Aktuelles, Experten - geschrieben von dp am Dienstag, Januar 26, 2021 21:09 - noch keine Kommentare
Schrems II als Dilemma für KMU
Mit dem Urteil des EuGH wächst der Druck auf KMU
[datensicherheit.de, 21.01.2021] Zum „Europäischen Datenschutztag“ am 28. Januar 2021 wirft Mareike Vogt, Fachexpertin für Datenschutz beim TÜV SÜD, einen Blick auf die größten Herausforderungen, welche das Thema Datenschutz im Jahr 2021 für kleine und mittlere Unternehmen (KMU) bereithält. Vor 40 Jahren sei die europäische Datenschutzkonvention unterzeichnet worden, weshalb jährlich am 28. Januar der „Europäische Datenschutztag“ begangen werde. Der Datenschutz stelle nun Unternehmen weiterhin vor große Herausforderungen: Mit dem Urteil des Europäischen Gerichtshof (EuGH) in Sachen „Schrems II“ wachse der Druck auf KMU, ihre Prozesse und Abläufe neu zu evaluieren und den Regularien der EU-DSGVO anzupassen.
Mareike Vogt: KMU müssen Prozesse sowie Soft- und Hardware schleunigst anpassen
Nachlässigkeit der Politik stellt jetzt besonders KMU vor große Schwierigkeiten
Die EU-DSGVO gebe vor, dass der Transfer personenbezogener Daten an einen Staat außerhalb von EU/EWR unter anderem nur erlaubt sei, wenn die Zielländer oder -organisationen einen gleichwertigen Datenschutz zur EU-DSGVO garantierten. Diese Anforderung erfüllten beispielsweise die USA nicht, weswegen der „EU Privacy Shield“ vom EuGH in der Klage „Schrems II“ gekippt worden sei.
„Laut vieler Experten war dies bereits abzusehen, seit das Abkommen eingeführt wurde.“ Die Nachlässigkeit der Politik stelle jetzt besonders KMU vor große Schwierigkeiten: „Es gilt, die eigenen Prozesse und die dabei genutzte Soft- und Hardware (beispielsweise Rechenzentren) schleunigst anzupassen.“
KMU mit „as-a-Service“-Diensten müssen Verträge überprüfen
KMU griffen in ihrer täglichen Arbeit meist auf Software-Lösungen und „as-a-Service“-Dienste von größeren, etablierten Anbietern zurück oder sie richteten sich nach den Prozessen und Anforderungen ihrer Kunden. Um sicherzugehen, „dass die verarbeiteten personenbezogenen Daten dem Urteil entsprechend geschützt werden, muss dies nun alles überprüft werden“. Sollten KMU nämlich Standardvertragsklauseln als Garantie mit den Anbietern der Dienste abgeschlossen haben, so könne es sein, dass diese ebenfalls durch „Schrems II“ beeinflusst würden.
Oftmals genügten diese Klauseln nicht zum Schutz der personenbezogenen Daten innerhalb der USA und weitere technische Maßnahmen müssten ergriffen werden. „Hinzu kommt, dass enorm viele Daten, auf den ersten Blick hinter Subdienstleistern versteckt, in die USA fließen oder dort auf Servern lagern, obwohl die Anbieter eigentlich ein europäisches Unternehmen sind oder hier Niederlassungen haben.“ Vogt warnt: Sind die Anbieter nicht in der Lage, sich dem Urteil anzupassen, so seien auch die KMU in der Pflicht, sich sofort nach neuen Lösungen umzusehen oder sogar die Dienste selbst zu stellen, beispielsweise „on premise“, also über eigene Server.
KMU, welche DSGVO nicht nachkommen, drohen Bußgelder und Bloßstellung
Viele KMU seien mit großen Herausforderungen durch „Schrems II“ konfrontiert. „Wer es versäumt, der EU-DSGVO nachzukommen, dem drohen empfindliche Bußgelder und die öffentliche Bloßstellung durch zivile Organisationen, wie zum Beispiel ,NOYB‘, die sich dem Datenschutz verschrieben haben.“ Diese schreckten nicht davor zurück, Unternehmen auch einmal an einen „digitalen Pranger“ zu stellen.
Vielen Firmen mangele es außerdem an entsprechenden Fachkräften, um die Forderungen umzusetzen. Es gebe jedoch einen einfachen Ausweg für die KMU aus diesem Dilemma: „Unabhängige Berater und extern benannte Datenschutzbeauftragte sind zugelassen und entlasten nicht nur das Unternehmen selbst, sondern garantieren zudem eine objektive Bewertung der Sachlage.“ Mit deren Hilfe könnten auch kleine und mittlere Betriebe ohne zu großen Aufwand ihre Systeme und Prozesse an die neue Situation anpassen, empfiehlt Vogt.
Weitere Informationen zum Thema:
edpb EUROPEAN DATA PROTECTION BOARD, 10.11.2020
Adopted -version for public consultations1Recommendations01/2020on measuresthat supplement transfer tools to ensure compliance with the EU level of protection of personal data
noyb
EU-US Transfers Complaint Overview
datensicherheit.de, 01.08.2020
Privacy Shield: Gemeinsame Stellungnahme deutscher Datenschützer / Stellungnahme zur Datenübermittlungen in Drittstaaten nach einschlägigem EuGH-Urteil
datensicherheit.de, 20.07.2020
TeleTrusT: Handlungsempfehlungen nach Aus für Privacy Shield / Stellungnahme des Bundesverbandes IT-Sicherheit e.V. (TeleTrusT) zum Urteil des EuGH
datensicherheit.de, 18.07.2020
Privacy Shield: Tipps für Unternehmen nach EuGH-Urteil / Dr. Martin Pflüger und Dr. Christian Tinnefeld geben Empfehlungen für Unternehmen
Aktuelles, Experten - Okt 11, 2024 19:58 - noch keine Kommentare
Cyber Resilience Act der EU verabschiedet – Fraunhofer IEM nimmt Stellung
weitere Beiträge in Experten
- BigBrotherAwards 2024 an Deutsche Bahn, Karl Lauterbach, Sachsens Innenminister, Shein und Temu sowie Technikpaternalismus
- Berechtigtes Interesse: BfDI begrüßt EDSA-Leitlinien
- Incident Response in Industrie-Unternehmen: Online-Veranstaltung am 16. Oktober 2024
- Cyber-Sicherheit industrieller Anlagen: Internationales OT-Grundsatzpapier veröffentlicht
- BKA-II Entscheidung: BfDI begrüßt Klarheit für geplante Modernisierung polizeilicher Computersysteme
Aktuelles, Branche - Okt 10, 2024 19:38 - noch keine Kommentare
Open Source Software – unbestreitbare Vorteile sowie Risiken
weitere Beiträge in Branche
- Kritische Sicherheitslücken im Linux-CUPS-System erfordern umgehende Maßnahmen
- SBOM: Software-Stücklisten laut ONEKEY-Studie noch immer kein Standard in der Industrie
- Präsidentschaftswahlen in den USA 2024: Wahl-Phishing auf dem Vormarsch
- Zunehmende Bedrohung in der digitalen Welt durch Deepfake-Angriffe
- Microsoft-E-Mails: Tausende verschiedener Fälschungen im Umlauf
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren