Datenaustausch zwischen der Europäischen Union und dem Vereinigten Königreich: Die Rechtslage zum Datenschutz könnte auch in Zukunft unübersichtlich werden
Marc Ahlgrim empfiehlt Unternehmen ein automatisiertes Datenmanagement, um auf der sicheren Seite zu sein
[datensicherheit.de, 02.03.2021] Nach dem Austritt des Vereinigten Königreichs Großbritannien und Nordirland (UK) aus der Europäischen Union scheint die Rechtslage zum Datenaustausch nicht geklärt zu sein. Frühestens ab Juni 2021 Es besteht die Möglichkeit, dass ein Urteil gefällt wird, um dies zu klären. Aber auch da war das letzte Wort noch nicht gesprochen, „Wenn man bedenkt, dass beispielsweise Max Schreams durch seine Klage vor dem Europäischen Gerichtshof (EuGH) das transnationale Safe-Harbor-Abkommen zwischen der Europäischen Union und den Vereinigten Staaten von Amerika gekündigt und das „Privacy Shield“ zwischen der Europäischen Union und den USA abgeschafft hat die Vereinigten Staaten „Ende 2020“. In der vorliegenden Stellungnahme geht Veritas auf die aktuelle Rechtslage bezüglich der Speicherung von Daten aus der Europäischen Union im Vereinigten Königreich ein, zeigt mögliche künftige Entwicklungen in dieser Hinsicht auf und gibt Unternehmen „Best Practices“ an die Hand, um ihr Datenmanagement auf eine solide Basis zu stellen – unabhängig davon das derzeit geltende Recht.
Foto: Veritas
Markus Ahlgrim: Einzelrisiken erkennen und große Probleme zuerst angehen!
Neudefinition der Rechtsgrundlage für den Austausch von Daten, die über den Ärmelkanal ausgetauscht werden
Seit dem Austritt Großbritanniens aus der Europäischen Union (BrExit) wird die Rechtsgrundlage für den Datenaustausch über den Ärmelkanal erneut diskutiert. Derzeit gibt es eine für Unternehmen in Großbritannien ÜbergangsphaseSie sind verpflichtet, zusätzlich zu den geltenden Datenschutzgesetzen ein Datenschutzniveau gemäß Artikel 44 der Datenschutz-Grundverordnung (DSGVO) bereitzustellen. „Europäische Unternehmen, die personenbezogene Daten auf britischen Websites speichern, müssen mit hohen Bußgeldern rechnen, wenn diese zusätzlichen Anforderungen nicht erfüllt werden.“Warnt Marc Ahlgrim, „Digital Transformation, Risk Mitigation and Compliance Specialist“, DSGVO bei Veritas.
Derzeit hat die Europäische Kommission die Datenschutzgesetze im Vereinigten Königreich nach eingehender Prüfung überarbeitet "angemessen" Es stellt klar, dass hierfür keine zusätzlichen Anforderungen erforderlich sind. Laut der stellvertretenden Vorsitzenden der EU-Kommission Vera Gorova reichen die etablierten Regeln aus Schutz personenbezogener Daten auf Ebene der Europäischen Union. Allerdings müssen die EU-Mitgliedstaaten dem Entwurf noch zustimmen. Dafür haben sie bis Juni 2021 Zeit – „Dann endet die Übergangsphase.“. Erst dann ist der Datenaustausch zwischen der Europäischen Union und dem Vereinigten Königreich wieder uneingeschränkt möglich.
Nicht nur große Unternehmen in der Europäischen Union, sondern auch mittelständische Unternehmen und Startups teilen Daten mit britischen Websites
Nicht nur große Unternehmen, sondern auch mittelständische Unternehmen und Startups in Europa haben Daten mit Standorten auf der Insel geteilt. Viele Unternehmen in der Europäischen Union verlassen sich auf britische Dienstleister, insbesondere bei Cloud-Diensten sowie Wartung und Kundenservice. Ihr seid alle erlaubt "Eignungsentscheidung" Willkommen, weil es Rechtssicherheit garantiert. Ahlgrim: Von der Sicherheit des Datenaustauschs zwischen der EU und dem Vereinigten Königreich sollten Sie jedoch nicht allzu begeistert sein – die Entscheidung wird möglicherweise nicht lange anhalten. Wie bei früheren Abkommen zu diesem Thema, zuletzt dem „EU-US Privacy Shield“ und seinem Vorgänger Safe Harbor, „besteht auch diesmal die Gefahr, dass NGOs vor dem Europäischen Gerichtshof klagen, um das zu kippen Entscheidung."
