[datensicherheit.de. 04.06.2021] Laut dem Branchenverband Bitkom hat die EU-Kommission am 4. Juni 2021 neue Standarddatenschutzklauseln vorgelegt, „die internationale Datentransfers rechtssicherer machen sollen“. Hintergrund sei das Urteil des Europäischen Gerichtshofs (EuGH) aus dem Sommer 2020, welches das „Privacy Shield“, das den Datenaustausch zwischen der EU und den USA geregelt habe, „für ungültig erklärt hat und mit dem zusätzliche Vorgaben für internationale Datentransfers aufgestellt wurden“. Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung, nimmt Stellung zu den neuen Standarddatenschutzklauseln:

Bitkom: Neue Klauseln lösen jedoch Problematik der Einzelfallprüfung nicht

„Die EU will mit den neuen Standarddatenschutzklauseln mehr Rechtssicherheit für Unternehmen mit einer Datenverarbeitung in den USA oder anderen Drittstaaten schaffen. Das ist ein richtiger Schritt“, betont Dehmel.
Für global tätige Unternehmen sei es entscheidend, dass sie ihre Geschäftsprozesse und Datenströme rechtssicher abwickeln könnten. Die neuen Klauseln lösten jedoch die Problematik der Einzelfallprüfung nicht.

Bitkom warnt vor Überforderung der Unternehmen

Dehmel gibt zu bedenken: „Zugleich stehen Unternehmen nun vor einen riesigen Umstellungsaufwand, ohne dass ihnen erspart wird, die Datenflüsse in die sogenannten Drittstaaten in jedem Einzelfall zu bewerten.“
Dazu kämen weiter Unklarheiten in den neuen Regelungen: „So sollen die Unternehmen zusätzliche Schutzmaßnahmen implementieren, um die Datenströme abzusichern – welche das genau sein sollen bleibt aber der internen Bewertung überlassen.“ Dies könnten viele Unternehmen kaum stemmen.

Bewertung des Datenschutzniveaus in anderen Ländern laut Bitkom hochkomplexe Aufgabe

Die Bewertung des Datenschutzniveaus in anderen Ländern sei eine hochkomplexe Aufgabe, die Umstellung von technischen Maßnahmen durch die heute vernetzt arbeitende Wirtschaft mit großem Aufwand verbunden. Dehmel fordert: „Wir brauchen politische Lösungen für den Drittstaatentransfer – nicht nur für den essenziellen Datenaustausch zwischen den USA und der EU.“
Für die Zukunft werde es entscheidend sein, dass mehr grundsätzliche sogenannte Adäquanzentscheidungen für wichtige Drittstaaten den Datenaustausch dauerhaft absicherten und die Unternehmen von der Einzelfallprüfung befreiten.

Bitkom-Klarstellung: Datenverarbeitung allein nur in Europa technisch und praktisch kaum umsetzbar

Die häufig genannte Forderung, Daten einfach ausschließlich in Europa zu verarbeiten, sei dabei keine Lösung. „Sie ist sowohl technisch als auch praktisch kaum umsetzbar“, so Dehmel. Vor allem für länderübergreifend oder global agierende Unternehmen und Organisationen mit Standorten in verschiedenen Regionen sei der Datenaustausch für die tägliche Arbeit essenziell.
„Europäische Unternehmen aus dem Gesundheitsbereich mit Forschungszentren in den USA oder Indien sind davon genauso betroffen wie IT-Unternehmen, die den 24h-Support global und damit über alle Zeitzonen absichern“, erläutert Dehmel.

Weitere Informationen zum Thema:

bitkom, Rebekka Weiß
Positionspapier / Verbändebrief zum Erhalt des internationalen Datentransfers nach Schrems II

datensicherheit.de, 18.07.2020
Privacy Shield: Tipps für Unternehmen nach EuGH-Urteil / Dr. Martin Pflüger und Dr. Christian Tinnefeld geben Empfehlungen für Unternehmen

datensicherheit.de, 16.07.2020
EuGH-Entscheidung: Privacy Shield suspendiert / Umetikettierung des Vorgängerinstruments des Privacy Shield – Safe Harbor – mit nur marginalen Verbesserungen führte zu keinem Umdenken der Regierung der USA

[datensicherheit.de, 02.06.2021] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) geht in seiner aktuellen Stellungnahme auf die länderübergreifende Kontrolle der Datenschutzaufsichtsbehörden von Unternehmen zur Umsetzung der „Schrems II“-Entscheidung des Europäischen Gerichtshofs (EuGH) ein. Angesichts der Betroffenheit vieler Unternehmen lasse sich ein einheitlicher Vollzug dabei nur sehr schwer herstellen – aber die Augen zu verschließen sei keine Lösung.

