Datentransfer in die USA so sicher wie möglich gestalten

Fast alle Unternehmenübermitteln über ihre eingesetzte Software unbemerkt Daten in die USA.

(PresseBox) - Handelt es sich um personenbezogene Daten, bedeutet das häufig einen Verstoß gegen die Datenschutzverordnung. Eine Patentlösung gibt es nicht, doch Unternehmen können die Datennutzung zumindest so sicher wie möglich gestalten, erklärt Arnd Fackeldey, Datenschutz-Experte und Referent der TÜV NORD Akademie.

Praktisch jedes Unternehmen übermittelt in seinem Arbeitsalltag Daten in die USA, sei es über Bürosoftware, Videokonferenzsysteme, Newsletter-Dienste, Webtools oder Cloudlösungen. Auch wenn die Tools zunächst über Server innerhalb der EU laufen, werden doch trotzdem häufig Daten beim Mutterkonzern in den USA gespeichert. Für personenbezogene Daten wie Namen und Postadressen, Mailadressen, Bankdaten, Bestelldaten, etc. ist das jedoch problematisch, denn die USA gelten aus europäischer Sicht als „unsicheres Drittland“.

Eine generelle Regelung gibt es nicht mehr seit der Europäische Gerichtshof im Juli 2020 urteilte, dass die bis vor einiger Zeit geltenden Abkommen Safe Harbor und Privacy Shield nicht ausreichen.

Auch die überarbeiteten EU-Standardvertragsklauseln, die den Datentransfer in viele andere Länder rechtssicher machen und seit Juni 2021 verfügbar sind, bieten keine pauschale Absicherung für den Datentransfer in die USA – deutsche Unternehmen sollten aus Vorsicht zunächst davon ausgehen, dass amerikanische Unternehmen diese schlicht nicht immer einhalten können. Die überarbeiteten EU-Standardvertragsklauseln verlangen zusätzliche Maßnahmen, wie zum Beispiel Beschreibungen der Übertragungen, der Sicherheitsmaßnahmen und des Umgangs mit Unterauftragsverarbeitern. Wie können Unternehmen ihre Datennutzung daher so sicher wie möglich gestalten?

Arnd Fackeldey, Datenschutz-Referent der TÜV NORD Akademie und Geschäftsführer von DigiCom Consulting, nennt die wichtigsten Punkte, mit denen sich Unternehmen – neben der Anwendung der überarbeiteten EU-Standardvertragsklauseln – so weit wie möglich absichern können:



1. Daten verschlüsseln

Indem personenbezogene Daten auf dem Transportweg und bei der Speicherung verschlüsselt werden, können sich Unternehmen zusätzliche Sicherheit verschaffen. Daten sollten am besten stets verschlüsselt sein, um im Ernstfall einen Schaden gering zu halten. Allerdings sind bereits vor der Einführung einer Verschlüsselung mehrere datenschutzrelevante, technische Aspekte zu berücksichtigen, wie z.B. die Robustheit und Stärke des Verschlüsselungsalgorithmus.

2. Europäische Server nutzen

Die Daten sollten vom Unternehmen selbst nach Möglichkeit nur in europäischen Rechenzentren gespeichert werden, die damit der Datenschutz-Grundverordnung unterliegen. Eine hundertprozentige Sicherheit bietet dies jedoch nicht, denn oftmals können trotzdem Administratorinnen und Administratoren aus einem unsicheren Drittland darauf zugreifen, Teilmengen von Daten ausgelagert werden oder Back-up-Server in den USA liegen. Daher ist es besonders wichtig, dass sich der Administrationsservice des Rechenzentrums in einem Land mit anerkanntem Datenschutzniveau befindet.

3. Rechtsmittel ausschöpfen

Werden Auftragsverarbeiter in einem unsicheren Drittstaat wie den USA beauftragt, sollten sich deutsche Unternehmen vergewissern, dass der Dienstleister alle Rechtsmittel ausschöpft, um die Herausgabe personenbezogener Daten an Behörden des Heimatlandes abzuwenden.

4. Alternativen suchen

Manchmal besteht die beste Lösung darin, auf andere Dienste auszuweichen und Alternativen zu dem aktuell genutzten Internetdienst in Betracht zu ziehen, die mehr kosten, dafür aber Rechenzentren in Europa einsetzen.

5. Interne Unternehmensregeln

Konzerne mit Tochtergesellschaften in anderen Ländern haben zudem die Option, interne Unternehmensregeln, sogenannte Binding Corporate Rules (BCR), aufzustellen, die festlegen, dass ausländische Tochtergesellschaften das europäische Datenschutzrecht einhalten müssen. „Das funktioniert wie ein Datenschutz-Schutzschirm“, so Arnd Fackeldey. Auch dieser stoße aber an seine Grenzen, wenn die unternehmensinternen Regeln mit den Regelungen anderer Länder in Konflikt geraten.

6. Sensibilisierung und Schulung

Alle Mitarbeitenden im Unternehmen, auch wenn sie nicht direkt für die Datensicherheit verantwortlich sind, sollten zum Thema Datenschutz sensibilisiert und geschult werden. Schließlich haben sehr viele Mitarbeiterinnen und Mitarbeiter an irgendeinem Punkt im Arbeitsablauf mit personenbezogenen Daten zu tun. Daher sollte neben dem Schaffen eines generellen Bewusstseins auch eine eingehende Schulung über nationale und internationale Datensicherheit durchgeführt werden.

„Wenn Unternehmen alle Möglichkeiten ausschöpfen, um für eine maximale Sicherheit zu sorgen, haben sie gute Chancen, den Missbrauch personenbezogener Daten zu vermeiden und nicht ins Visier von Aufsichtsbehörden zu gelangen“, sagt Arnd Fackeldey.Das setze aber voraus, auf dem Laufenden zu bleiben und die internen Regelungen immer wieder zu überprüfen. Fackeldey betont: „Das Thema internationaler Datenschutz ist nichts, was ich heute abschließen kann. Es muss kontinuierlich beobachtet werden, denn es gibt immer wieder neue Entwicklungen und Änderungen.“ Eine hundertprozentige Sicherheit gebe es nicht im internationalen Datenschutz, aber Unternehmen können sich darum bemühen, von Ihnen genutzte Daten so gut wie möglich zu schützen.

Im Rahmen des eintägigen Webinars „Internationaler Datentransfer“ der TÜV NORD Akademie vermittelt Referent Arnd Fackeldey das aktuelle Grundlagenwissen, um die betrieblichen Strukturen zu hinterfragen, Vertragswerke zu prüfen und die Konformität der Datenverarbeitung feststellen zu können. Dabei werden die neuesten rechtlichen Entwicklungen aufgrund aktueller Rechtsprechung berücksichtigt. Mehr unter: https://www.tuev-nord.de/de/weiterbildung/seminare/webinar-internationaler-datentransfer-gem-art-44-ff-dsgvo-a/

Mehr Informationen über den internationalen Datentransfer zum einen innerhalb der EU, zum anderen in weitere Drittländer finden Interessierte im Wissensportal der TÜV NORD Akademie: https://www.tuev-nord.de/de/unternehmen/bildung/wissen-kompakt/datenschutz/internationaler-datenschutz-tipps/

Seit über 35 Jahren bildet die TÜV NORD Akademie Fach- und Führungskräfte für die unterschiedlichsten Unternehmen, Wirtschafts- und Aufgabenbereiche aus. Als eines der großen Weiterbildungsunternehmen in Deutschland bieten wir ein umfangreiches Schulungsangebot in zeitgemäßen Lernformen - digital und präsent.

