Management
© pixabay.com/Elchinator
23.10.2021

Datentransfer in die USA so sicher wie möglich gestalten

Datentransfer in die USA so sicher wie möglich gestalten

Fast alle Unternehmen übermitteln über ihre eingesetzte Software unbemerkt Daten in die USA. Handelt es sich um personenbezogene Daten, bedeutet das häufig einen Verstoß gegen die Datenschutzverordnung. Eine Patentlösung gibt es nicht, doch Unternehmen können die Datennutzung zumindest so sicher wie möglich gestalten, erklärt Arnd Fackeldey, Datenschutz-Experte und Referent der TÜV NORD Akademie.

Praktisch jedes Unternehmen übermittelt in seinem Arbeitsalltag Daten in die USA, sei es über Bürosoftware, Videokonferenzsysteme, Newsletter-Dienste, Webtools oder Cloudlösungen. Auch wenn die Tools zunächst über Server innerhalb der EU laufen, werden doch trotzdem häufig Daten beim Mutterkonzern in den USA gespeichert. Für personenbezogene Daten wie Namen und Postadressen, Mailadressen, Bankdaten, Bestelldaten, etc. ist das jedoch problematisch, denn die USA gelten aus europäischer Sicht als „unsicheres Drittland“.

Eine generelle Regelung gibt es nicht mehr seit der Europäische Gerichtshof im Juli 2020 urteilte, dass die bis vor einiger Zeit geltenden Abkommen Safe Harbor und Privacy Shield nicht ausreichen. Auch die überarbeiteten EU-Standardvertragsklauseln, die den Datentransfer in viele andere Länder rechtssicher machen und seit Juni 2021 verfügbar sind, bieten keine pauschale Absicherung für den Datentransfer in die USA – deutsche Unternehmen sollten aus Vorsicht zunächst davon ausgehen, dass amerikanische Unternehmen diese schlicht nicht immer einhalten können. Die überarbeiteten EU-Standardvertragsklauseln verlangen zusätzliche Maßnahmen, wie zum Beispiel Beschreibungen der Übertragungen, der Sicherheitsmaßnahmen und des Umgangs mit Unterauftragsverarbeitern. Wie können Unternehmen ihre Datennutzung daher so sicher wie möglich gestalten?

Arnd Fackeldey, Datenschutz-Referent der TÜV NORD Akademie und Geschäftsführer von DigiCom Consulting, nennt die wichtigsten Punkte, mit denen sich Unternehmen – neben der Anwendung der überarbeiteten EU-Standardvertragsklauseln – so weit wie möglich absichern können:

© pixabay.com/Thomas Breher
© pixabay.com/Thomas Breher
1. Daten verschlüsseln

Indem personenbezogene Daten auf dem Transportweg und bei der Speicherung verschlüsselt werden, können sich Unternehmen zusätzliche Sicherheit verschaffen. Daten sollten am besten stets verschlüsselt sein, um im Ernstfall einen Schaden gering zu halten. Allerdings sind bereits vor der Einführung einer Verschlüsselung mehrere datenschutzrelevante, technische Aspekte zu berücksichtigen, wie z.B. die Robustheit und Stärke des Verschlüsselungsalgorithmus.

2. Europäische Server nutzen

Die Daten sollten vom Unternehmen selbst nach Möglichkeit nur in europäischen Rechenzentren gespeichert werden, die damit der Datenschutz-Grundverordnung unterliegen. Eine hundertprozentige Sicherheit bietet dies jedoch nicht, denn oftmals können trotzdem Administratorinnen und Administratoren aus einem unsicheren Drittland darauf zugreifen, Teilmengen von Daten ausgelagert werden oder Back-up-Server in den USA liegen. Daher ist es besonders wichtig, dass sich der Administrationsservice des Rechenzentrums in einem Land mit anerkanntem Datenschutzniveau befindet.

3. Rechtsmittel ausschöpfen

Werden Auftragsverarbeiter in einem unsicheren Drittstaat wie den USA beauftragt, sollten sich deutsche Unternehmen vergewissern, dass der Dienstleister alle Rechtsmittel ausschöpft, um die Herausgabe personenbezogener Daten an Behörden des Heimatlandes abzuwenden.

© TÜV Nord
© TÜV Nord
4. Alternativen suchen

Manchmal besteht die beste Lösung darin, auf andere Dienste auszuweichen und Alternativen zu dem aktuell genutzten Internetdienst in Betracht zu ziehen, die mehr kosten, dafür aber Rechenzentren in Europa einsetzen.

5. Interne Unternehmensregeln

Konzerne mit Tochtergesellschaften in anderen Ländern haben zudem die Option, interne Unternehmensregeln, sogenannte Binding Corporate Rules (BCR), aufzustellen, die festlegen, dass ausländische Tochtergesellschaften das europäische Datenschutzrecht einhalten müssen. „Das funktioniert wie ein Datenschutz-Schutzschirm“, so Arnd Fackeldey. Auch dieser stoße aber an seine Grenzen, wenn die unternehmensinternen Regeln mit den Regelungen anderer Länder in Konflikt geraten.