HmbBfDI

Prof. Dr. Johannes Caspar: Schlüssel für Grundrecht Informationeller Selbstbestimmung in den Empfängerstaaten

Anforderungen laut EuGH-Entscheidung Schrems II vom 16. Juli 2020

Im Rahmen einer länderübergreifenden Kontrolle werden demnach Datenübermittlungen durch Unternehmen in Staaten außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (Drittstaaten) überprüft. Das Ziel sei die breite Durchsetzung der Anforderungen des EuGH in seiner „Schrems II“-Entscheidung vom 16. Juli 2020 (Rs. C-311/18).
Darin habe das Gericht festgestellt, dass Übermittlungen in die USA nicht länger auf Basis des sogenannten „Privacy Shield“ erfolgen könnten. Der Einsatz der sogenannten Standarddatenschutzklauseln für Datenübermittlungen in Drittstaaten sei ferner nur noch unter Verwendung wirksamer zusätzlicher Maßnahmen ausreichend, „wenn die Prüfung des Verantwortlichen ergeben hat, dass im Empfängerstaat kein gleichwertiges Schutzniveau für die personenbezogenen Daten gewährleistet werden kann“.

Behörden müssen nach Schrems II unzulässige Transfers aussetzen oder verbieten

Dieses Urteil des EuGH erfordere in vielen Fällen eine grundlegende Umstellung lange praktizierter Geschäftsmodelle und -abläufe. „Die an der Kontrolle teilnehmenden Behörden schreiben nun die jeweils ausgewählten Unternehmen auf der Basis eines gemeinsamen Fragenkatalogs an.“ Dabei werde es unter anderem um den Einsatz von Dienstleistern zum E-Mail-Versand, zum Hosting von Internetseiten, zum Webtracking, zur Verwaltung von Bewerberdaten und um den konzerninternen Austausch von Kundendaten und Daten der Beschäftigten gehen.
Jede Aufsichtsbehörde entscheide individuell, in welchen dieser Themenfelder sie tätig wird. Der Gerichtshof habe seine Erwartung klar formuliert, dass die Behörden unzulässige Transfers „aussetzen oder verbieten“. Das Aussetzen einer Übermittlung könne voraussichtlich in vielen Fällen im kooperativen Dialog mit den Unternehmen gelingen. „Wo dies nicht möglich ist, wird mit den zur Verfügung stehenden aufsichtsbehördlichen Maßnahmen reagiert.“

Schrems II und Umsetzung des Grundsatzes der Digitalen Souveränität

Die Aufsichtsbehörden seien sich der „besonderen Herausforderungen, die das EuGH-Urteil zu ,Schrems II‘ für die Unternehmen in Deutschland und Europa mit sich bringt“, bewusst. Sie stehen laut HmbBfDI für Verständnisfragen auch im weiteren Verlauf des Prüfungsverfahrens zur Verfügung, „soweit dies nach Maßgabe der vorhandenen Kapazitäten möglich ist“. Angesichts der Betroffenheit vieler Unternehmen lasse sich ein einheitlicher Vollzug hier nur sehr schwer herstellen. „Aber die Augen zu verschließen ist keine Lösung“, betont Prof. Dr. Johannes Caspar, der HmbBfDI.
Häufig werde ein grenzüberschreitender Datenverkehr bereits durch die Nutzung von handelsüblichen Diensten zur Bürokommunikation ausgelöst, ohne dass ein direkter internationaler Austausch der Daten im Geschäftsverkehr durch die jeweiligen Unternehmen überhaupt bezweckt werde. Gerade zur Bürokommunikation oder der Datenspeicherung könne gewöhnlich auf Dienste ohne unzulässige Drittstaatenübermittlung zurückgegriffen werden. Die Umsetzung des Grundsatzes der Digitalen Souveränität werde diese Möglichkeiten in Europa künftig weiter erleichtern.

Schrems II setzt für viele Unternehmen nicht selbst zu verantwortende Hürden

Die Fragebogenaktion solle nun insoweit vor allem dazu beitragen, den Unternehmen Lösungen mit angemessenem Datenschutzniveau zu unterbreiten. Das „Schrems II“-Urteil setze für viele Unternehmen Hürden, aus Gründen, für die sie letztlich nicht selbst verantwortlich seien. Es sei daher immer wieder daran zu erinnern, „dass der Schlüssel für das Grundrecht der Informationellen Selbstbestimmung in den Empfängerstaaten liegt“.
Gerade die Politik in den USA sollte laut HmbBfDI erkennen: „Geeignete Garantien gegenüber dem Zugriff der US-Sicherheitsbehörden zum Schutz der übermittelten Daten sowie ein wirksamer Rechtsschutz für Menschen aus der EU sind zentrale Voraussetzung für einen freien Datenverkehr. Eine Lösung liegt im beiderseitigen Interesse.“

Weitere Informationen zum Thema:

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Koordinierte Prüfung internationaler Datentransfers

datensicherheit.de, 13.05.2021
Schrems II: Informationsoffensive in Rheinland-Pfalz / Wer bei Datenübermittlungen in Drittländer noch nicht auf Rechtslage nach dem Urteil Schrems II reagiert hat, sollte umgehend handeln

datensicherheit.de, 21.01.2021
Schrems II als Dilemma für KMU / Mit dem Urteil des EuGH wächst der Druck auf KMU

datensicherheit.de, 24.07.2020
Schrems II: LfDI RLP wird Einhaltung kontrollieren / Unternehmen müssen laut LfDI RLP Unzulässigkeit des Datenexports auf Basis des „Privacy Shield“ akzeptieren

[datensicherheit.de, 29.04.2019] Im konkreten Fall handelt es sich um eine Musterverwaltungsvereinbarung zwischen den EU Wertpapier- und Marktaufsichtsbehörden, vertreten durch die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA) und ihren internationalen Partnerbehörden, vertreten durch die Internationale Organisation der Wertpapieraufsichtsbehörden (IOSCO). Zuvor hatte bereits der Europäische Datenschutzausschuss eine positive Stellungnahme zur Verwaltungsvereinbarung abgegeben.

Die Vereinbarung ist Voraussetzung für den rechtmäßigen Datenaustausch mit Finanzaufsichtsbehörden in Drittstaaten. Sie sieht geeignete Datenschutzgarantien vor und enthält durchsetzbare und wirksame Rechte der betroffenen Personen. Die datenschutzkonforme Umsetzung der Vereinbarung unterliegt der fortlaufenden Kontrolle des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit.

Weitere Informationen zum Thema;

Internetauftritt des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit
BfDI genehmigt multilaterale Verwaltungsvereinbarung zum Datentransfer zwischen Finanzaufsichtsbehörden

datensicherheit.de, 22.02.2019
BfDI beantwortet Fragen der Bundestagsabgeordneten zum EU-US Privacy Shield

datensicherheit.de, 31.01.2019
BfDI: Festakt zum Amtswechsel in Bonn

datensicherheit.de, 23.01.2019
BfDI Ulrich Kelber zum EDSA-Auftakttreffen 2019

[datensicherheit.de, 03.11.2011] Cyber-Ark präsentiert eine neue Version seiner „Sensitive Information Management Suite“. Diese „All-in-One-Lösung“ für den sicheren und effizienten Datenaustausch über das Internet soll jetzt auch mobile Geräte wie Apples „iPad“ unterstützen.
Die zunehmende Verbreitung mobiler Geräte habe zu neuen Herausforderungen im Bereich Datensicherheit geführt. Immer mehr Unternehmen erlaubten ihren Mitarbeitern die Nutzung privater Geräte wie „iPads“ oder anderer mobiler Geräte für berufliche Zwecke. Die Gefahren des Datenverlusts oder -diebstahls seien dadurch dramatisch gestiegen. IT-Abteilungen beschäftigten sich heute deshalb zunehmend mit der Integration solcher Geräte in die unternehmenseigene IT-Security-Architektur.
Eine Lösung für den sicheren Datenaustausch bei der Nutzung mobiler Geräte wie des „iPad“ von Apple will Cyber-Ark ab sofort mit seiner neuen Version der „Sensitive Information Management Suite“ anbieten. Es handele sich bei dieser Lösungssuite um eine vollständig integrierte Software-Anwendung für den sicheren manuellen und automatischen Datenaustausch über das Internet. Die Lösung basiere auf der patentierten Sicherheitsplattform „Digital Vault“, einem virtuellen, digitalen „Datentresor“, der als zentrale Datendrehscheibe für die einfache, effiziente und sichere Übermittlung von Informationen fungiere.
Durch die zunehmende Verwendung privater mobiler Geräte für berufliche Aufgaben hätten sich die Gefahren des Datenverlustes für Unternehmen deutlich erhöht. Diese brauchten deshalb Lösungen, die diese potenziellen Datenleck-Risiken beseitigten. In der neuen Version der „Sensitive Information Management Suite“ deckten sie nun auch diese Anforderung ab, so Jochen Koehler, Deutschland-Chef von Cyber-Ark in Heilbronn.

Weitere Informationen zum Thema:

Cyber-Ark
Cyber-Ark sichert Datentransfer bei mobilen Geräten