Laut Datenschützern ist Großbritannien nicht sehr streng, was die Sicherheit personenbezogener Daten angeht. Außerdem gibt es keinen Test „Wie gut sind die Daten dort vor dem Zugriff der Geheimdienste geschützt, wenn man bedenkt, dass Großbritannien Mitglied der Five Eyes Alliance ist“. Unternehmen, die personenbezogene Daten mit britischen Websites teilen, sollten sich daher an uns wenden Wappnen Sie sich für potenzielle Compliance-Probleme. Zu den wichtigsten Maßnahmen gehörten umfassende Datenschutzkontrollen und die Implementierung eines automatisierten Datenmanagements, bei dem alte und neue Daten automatisch gescannt, klassifiziert und ihrem Inhalt nach verarbeitet werden. In der Praxis haben sich laut Ahlgrim fünf Best-Practice-Schritte zur Lösung dieser Aufgabe bewährt:
Automatisiertes Datenmanagement: 5 bewährte Schritte zu Best Practices
Lokalisieren:
Zunächst einmal braucht man einen Überblick darüber, wo die Informationen gespeichert sind – sozusagen einen Kartendaten. Das gilt vor allem für Daten in der Cloud. Aus Compliance-Gründen muss das Unternehmen daher prüfen, ob sich das Rechenzentrum in der Europäischen Union oder in einem geeigneten Drittland befindet.
Suche:
Die DSGVO gibt EU-Bürgern das Recht auf a Eine Übersicht der von Ihnen gespeicherten Daten Beantragen – Unternehmen müssen dies sofort einreichen. Es bedarf also der entsprechenden Software und Verfahren, um die Daten schnell zu finden und gegebenenfalls zu löschen.
Rauszoomen:
Mit der Notwendigkeit, die Datenschutz-Grundverordnung zu erreichen, „Dass Unternehmen generell weniger personenbezogene Daten speichern und diese nur zweckgebunden speichern.“. Also muss jede Datei eine enthalten Gültigkeitsdauer Es wird nach einer bestimmten Zeit (je nach Verwendungszweck) automatisch gelöscht.
Schützen:
Tatsächlich natürlich: Personenbezogene Daten verdienen besonderen Schutz. Unternehmen müssen Maßnahmen ergreifen, um Angriffe von außen und von zu Hause abzuwehren. „Wenn etwas passiert, muss das Datenleck innerhalb von 72 Stunden gemeldet werden.“
Vorarbeiter:
Wer ist derjenige Sicherheitslücke Er will sich melden, er muss erst wissen, dass er da ist. „ Im zweiten Schritt geht es darum, die fehlenden Daten schnell und übersichtlich zu klären. Denn die DSGVO verlangt es eindeutig „Dass die Unfallbeteiligten sowie die Behörden innerhalb von 72 Stunden über den Unfall informiert werden.“. Es empfiehlt sich daher der Einsatz einer professionellen Datenmanagement-Lösung, mit der die komplexe Speicherinfrastruktur permanent und automatisiert auf Verstöße gescannt werden kann.
Idealerweise folgten die für jeden dieser Schritte verwendeten Datenverwaltungstools einer zentralisierten Richtlinie Abgeleitete Maßnahmen Was danach automatisch ausgeführt wird. Empfehlenswert ist auch ein Service, der verschiedene Tools an die individuelle Umgebung anpasst und eine erste DSGVO-Reifegradbewertung durchführt. „Aus den Ergebnissen lassen sich einzelne Risiken schnell erkennen und größere Probleme frühzeitig angehen.“Also Ahlgrim.
Weitere Informationen zu diesem Thema:
ULD Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Themenpapier Nr. 4: Übermittlung von Daten an Drittländer
"Alkohol polieren. Unruhestifter. Introvertiert. Student. Social-Media-Liebhaber. Web-Ninja. Bacon-Fan. Leser."