6. Sensibilisierung und Schulung

Alle Mitarbeitenden im Unternehmen, auch wenn sie nicht direkt für die Datensicherheit verantwortlich sind, sollten zum Thema Datenschutz sensibilisiert und geschult werden. Schließlich haben sehr viele Mitarbeiterinnen und Mitarbeiter an irgendeinem Punkt im Arbeitsablauf mit personenbezogenen Daten zu tun. Daher sollte neben dem Schaffen eines generellen Bewusstseins auch eine eingehende Schulung über nationale und internationale Datensicherheit durchgeführt werden.

© pixabay.com/ kalhh
© pixabay.com/ kalhh

„Wenn Unternehmen alle Möglichkeiten ausschöpfen, um für eine maximale Sicherheit zu sorgen, haben sie gute Chancen, den Missbrauch personenbezogener Daten zu vermeiden und nicht ins Visier von Aufsichtsbehörden zu gelangen“, sagt Arnd Fackeldey. Das setze aber voraus, auf dem Laufenden zu bleiben und die internen Regelungen immer wieder zu überprüfen. Fackeldey betont: „Das Thema internationaler Datenschutz ist nichts, was ich heute abschließen kann. Es muss kontinuierlich beobachtet werden, denn es gibt immer wieder neue Entwicklungen und Änderungen.“ Eine hundertprozentige Sicherheit gebe es nicht im internationalen Datenschutz, aber Unternehmen können sich darum bemühen, von Ihnen genutzte Daten so gut wie möglich zu schützen.

Im Rahmen eines eintägigen Webinars „Internationaler Datentransfer“ der TÜV NORD Akademie vermittelt Referent Arnd Fackeldey das aktuelle Grundlagenwissen, um die betrieblichen Strukturen zu hinterfragen, Vertragswerke zu prüfen und die Konformität der Datenverarbeitung feststellen zu können. Dabei werden die neuesten rechtlichen Entwicklungen aufgrund aktueller Rechtsprechung berücksichtigt.

(Quelle: Presseinformation der TÜV Nord Group)

Schlagworte

DatenschutzInternationalesSoftware

Verwandte Artikel

19.12.2024

5 Schritte zu einer effizienteren Planung von Rohrleitungssystemen

Wie innovative Planungsmethoden die Effizienz und Zuverlässigkeit von Rohrleitungssystemen optimieren und somit einen reibungslosen Betrieb sicherstellen.

Konstruktion Planung Planungstools Rohrleitungen Rohrleitungsbau Rohrleitungssysteme Software
Mehr erfahren
Mit dem neuen Import-Assistenten in Lantek Expert ist es möglich, nach Layern in DXF/DWG-Dateien zu filtern und nicht benötigte Geometrien während des Imports zu löschen.
04.12.2024

Mehr Konnektivität und tiefere Echtzeit-Insights in der Blechfertigung

Lantek bringt die Version 44 seiner Software-Suite auf den Markt. Das Update soll Produktionsprozesse mit dem Konzept „Connected. Live. Smart.“ revolutionieren.

Blechfertigung Profilschneiden Rohrschneiden Schneiden Software
Mehr erfahren
Rückblick auf die CADFEM Conference 2024 in Darmstadt mit über 700 Teilnehmern - hier Blick ins Plenum.
17.11.2024

Neue internationale Conference Series zu Digital Engineering

Um sich über die virtuelle Simulation auszutauschen, bietet CADFEM in 2025 eine neue Conference Series an, bei der es unter anderem um Expertenwissen und Best-Practice-Be...

Digital Engineering Digitalisierung Simulation Software
Mehr erfahren
mosaixx, die offene, kollaborative Cloud-Plattform für Industrial Software-as-a-Service (SaaS), war das Highlight des Events.
13.11.2024

KUKA zeigt nahtlose Digitalisierung globaler Industrielandschaften

Nach Gründung der neuen Digitalsparte zeigte KUKA bei seinem ersten Software- und Digital-Event unter dem Motto „KUKA digital_powering your business” sein umfassendes Por...

Automation Automatisierung Digitalisierung Robotik Software Vernetzung
Mehr erfahren
SEAT (Daniel Cortina) und Hexagon (Josh Weiss) beschließen Partnerschaft.
31.10.2024

Beschleunigte Fertigungseffizienz und Industrialisierung neuer Autos

Hexagon hat seine Zusammenarbeit mit dem Automobilhersteller SEAT S.A. ausgeweitet, die auf einer 25-jährigen Partnerschaft mit der Abteilung Manufacturing Intelligence b...

Automobilindustrie Digitalisierung Fertigungsprozesse Prozesssimulation Prüfprozesse Prüftechnik Qualitätssicherung Sensorik Simulation Software
Mehr erfahren