Die TÜV NORD Akademie ist ein Unternehmen der TÜV NORD GROUP, die seit über 150 Jahren weltweit für Sicherheit und Vertrauen steht. Als Wissensunternehmen haben wir die digitale Zukunft fest im Blick.

www.tuevnordakademie.de

Weitere Infos zu dieser Pressemeldung:
Unternehmensinformation / Kurzprofil:
Bereitgestellt von Benutzer: PresseBox
Datum: 07.10.2021 - 14:00 Uhr
Sprache: Deutsch
News-ID 1932164
Anzahl Zeichen: 7430

Kontakt-Informationen:
Stadt:

Hamburg

Kategorie:

New Media & Software

Diese Pressemitteilung wurde bisher 371 mal aufgerufen.

Energiewende praxisnah gestalten: TÜV NORD Akademie bietet kostenfreie Weiterbildung auf der Hannover Messe 2026 ...
Wie können Unternehmen ihre steigenden Energiekosten in den Griff bekommen? Welche gesetzlichen Pflichten gelten für Produktionsbetriebe? Und wie gelingt der Einstieg in Wasserstofftechnologien? Antworten liefert die TÜV NORD Akademie auf der Hannover Messe 2026 mit einem neuen, kostenfreien Weit

KI mit Wirkung: Artificial Intelligence Summit 2026 liefert ROI-orientierte Lösungen für Unternehmen ...
Der Artificial Intelligence Summit der TÜV NORD Akademie richtet sich gezielt an Entscheider:innen aus KMU und Start-Ups und öffentliche Institutionen, die KI wirtschaftlich, sicher und gesetzeskonform einführen möchten. Die Veranstaltung bietet konkrete Anwendungsfälle, Reifegradanalysen und k

ISO 9001:2026– Planungssicherheit durch moderate Revision und klaren Zeitplan ...
Im Herbst 2026 erscheint die neue DIN EN ISO 9001 – erstmals nach über zehn Jahren. Für Qualitätsverantwortliche und Compliance-Beauftragte bedeutet das: keine disruptiven Änderungen, sondern gezielte Anpassungen, die sich kontrolliert umsetzen lassen. Die dreijährige Übergangsfrist bis Herb

Weitere Mitteilungen von TÜV NORD Akademie GmbH&Co. KG

High-Performance-Archiv für SAP-Daten und Dokumente: tia®2go ...
Neu-Isenburg, 07. Oktober 2021 - tia®2go, die kostenlose Community Edition der KGS Software GmbH, bietet ein zeitlich unbegrenztes High-Performance-Archiv für SAP-Daten und Dokumente. Unternehmen und Archiv-Interessierte können die Lösung im Handumdrehen in Eigenregie aufsetzen und den Mehrwert

Höchste Sicherheit für Zahlungsverkehr im Internet: Novalnet erhält erneut PCI DSS Zertifizierung der höchsten Stufe ...
Mit dem PCI-DSS-Level 1 steht die Novalnet AG als deutscher Zahlungsdienstleister seit vielen Jahren für höchstmöglichen Datenschutz und Sicherheit. Wie jedes Jahr hat sich die Novalnet AG nun erneut den strengen Anforderungen des PCI-DSS-Standards gestellt. Mit Erfolg: Novalnet erfüllt nach wie

Die Sperrfunktion des Handys umgehen- Das kann teuer werden. ...
Komfort und Sicherheit verhalten sich in der IT oft ähnlich in ihrem Verhältnis zueinander wie Freiheit und Sicherheit. Das eine geht nur auf Kosten des anderen. Ein aktuelles Beispiel bietet die Apple Pay „Express Transit“-Funktionalität: kleine Beträge lassen sich bequem bezahlen, trotz Sp

Weltweit begehrtes Zertifikat für Sicherheitsexperten primion ...
Die primion Technology GmbH hat allen Grund stolz zu sein: Die Zertifizierungsstelle der TÜV SÜD Management Service GmbH hat dem weltweit tätigen IT-Systemhaus jetzt aktuell das ISO/IEC 20000-1:2018 Zertifikat erteilt. Die von den primion-Kunden geforderte sehr hohe Qualität wird durch das ISO-Z