:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Datenübermittlung nach GB und Nordirland Der Datenschutz nach Brexit und Übergangsfrist
Die Übermittlung personenbezogener Daten von der EU in das Vereinigte Königreich Großbritannien und Nordirland sollen für eine Übergangsperiode nicht als Übermittlungen in ein Drittland angesehen werden. Für die Zeit nach der Übergangsfrist müssen allerdings Lösungen gefunden werden, nicht nur von der EU-Kommission. Auch Unternehmen sollten sich jetzt rechtzeitig Gedanken machen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) wies Ende Dezember 2020 die Unternehmen, Behörden und anderen Institutionen in Deutschland darauf hin, dass in den Schlussbestimmungen des Entwurfs eines Handels- und Zusammenarbeitsabkommens zwischen dem Vereinigten Königreich Großbritannien und Nordirland und der Europäischen Union eine neue Übergangsregelung für Datenübermittlungen vorgesehen ist, die den bisher befürchteten gravierenden Rechtsunsicherheiten vorbeugt.
Zuvor hatten die Datenschützer mehrfach davor gewarnt, dass für den Fall eines ungeregelten Austritts („No-Deal-Brexit“) das Vereinigten Königreich Großbritannien und Nordirland zu einem Drittland im Sinne der DSGVO wird. Verantwortliche, die personenbezogene Daten an Partner im Vereinigten Königreich Großbritannien und Nordirland übermitteln wollen, müssten dann ihre Datenübermittlungen mit den besonderen Maßnahmen nach Kapitel V DSGVO absichern.
Die Unklarheit, ob es einen No-Deal-Brexit oder aber einen Brexit mit Abkommen geben wird, hatte zu einer großen Rechtsunsicherheit geführt. „Auf den letzten Drücker“ wurde dann klar: Der Entwurf des Brexit-Abkommens bietet eine viermonatige Übergangsfrist für Datentransfers ab dem 1. Januar 2021. Damit wird eine weitere Übergangszeit festgelegt, die auf sechs Monate verlängert werden kann.
Damit gibt es für den Datenschutz eine gewisse Atempause, aber keine dauerhafte Lösung.
Empfehlung der Datenschützer: Unternehmen sollten sich vorbereiten
Aus Sicht des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, Prof. Dr. Dieter Kugelmann, sollten sich Unternehmen nun vorbereiten. „Kurz vor der Ziellinie des Brexit hat es geklappt, auch die Datenübermittlungen in das Vereinigte Königreich zu erhalten. Gravierende Erschwernisse für die betroffenen Unternehmen werden so zunächst vermieden“, so Kugelmann.
Allerdings: „Aber den Unternehmen sollte nicht die Puste ausgehen. Es gilt, sich auf ein Ende der Übergangszeit vorzubereiten, um Geschäftsprozesse gegebenenfalls anzupassen“. Prof. Kugelmann nannte auch die Gründe, warum man nun als Unternehmen nicht nur passiv abwarten sollte: „Die EU-Kommission steht jetzt in der Pflicht, zeitnah tragfähige Adäquanzentscheidungen vorzulegen, die auch die aktuelle Rechtsprechung des Europäischen Gerichtshofs berücksichtigen. Auch wenn man auf eine solche Angemessenheitsentscheidung der Kommission hoffen kann, darauf verlassen sollte man sich nicht.“
Das bedeutet: Die EU-Kommission arbeitet nun in der Übergangszeit von längstens sechs Monaten (gerechnet ab 1. Januar 2021) an einem Angemessenheitsbeschluss, der die Bedingungen beschreibt und vereinbart, unter denen das Datenschutzniveau in den Zielländern England, Schottland, Wales und Nordirland als angemessen und dem in der EU gleichwertig angesehen werden kann.
Kommt dieses Vorhaben während der Übergangszeit zu einem positiven Ergebnis, dann gäbe es eine Rechtsgrundlage für die weiteren Übermittlungen personenbezogener Daten in die genannten Länder. Gelingt es aber nicht, müssen Unternehmen andere Datenschutzinstrumente finden und einsetzen. Andernfalls wären die Datenübermittlungen nicht mehr zulässig.
Ganz einfach wird es aber nicht, den Angemessenheitsbeschluss zu erzielen, denn „die EU-Kommission ist in der Pflicht, tragfähige Adäquanzentscheidungen vorzulegen, die auch die aktuelle Rechtsprechung des Europäischen Gerichtshofs berücksichtigen und von den Mitgliedstaaten genauso wie vom Europäischen Datenschutzausschuss sorgfältig zu prüfen sein werden“, wie Andreas Schurig, Sächsischer Datenschutzbeauftragter, klarstellt.
Welche Vorbereitungen nun anstehen
Wenn man sich als Unternehmen nicht darauf verlässt, dass es mit dem Angemessenheitsbeschluss rechtzeitig klappt, sollte man sich nun überlegen, welche Alternativen genutzt werden könnten, um in Zukunft die Datenübermittlung nach GB und Nordirland auf einer gültigen Rechtsgrundlage durchführen zu können.
Dazu sollten Unternehmen feststellen, welche Verarbeitungen eine Übermittlung personenbezogener Daten nach GB und Nordirland mit sich bringen, dann das geeignete, alternative Datentransfer-Instrument für die jeweilige Situation festlegen, im Fall des Falles (also kein Angemessenheitsbeschluss) das gewählte Datentransfer-Instrument umsetzen, dies in der internen Dokumentation vermerken und auch die Datenschutzerklärung zur Information der betroffenen Personen entsprechend aktualisieren.
Das sind offensichtlich einige Aufgaben, die anstehen, wenn es keinen Angemessenheitsbeschluss gibt. Insbesondere sollte geklärt sein, was als Datenschutz-Instrument denn genutzt werden kann. Verantwortliche, die personenbezogene Daten ohne die nach Kapitel V DSGVO notwendigen Sicherheiten in das Drittland übermitteln, handeln dann rechtswidrig. Die Aufsichtsbehörden könnten dann Datenübermittlungen per Anordnung aussetzen und Geldbußen verhängen.
Datentransfer-Instrumente rechtzeitig prüfen
Ohne Angemessenheitsentscheidung müssen mit dem Ende der Übergangszeit Datentransfers mit einem der Transferinstrumente des fünften Kapitels der DSGVO abgesichert werden, z.B. den Standarddatenschutzklauseln der EU-Kommission, Binding Corporate Rules oder genehmigte Verhaltensregeln (die jedoch erst einmal erstellt und der zuständigen Aufsichtsbehörde vorgelegt werden müssten).
Dies erinnert nicht von ungefähr an die Frage, was nach dem Ende des Privacy Shield getan werden muss, denn Privacy Shield war ein inzwischen ungültiger Angemessenheitsbeschluss der Europäischen Kommission für die Datenübermittlungen in die USA.
In diesem Zusammenhang sagte der Bundesdatenschutzbeauftragte: „Für Datenübermittlungen in die USA, wenn nötig ggf. auch für Datenübermittlungen in weitere Drittländer, ist mit zusätzlichen Maßnahmen sicherzustellen, dass die personenbezogenen Daten auch im jeweiligen Drittland stets angemessen geschützt sind. Auch eine vorbeugende Prüfung der Übermittlung nach Großbritannien mit Blick auf den sog. „Brexit“ wird bereits zum jetzigen Zeitpunkt empfohlen.“
Somit sollten Unternehmen nicht nur überlegen, ob sie bei Ausbleiben eines Angemessenheitsbeschluss für GB und Nordirland zum Beispiel die zur Zeit in Überarbeitung befindlichen Standardvertragsklauseln der EU-Kommission nutzen, sondern sie sollten auch damit rechnen, dass ergänzende Schutzmaßnahmen notwendig werden könnten, um ein angemessenes Datenschutzniveau zu erreichen. Dies sagt der Europäische Datenschutzausschuss (EDSA) ausdrücklich.
Das Ende des Privacy Shield ist also nicht der einzige Grund, sich mit den ergänzenden Schutzmaßnahmen zur Erreichung eines angemessenen Datenschutzniveaus zu befassen, darunter zum Beispiel die Maßnahme, Verschlüsselung einzusetzen, bei der nur der Datenexporteur den Schlüssel hat und die auch von Nachrichtendiensten nicht gebrochen werden kann. Wie realistisch eine solche Maßnahme ist, sollte man sich aber genau überlegen, bevor man seine Datenübermittlungen so ergänzend absichern möchte.
(ID:47161148)
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/c8/87c8340a257c77751542cba25517b136/0112752662.jpeg "Die EU-Kommission hat das Data Privacy Framework veröffentlicht - drei Jahre nach dem für ungültig erklärten Privacy Shield. Es gibt Zweifel, dass die neue Rechtsgrundlage jetzt endlich für Sicherheit bei der Übertragung personenbezogener Daten aus der EU in die USA sorgt. (Bild: mixmagic - stock.adobe.com)")