systeme – The Security-Company ist ein Unternehmen des Voith-Konzerns und gilt als Kompetenz-Center für Datenschutz und Informationssicherheit. ditis Systeme ist eine Zweigniederlassung der JMV SE & Co. KG und mit ihren Expertenteams nicht nur als Dienstleister für Voith, sondern auch viele weitere global agierende Unternehmen tätig. Das Unternehmen ist seit seiner Gründung im Jahr 1999 konstant gewachsen und zählt heute mit seinen über 130 Mitarbeitenden zu den größten Security- und Datenschutzanbietern in Deutschland. Zu den Kunden zählen namhafte Unternehmen, die Weltmarktführer in ihren Bereichen sind, zum Beispiel im Maschinen- und Anlagenbau, Automotive und Automobilzulieferindustrie, Automatisierungstechnik, Energieerzeugung und Versorgung, Handel sowie Transport und Logistik.
Autorin: Laura Jocham
Bildunterschrift:
Experten wie die ditis Systeme aus Ulm beraten Unternehmen über die Alternativen zum bisherigen Privacy-Shield-Abkommen. Foto: ditis Systeme