Glosse

GDPR & Transfer personenbezogener Daten: Verschlüsselte Daten bieten die meiste Sicherheit – auch finanziell

Daniel Wolf, Regional Director DACH, Skyhigh Networks (Quelle: Skyhigh Networks)

Autor/Redakteur: Daniel Wolf, Regional Director DACH bei Skyhigh Networks/gg

Die neue EU-Datenschutz-Grundverordnung sorgt bei vielen Unternehmen für Verunsicherung. Darf man personenbezogene Daten von EU-Bürgen künftig noch in Nicht-EU-Länder übertragen? Ein Verbot gibt es nicht – wohl aber eine Handvoll Regeln. Wer zudem geeignete Schutzmaßnahmen ergreift, ist auf der sicheren Seite.

Im Mai 2016 wurde die EU-Datenschutz-Grundverordnung oder auch General Data Protection Regulation, kurz GDPR, verabschiedet. Unternehmen haben aber noch bis Mai 2018 Zeit, sie umzusetzen. Die Vorschriften gelten für alle Firmen, die personenbezogene Daten von EU-Bürgern speichern, übertragen oder verarbeiten – egal ob sie ihren Sitz in der EU oder außerhalb haben. Verstöße können teuer werden und kosten bis zu vier Prozent des weltweiten Jahresumsatzes. Kein Wunder also, dass Unternehmen sich keinen Lapsus leisten möchten. Große Verunsicherung herrscht darüber, ob und unter welchen Bedingungen personenbezogene Daten künftig noch die EU verlassen dürfen. Hier eine Zusammenfassung der wichtigsten Regeln:

  • Auf welchem Weg der Datentransfer stattfindet, spielt rechtlich gesehen keine Rolle. Wenn ein HR-Manager eine E-Mail mit Daten an einen Mitarbeiter außerhalb der EU schickt, ein Unternehmen Daten in einer Cloud in den USA speichert oder ein CRM in einem Nicht-EU-Land nutzt, gilt dies als Übertragung ins außereuropäische Ausland – selbst wenn die Daten von EU-Bürgern anschließend wieder in die EU zurückgeschickt werden.
  • Wenn ein Unternehmen die Absicht hat, personenbezogene Daten an ein Drittland zu übermitteln, muss es den Dateneigentümer darüber informieren. Die betroffene Person muss daraufhin die Möglichkeit haben, ihr Einverständnis zu widerrufen. Wer einen Dienstleister mit der Verarbeitung von personenbezogenen Daten beauftragt, muss bei der Wahl darauf achten, dass dieser in der Lage ist, für entsprechenden Datenschutz zu sorgen. Der Auftragnehmer verpflichtet sich vertraglich, die Datenschutzrichtlinien einzuhalten. Sowohl Auftraggeber als auch Auftragsverarbeiter sind verantwortlich, falls es zu Verstößen kommt (siehe Artikel 28 der GDPR).
  • Es gibt einige Drittländer, die laut der EU-Kommission ein angemessenes Schutzniveau bieten. Wer personenbezogene Daten an diese Länder übermittelt, benötigt keine besondere Genehmigung. Auf der Liste stehen derzeit Andorra, Argentinien, Kanada (für kommerzielle Organisationen), die Färöer-Inseln, Guernsey, Israel, die Isle of Man, Jersey, Neuseeland, die Schweiz und Uruguay (Artikel 45). An Länder, die nicht auf dieser Liste stehen, darf man personenbezogene Daten nur übermitteln, wenn der Auftragsverarbeiter garantiert, dass er die EU-Datenschutzrichtlinien einhält. Das kann zum Beispiel anhand eines rechtlich bindenden Dokuments oder verbindlicher interner Datenschutzvorschriften erfolgen. Der Auftragsverarbeiter muss Personen ausdrücklich durchsetzbare Rechte einräumen, sodass diese zum Beispiel auf ihre Daten zugreifen, sie prüfen, ändern oder löschen können (Artikel 46 und 47).
  • Die USA sind ein Sonderfall. Hier regelt das Privacy Shield, der Nachfolger des Safe-Harbor-Abkommens, die Datenbeziehungen mit EU-Ländern. An amerikanische Unternehmen und Organisationen, die sich ausdrücklich zum Privacy Shield bekennen, darf man personenbezogene Daten übertragen. Es gibt jedoch Kritiker in der EU, die das derzeitige Abkommen nicht für ausreichend halten und bereits dagegen geklagt haben. Es wird daher im Laufe des Jahres noch einmal vor Gericht geprüft.
  • Sobald Großbritannien die EU verlassen hat, muss die Kommission auch für dieses Land prüfen, ob es adäquaten Datenschutz bietet. Darüber wird gerade viel diskutiert, vor allem, da britische Strafverfolgungsbehörden über weitreichende Befugnisse verfügen, um Daten abzufangen.

Unternehmen müssen also eine ganze Reihe von Vorgaben beachten, wenn sie personenbezogene Daten an Drittländer übermitteln möchten. Zudem müssen sich alle Beteiligten in der Auftragskette an die Datenschutzverordnung halten. Das zu garantieren, ist gar nicht so einfach: Denn dafür muss bekannt sein, wo Daten über EU-Bürger gespeichert und verarbeitet werden, beispielsweise Kunden- und Lieferantendatenbanken und – nicht zu vergessen – Mitarbeiterdaten in HR-Systemen. Genauso ist es nötig, sich einen Überblick zu verschaffen, wie heute neue Daten gesammelt werden – einschließlich der lückenlosen Aufdeckung der Schatten-IT.

Insbesondere müssen Unternehmen kontinuierlich überprüfen, welche Informationen Nutzer via Cloud-Dienste teilen und damit gegen die GDPR verstoßen könnten. Oft sind IT-Verantwortliche geschockt, wenn eine Analyse von Skyhigh Networks die Anzahl verwendeter Cloud-Dienste offenbart. In deutschen Unternehmen tauchen typischerweise über 1000 unterschiedliche Cloud-Dienste auf.

Es gibt jedoch eine Möglichkeit, wie man sich zusätzlich absichern kann: In Artikel 32 und Erwägungsgrund 83 der GDPR wird die Verschlüsselung als geeignete technische Maßnahme genannt, um personenbezogene Daten angemessen zu schützen. Und: Wer Daten verschlüsselt hat, muss betroffene Personen im Falle einer Datenschutzverletzung nicht benachrichtigen (Artikel 34). Im Original-Text heißt es: “…wenn die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung.”

Dies zeigt, wie wichtig es ist, Daten zu verschlüsseln, bevor man sie in die Cloud lädt oder in Länder außerhalb der EU überträgt. Die Daten müssen jedoch für sämtliche Unbefugten unzugänglich gemacht werden. Das bedeutet, die Verschlüsselung sollte unbedingt schon vor dem Upload in die Cloud stattfinden, und die Schlüssel dürfen nicht in der Cloud gespeichert werden.

Viele Vorgaben der GDPR galten schon nach den bisherigen Datenschutzrichtlinien von 1995. Neu ist jedoch, dass Unternehmen mit höheren Strafen und strengerer Ahndung rechnen müssen. Außerdem sind sie jetzt verpflichtet, Datenschutzverstöße innerhalb von 72 Stunden zu melden. Glücklicherweise ist es jedoch nicht verboten, personenbezogene Daten von EU-Bürgern in Länder außerhalb der EU zu übertragen. Man muss sich nur an die Regeln halten – und sollte die Daten außerdem verschlüsseln.