Aktuelles, Experten - geschrieben von dp am Dienstag, Januar 26, 2021 21:09 - noch keine Kommentare
Schrems II als Dilemma für KMU
Mit dem Urteil des EuGH wächst der Druck auf KMU
[datensicherheit.de, 21.01.2021] Zum „Europäischen Datenschutztag“ am 28. Januar 2021 wirft Mareike Vogt, Fachexpertin für Datenschutz beim TÜV SÜD, einen Blick auf die größten Herausforderungen, welche das Thema Datenschutz im Jahr 2021 für kleine und mittlere Unternehmen (KMU) bereithält. Vor 40 Jahren sei die europäische Datenschutzkonvention unterzeichnet worden, weshalb jährlich am 28. Januar der „Europäische Datenschutztag“ begangen werde. Der Datenschutz stelle nun Unternehmen weiterhin vor große Herausforderungen: Mit dem Urteil des Europäischen Gerichtshof (EuGH) in Sachen „Schrems II“ wachse der Druck auf KMU, ihre Prozesse und Abläufe neu zu evaluieren und den Regularien der EU-DSGVO anzupassen.

Foto: TÜV SÜD
Mareike Vogt: KMU müssen Prozesse sowie Soft- und Hardware schleunigst anpassen
Nachlässigkeit der Politik stellt jetzt besonders KMU vor große Schwierigkeiten
Die EU-DSGVO gebe vor, dass der Transfer personenbezogener Daten an einen Staat außerhalb von EU/EWR unter anderem nur erlaubt sei, wenn die Zielländer oder -organisationen einen gleichwertigen Datenschutz zur EU-DSGVO garantierten. Diese Anforderung erfüllten beispielsweise die USA nicht, weswegen der „EU Privacy Shield“ vom EuGH in der Klage „Schrems II“ gekippt worden sei.
„Laut vieler Experten war dies bereits abzusehen, seit das Abkommen eingeführt wurde.“ Die Nachlässigkeit der Politik stelle jetzt besonders KMU vor große Schwierigkeiten: „Es gilt, die eigenen Prozesse und die dabei genutzte Soft- und Hardware (beispielsweise Rechenzentren) schleunigst anzupassen.“
KMU mit „as-a-Service“-Diensten müssen Verträge überprüfen
KMU griffen in ihrer täglichen Arbeit meist auf Software-Lösungen und „as-a-Service“-Dienste von größeren, etablierten Anbietern zurück oder sie richteten sich nach den Prozessen und Anforderungen ihrer Kunden. Um sicherzugehen, „dass die verarbeiteten personenbezogenen Daten dem Urteil entsprechend geschützt werden, muss dies nun alles überprüft werden“. Sollten KMU nämlich Standardvertragsklauseln als Garantie mit den Anbietern der Dienste abgeschlossen haben, so könne es sein, dass diese ebenfalls durch „Schrems II“ beeinflusst würden.
Oftmals genügten diese Klauseln nicht zum Schutz der personenbezogenen Daten innerhalb der USA und weitere technische Maßnahmen müssten ergriffen werden. „Hinzu kommt, dass enorm viele Daten, auf den ersten Blick hinter Subdienstleistern versteckt, in die USA fließen oder dort auf Servern lagern, obwohl die Anbieter eigentlich ein europäisches Unternehmen sind oder hier Niederlassungen haben.“ Vogt warnt: Sind die Anbieter nicht in der Lage, sich dem Urteil anzupassen, so seien auch die KMU in der Pflicht, sich sofort nach neuen Lösungen umzusehen oder sogar die Dienste selbst zu stellen, beispielsweise „on premise“, also über eigene Server.
KMU, welche DSGVO nicht nachkommen, drohen Bußgelder und Bloßstellung
Viele KMU seien mit großen Herausforderungen durch „Schrems II“ konfrontiert. „Wer es versäumt, der EU-DSGVO nachzukommen, dem drohen empfindliche Bußgelder und die öffentliche Bloßstellung durch zivile Organisationen, wie zum Beispiel ,NOYB‘, die sich dem Datenschutz verschrieben haben.“ Diese schreckten nicht davor zurück, Unternehmen auch einmal an einen „digitalen Pranger“ zu stellen.
Vielen Firmen mangele es außerdem an entsprechenden Fachkräften, um die Forderungen umzusetzen. Es gebe jedoch einen einfachen Ausweg für die KMU aus diesem Dilemma: „Unabhängige Berater und extern benannte Datenschutzbeauftragte sind zugelassen und entlasten nicht nur das Unternehmen selbst, sondern garantieren zudem eine objektive Bewertung der Sachlage.“ Mit deren Hilfe könnten auch kleine und mittlere Betriebe ohne zu großen Aufwand ihre Systeme und Prozesse an die neue Situation anpassen, empfiehlt Vogt.
Weitere Informationen zum Thema:
edpb EUROPEAN DATA PROTECTION BOARD, 10.11.2020
Adopted -version for public consultations1Recommendations01/2020on measuresthat supplement transfer tools to ensure compliance with the EU level of protection of personal data
noyb
EU-US Transfers Complaint Overview
datensicherheit.de, 01.08.2020
Privacy Shield: Gemeinsame Stellungnahme deutscher Datenschützer / Stellungnahme zur Datenübermittlungen in Drittstaaten nach einschlägigem EuGH-Urteil
datensicherheit.de, 20.07.2020
TeleTrusT: Handlungsempfehlungen nach Aus für Privacy Shield / Stellungnahme des Bundesverbandes IT-Sicherheit e.V. (TeleTrusT) zum Urteil des EuGH
datensicherheit.de, 18.07.2020
Privacy Shield: Tipps für Unternehmen nach EuGH-Urteil / Dr. Martin Pflüger und Dr. Christian Tinnefeld geben Empfehlungen für Unternehmen
Aktuelles, Experten - Feb. 16, 2025 0:45 - noch keine Kommentare
Digitale Infrastrukturen: Redundanz und Resilienz zur Stärkung der Sicherheit in Europa
weitere Beiträge in Experten
- Hamburg als Vorreiter: Bürgerschaft beschloss Lobby-Registergesetz
- DsiN-Talk: Digitale Souveränität und Datenkompetenz in der Diskussion
- BSI und Hamburg vereinbaren Kooperation: Stärkung der Cyber-Sicherheit in Bund und Ländern angestrebt
- Hybridveranstaltung zur Datennutzung und -sicherheit in Justiz und Verwaltung am 28. und 29. April 2025
- Digitale Identitätssicherheit: Fünf Best-Practice-Empfehlungen
Aktuelles, Branche, Studien - Feb. 14, 2025 0:37 - ein Kommentar
Datenschutz-Schulungen: Ein Drittel der Unternehmen versäumt es, Mitarbeitern Aktualisierungen anzubieten
weitere Beiträge in Branche
- Digitale Identitätssicherheit: Fünf Best-Practice-Empfehlungen
- Sichere Authentifizierung: Thales präsentiert neue Lifecycle-Managementlösung für FIDO-Schlüssel
- OT-Geräte: Zwei Drittel der Schwachstellen von Ransomware-Gruppen ausgenutzt
- OT-Sicherheit: Klassischer AirGap-Ansatz ist Illusion
- KRITIS immer öfter im Visier Cyber-Krimineller
Branche, Umfragen - Dez. 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren