{"id":11033,"date":"2017-05-04T14:34:53","date_gmt":"2017-05-04T12:34:53","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=11033"},"modified":"2017-05-03T09:41:29","modified_gmt":"2017-05-03T07:41:29","slug":"gdpr-transfer-personenbezogener-daten-verschluesselte-daten-bieten-die-meiste-sicherheit-auch-finanziell","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=11033","title":{"rendered":"GDPR &amp; Transfer personenbezogener Daten: Verschl\u00fcsselte Daten bieten die meiste Sicherheit \u2013 auch finanziell"},"content":{"rendered":"<figure id=\"attachment_11031\" aria-describedby=\"caption-attachment-11031\" style=\"width: 200px\" class=\"wp-caption alignnone\"><a href=\"https:\/\/www.sysbus.eu\/?attachment_id=11031\" rel=\"attachment wp-att-11031\"><img loading=\"lazy\" decoding=\"async\" class=\"size-medium wp-image-11031\" src=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2017\/05\/Daniel_Wolf_Foto-200x300.jpg\" alt=\"\" width=\"200\" height=\"300\" srcset=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2017\/05\/Daniel_Wolf_Foto-200x300.jpg 200w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2017\/05\/Daniel_Wolf_Foto-683x1024.jpg 683w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2017\/05\/Daniel_Wolf_Foto.jpg 750w\" sizes=\"auto, (max-width: 200px) 100vw, 200px\" \/><\/a><figcaption id=\"caption-attachment-11031\" class=\"wp-caption-text\">Daniel Wolf, Regional Director DACH, Skyhigh Networks (Quelle: Skyhigh Networks)<\/figcaption><\/figure>\n<p>Autor\/Redakteur: <a href=\"https:\/\/www.skyhighnetworks.com\/\">Daniel Wolf, Regional Director DACH bei Skyhigh Networks<\/a>\/gg<\/p>\n<p>Die neue EU-Datenschutz-Grundverordnung sorgt bei vielen Unternehmen f\u00fcr Verunsicherung. Darf man personenbezogene Daten von EU-B\u00fcrgen k\u00fcnftig noch in Nicht-EU-L\u00e4nder \u00fcbertragen? Ein Verbot gibt es nicht \u2013 wohl aber eine Handvoll Regeln. Wer zudem geeignete Schutzma\u00dfnahmen ergreift, ist auf der sicheren Seite.<\/p>\n<p><!--more--><\/p>\n<p>Im Mai 2016 wurde die EU-Datenschutz-Grundverordnung oder auch General Data Protection Regulation, kurz GDPR, verabschiedet. Unternehmen haben aber noch bis Mai 2018 Zeit, sie umzusetzen. Die Vorschriften gelten f\u00fcr alle Firmen, die personenbezogene Daten von EU-B\u00fcrgern speichern, \u00fcbertragen oder verarbeiten \u2013 egal ob sie ihren Sitz in der EU oder au\u00dferhalb haben. Verst\u00f6\u00dfe k\u00f6nnen teuer werden und kosten bis zu vier Prozent des weltweiten Jahresumsatzes. Kein Wunder also, dass Unternehmen sich keinen Lapsus leisten m\u00f6chten. Gro\u00dfe Verunsicherung herrscht dar\u00fcber, ob und unter welchen Bedingungen personenbezogene Daten k\u00fcnftig noch die EU verlassen d\u00fcrfen. Hier eine Zusammenfassung der wichtigsten Regeln:<\/p>\n<ul>\n<li>Auf welchem Weg der Datentransfer stattfindet, spielt rechtlich gesehen keine Rolle. Wenn ein HR-Manager eine E-Mail mit Daten an einen Mitarbeiter au\u00dferhalb der EU schickt, ein Unternehmen Daten in einer Cloud in den USA speichert oder ein CRM in einem Nicht-EU-Land nutzt, gilt dies als \u00dcbertragung ins au\u00dfereurop\u00e4ische Ausland \u2013 selbst wenn die Daten von EU-B\u00fcrgern anschlie\u00dfend wieder in die EU zur\u00fcckgeschickt werden.<\/li>\n<li>Wenn ein Unternehmen die Absicht hat, personenbezogene Daten an ein Drittland zu \u00fcbermitteln, muss es den Dateneigent\u00fcmer dar\u00fcber informieren. Die betroffene Person muss daraufhin die M\u00f6glichkeit haben, ihr Einverst\u00e4ndnis zu widerrufen. Wer einen Dienstleister mit der Verarbeitung von personenbezogenen Daten beauftragt, muss bei der Wahl darauf achten, dass dieser in der Lage ist, f\u00fcr entsprechenden Datenschutz zu sorgen. Der Auftragnehmer verpflichtet sich vertraglich, die Datenschutzrichtlinien einzuhalten. Sowohl Auftraggeber als auch Auftragsverarbeiter sind verantwortlich, falls es zu Verst\u00f6\u00dfen kommt (siehe Artikel 28 der GDPR).<\/li>\n<li>Es gibt einige Drittl\u00e4nder, die laut der EU-Kommission ein angemessenes Schutzniveau bieten. Wer personenbezogene Daten an diese L\u00e4nder \u00fcbermittelt, ben\u00f6tigt keine besondere Genehmigung. Auf der Liste stehen derzeit Andorra, Argentinien, Kanada (f\u00fcr kommerzielle Organisationen), die F\u00e4r\u00f6er-Inseln, Guernsey, Israel, die Isle of Man, Jersey, Neuseeland, die Schweiz und Uruguay (Artikel 45). An L\u00e4nder, die nicht auf dieser Liste stehen, darf man personenbezogene Daten nur \u00fcbermitteln, wenn der Auftragsverarbeiter garantiert, dass er die EU-Datenschutzrichtlinien einh\u00e4lt. Das kann zum Beispiel anhand eines rechtlich bindenden Dokuments oder verbindlicher interner Datenschutzvorschriften erfolgen. Der Auftragsverarbeiter muss Personen ausdr\u00fccklich durchsetzbare Rechte einr\u00e4umen, sodass diese zum Beispiel auf ihre Daten zugreifen, sie pr\u00fcfen, \u00e4ndern oder l\u00f6schen k\u00f6nnen (Artikel 46 und 47).<\/li>\n<li>Die USA sind ein Sonderfall. Hier regelt das Privacy Shield, der Nachfolger des Safe-Harbor-Abkommens, die Datenbeziehungen mit EU-L\u00e4ndern. An amerikanische Unternehmen und Organisationen, die sich ausdr\u00fccklich zum Privacy Shield bekennen, darf man personenbezogene Daten \u00fcbertragen. Es gibt jedoch Kritiker in der EU, die das derzeitige Abkommen nicht f\u00fcr ausreichend halten und bereits dagegen geklagt haben. Es wird daher im Laufe des Jahres noch einmal vor Gericht gepr\u00fcft.<\/li>\n<li>Sobald Gro\u00dfbritannien die EU verlassen hat, muss die Kommission auch f\u00fcr dieses Land pr\u00fcfen, ob es ad\u00e4quaten Datenschutz bietet. Dar\u00fcber wird gerade viel diskutiert, vor allem, da britische Strafverfolgungsbeh\u00f6rden \u00fcber weitreichende Befugnisse verf\u00fcgen, um Daten abzufangen.<\/li>\n<\/ul>\n<p>Unternehmen m\u00fcssen also eine ganze Reihe von Vorgaben beachten, wenn sie personenbezogene Daten an Drittl\u00e4nder \u00fcbermitteln m\u00f6chten. Zudem m\u00fcssen sich alle Beteiligten in der Auftragskette an die Datenschutzverordnung halten. Das zu garantieren, ist gar nicht so einfach: Denn daf\u00fcr muss bekannt sein, wo Daten \u00fcber EU-B\u00fcrger gespeichert und verarbeitet werden, beispielsweise Kunden- und Lieferantendatenbanken und \u2013 nicht zu vergessen \u2013 Mitarbeiterdaten in HR-Systemen. Genauso ist es n\u00f6tig, sich einen \u00dcberblick zu verschaffen, wie heute neue Daten gesammelt werden \u2013 einschlie\u00dflich der l\u00fcckenlosen Aufdeckung der Schatten-IT.<\/p>\n<p>Insbesondere m\u00fcssen Unternehmen kontinuierlich \u00fcberpr\u00fcfen, welche Informationen Nutzer via Cloud-Dienste teilen und damit gegen die GDPR versto\u00dfen k\u00f6nnten. Oft sind IT-Verantwortliche geschockt, wenn eine Analyse von Skyhigh Networks die Anzahl verwendeter Cloud-Dienste offenbart. In deutschen Unternehmen tauchen typischerweise \u00fcber 1000 unterschiedliche Cloud-Dienste auf.<\/p>\n<p>Es gibt jedoch eine M\u00f6glichkeit, wie man sich zus\u00e4tzlich absichern kann: In Artikel 32 und Erw\u00e4gungsgrund 83 der GDPR wird die Verschl\u00fcsselung als geeignete technische Ma\u00dfnahme genannt, um personenbezogene Daten angemessen zu sch\u00fctzen. Und: Wer Daten verschl\u00fcsselt hat, muss betroffene Personen im Falle einer Datenschutzverletzung nicht benachrichtigen (Artikel 34). Im Original-Text hei\u00dft es: &#8222;&#8230;wenn die personenbezogenen Daten f\u00fcr alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzug\u00e4nglich gemacht werden, etwa durch Verschl\u00fcsselung.&#8220;<\/p>\n<p>Dies zeigt, wie wichtig es ist, Daten zu verschl\u00fcsseln, bevor man sie in die Cloud l\u00e4dt oder in L\u00e4nder au\u00dferhalb der EU \u00fcbertr\u00e4gt. Die Daten m\u00fcssen jedoch f\u00fcr s\u00e4mtliche Unbefugten unzug\u00e4nglich gemacht werden. Das bedeutet, die Verschl\u00fcsselung sollte unbedingt schon vor dem Upload in die Cloud stattfinden, und die Schl\u00fcssel d\u00fcrfen nicht in der Cloud gespeichert werden.<\/p>\n<p>Viele Vorgaben der GDPR galten schon nach den bisherigen Datenschutzrichtlinien von 1995. Neu ist jedoch, dass Unternehmen mit h\u00f6heren Strafen und strengerer Ahndung rechnen m\u00fcssen. Au\u00dferdem sind sie jetzt verpflichtet, Datenschutzverst\u00f6\u00dfe innerhalb von 72 Stunden zu melden. Gl\u00fccklicherweise ist es jedoch nicht verboten, personenbezogene Daten von EU-B\u00fcrgern in L\u00e4nder au\u00dferhalb der EU zu \u00fcbertragen. Man muss sich nur an die Regeln halten \u2013 und sollte die Daten au\u00dferdem verschl\u00fcsseln.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Autor\/Redakteur: Daniel Wolf, Regional Director DACH bei Skyhigh Networks\/gg Die neue EU-Datenschutz-Grundverordnung sorgt bei vielen Unternehmen f\u00fcr Verunsicherung. Darf man<\/p>\n","protected":false},"author":3,"featured_media":11031,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[1881],"tags":[6257,3402,5666,3923,5668,9504,9505,6937,3284,36,2261,3862],"class_list":["post-11033","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-glosse","tag-cloud","tag-crm","tag-datenschutz-grundverordnung","tag-eu","tag-gdpr","tag-general-protection-regulation","tag-grossbritannien","tag-safe-harbor","tag-schluessel","tag-sicherheit","tag-skyhigh-networks","tag-usa"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/11033","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=11033"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/11033\/revisions"}],"predecessor-version":[{"id":11034,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/11033\/revisions\/11034"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/11031"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=11033"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=11033"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=11033"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}