Aktuelles, Experten - geschrieben von dp am Freitag, November 4, 2016 22:27 - noch keine Kommentare
Grenzüberschreitender Datenverkehr: Datenschutzbehörden starten Prüfaktion
Kontrollierte Unternehmen sollen angeben, auf welcher datenschutzrechtlichen Grundlage Übermittlungen erfolgen
[datensicherheit.de, 04.11.2016] Gemeinsam mit neun anderen deutschen Datenschutzaufsichtsbehörden nimmt die Landesbeauftragte für den Datenschutz Niedersachsen nach eigenen Angaben den Einsatz von „Cloud Computing“ und andere Übermittlungen personenbezogener Daten in das Nicht-EU-Ausland in den Fokus. Die Anfang November 2016 beginnende Schwerpunktprüfung soll insbesondere die Unternehmen dafür sensibilisieren, dass durch den Einsatz vieler gängiger IT-Anwendungen eine Datenübermittlung in Drittländer stattfindet, was einer gesonderten Rechtsgrundlage bedarf.
Grenzüberschreitende Übermittlungen personenbezogener Daten als Regelfall
In den letzten Jahren seien grenzüberschreitende Übermittlungen von personenbezogenen Daten in der Privatwirtschaft eher die Regel als die Ausnahme gewesen. Zu den Ursachen dieser Entwicklung zählten die wirtschaftliche Globalisierung wie auch die stetige Ausbreitung von Dienstleistungen und Produkten des „Cloud Computing“.
Selbst viele kleinere und mittlere Unternehmen (KMU) in Deutschland verarbeiteten inzwischen zahlreiche personenbezogene Daten (z.B. von Kunden, Mitarbeitern oder Bewerbern) häufig auf Servern externer Dienstleister, oft außerhalb der Europäischen Union (EU). Dies sei vor allem bei Angeboten wie „Software as a Service“ der Fall. Ein klassisches Beispiel hierfür seien Office-Anwendungen „aus dem Internet“, die standortunabhängig und flexibel genutzt werden könnten.
Dienste stammen oft von US-Unternehmen
Viele dieser Dienste stammten von US-Unternehmen und setzten deshalb meist die Übermittlung personenbezogener Daten in die USA und/oder in andere Nicht-EU-Staaten voraus.
Die bisherige Erfahrung der Datenschutzaufsichtsbehörden zeige, dass sich Unternehmen bei Nutzung solcher Produkte nicht immer der Tatsache bewusst seien, dass dadurch eine Übermittlung personenbezogener Daten in Nicht-EU-Staaten stattfinde und entsprechende datenschutzrechtliche Konsequenzen daraus resultierten.
Daten auch nach Übermittlung angemessen schützen!
Möchte ein Unternehmen personenbezogene Daten in Länder außerhalb der EU übermitteln, so müsse es zuerst prüfen, ob überhaupt sichergestellt werden kann, dass die Daten auch nach der Übermittlung noch angemessen geschützt bleiben – andernfalls müsse die Übermittlung unterbleiben. Entscheidend sei daher, im Unternehmen frühzeitig eine Sensibilisierung dafür zu erzeugen, ob und ggf. im Rahmen welcher Verarbeitungen das Unternehmen personenbezogene Daten in Nicht-EU-Staaten übermitteln möchte oder vielleicht sogar bereits übermittelt.
Finden solche Übermittlungen statt, so müsse sich das Unternehmen zwingend Gedanken machen, inwieweit diese auf eine datenschutzrechtliche Grundlage gestützt werden können oder nicht.
10 deutsche Datenschutzaufsichtsbehörden starten Prüfaktion
Vor diesem Hintergrund werden nun zehn deutsche Datenschutzaufsichtsbehörden (Bayern, Berlin, Bremen, Hamburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland und Sachsen-Anhalt) in den nächsten Wochen
eine koordinierte schriftliche Prüfungsaktion zur Abfrage von Übermittlungen personenbezogener Daten durch nicht-öffentliche Stellen, d.h. insbesondere Unternehmen, in Nicht-EU-Staaten durchführen.
Im Rahmen der Prüfung werden demnach rund 500 nach dem Zufallsprinzip ausgewählte Unternehmen angeschrieben. Die Aufsichtsbehörden haben dabei nach eigenen Angaben Wert darauf gelegt, Unternehmen unterschiedlicher Größenordnungen und verschiedener Branchen einzubeziehen. Ein wichtiges Ziel der Prüfung liege in der Sensibilisierung der Unternehmen für Datenübermittlungen in Länder außerhalb der EU. Um Unternehmen das Auffinden solcher Übermittlungen zu erleichtern, werde auch gezielt nach dem Einsatz von Produkten und Leistungen externer Anbieter gefragt, die – nach bisherigen Erfahrungen der Aufsichtsbehörden – mit einer Übermittlung personenbezogener Daten in Nicht-EU-Staaten verbunden seien.
Gefragt werde zum Beispiel nach der Inanspruchnahme externer Leistungen und Produkte in Bereichen wie Fernwartung, Support, Ticketing-Bearbeitung, aber auch „Customer Relationship Management“ oder Bewerbermanagement. Die Unternehmen würden dann aufgefordert, die entsprechenden von ihnen genutzten Dienstleistungen und Produkte konkret zu nennen.
Sofern personenbezogene Daten in Nicht-EU-Staaten übermittelt werden, seien die kontrollierten Unternehmen darüber hinaus aufgefordert anzugeben, auf welcher datenschutzrechtlichen Grundlage die Übermittlungen erfolgen. Mitgeteilt werden müsse beispielsweise, ob für das Zielland durch Beschluss der Europäischen Kommission ein angemessenes Datenschutzniveau anerkannt ist (dazu zähle auch „EU-U.S. Privacy Shield“), ob Standardvertragsklauseln als Grundlage verwendet werden, ob die Übermittlungen auf Einwilligungen der Betroffenen gestützt werden o.a.
Jedes Unternehmen müsse ein vollständiges Bild über seine internationalen Datentransfers haben, so Barbara Thiel, LfD Niedersachsen. „Die Sicherstellung der datenschutzrechtlichen Anforderungen sollte deshalb integraler Bestandteil der Compliance sein“, fordert Thiel.
Aktuelles, Experten, Studien - Mai 1, 2025 0:27 - noch keine Kommentare
Chip-Industrie: Silicon Saxony positioniert sich zum Sonderbericht des Europäischen Rechnungshofes
weitere Beiträge in Experten
- DENIC-Generalversammlung 2025: Aufsichtsratsvorsitzender und neues Gesicht ins Gremium gewählt
- eco-Gratulation an Digitalminister – und „Top Five Agenda“ zur Wegleitung
- Bitkom-Glückwünsche an neuen Digitalminister
- E-Rechnungspflicht als Herausforderung: Digitalisierung von Geschäftsprozessen eröffnet neue Angriffsflächen
- Website-Tracking durch Drittdienste: In 185 von 1.000 Fällen Nachbesserung erforderlich
Aktuelles, Experten, Personalien - Mai 1, 2025 0:16 - noch keine Kommentare
DENIC-Generalversammlung 2025: Aufsichtsratsvorsitzender und neues Gesicht ins Gremium gewählt
weitere Beiträge in Branche
- Cyberrisiken im Wassersektor: Modernisierung und Segmentierung bieten Schutz
- 65 Prozent der deutschen Unternehmen erleben Cybersecurity-Vorfälle aufgrund nicht verwalteter Assets
- KI kann Kriminalität revolutionieren: Passfälschung in Minuten
- KI verändert Datenschutz in Europa: Spannungsfeld zwischen Fortschritt und Risiko
- Kritische Geschäftsabläufe: KI-gesteuerte Cyber-Angriffe nehmen zu
Branche, Umfragen - Dez. 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren