:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/66/66/66663fb55130791b4fb9775e2c6bc20e/0115056185.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/50/d7/50d7fe52fecf5c07fbb17b637be4a279/0115138647.jpeg "Der Datenschutz möchte und wird ein gewichtiges Wort bei der Gestaltung und Nutzung von KI mitreden. Neben dem AI Act der EU werden die Vorgaben der DSGVO eine zentrale Rolle spielen. (Bild: phonlamaiphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6f/c8/6fc89f7ea3b729aac10a382de00a5f90/0115140486.jpeg "Sysdig stellt neue Benchmark für Cloud-Sicherheit vor (Bild: Canva)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c1/54c16a567692f949cac390626820b34e/0115102427.jpeg "Die Balance zwischen fortschrittlicher Technologie und dem Schutz unserer menschlichen Identität zu wahren ist eine Gratwanderung. (Bild: Andrea Danti - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d9/2e/d92e5468b41274136166ffb7127b6d61/0115141779.jpeg "Mitarbeitende müssen über aktuelle Schwachstellen und Bedrohungen aufgeklärt werden und ein Sicherheitsbewusstsein entwickeln, um verhaltensabhängige Einfallstore zu minimieren. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/5e/405e9a7158844a3b1c403d4e106f5c64/0115101339.jpeg "Dass IT-Sicherheit auf die Management- und Geschäftsleitungsebene gehört, predigen Sicherheitsfachleute seit Jahren. Nun gießt auch die EU-Direktive NIS-2 dieses Credo in entsprechende gesetzliche Regelungen. (Bild: leowolfert - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/27/d9/27d93d4db274659ea08f4acf24d690c9/0113633997.jpeg "Ein Passkey ist ein auf dem Public-Key-Verfahren basierendes, sicheres Anmeldeverfahren ohne Passwort. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/c3/79/c37904becb849d8b2f9535b2b979da3f/0113634011.jpeg "Ein Cyber-physisches System besteht aus Mechanik, Software und vernetzter Informationstechnik zum Zweck der Steuerung und des Betrieb komplexer Anlagen und Infrastrukturen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Datenschutz und Standardvertragsklauseln Ergänzenden Maßnahmen für Datenübermittlungen in Drittländer
Wer die Übermittlung personenbezogener Daten in die USA auf die Standardvertragsklauseln der EU stützen will, muss sich mit den notwendigen, ergänzenden Maßnahmen befassen. Ohne die ergänzenden Maßnahmen können die Standardvertragsklauseln das ungültige Privacy-Shield-Abkommen nicht ersetzen. Wir zeigen, wie man die richtige Wahl der Schutzmaßnahmen trifft, wenn es denn eine gibt.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Über das Ende des Privacy-Shield-Abkommens zwischen der EU und den USA wurde schon viel berichtet und diskutiert. Bei den Übermittlungen personenbezogener Daten in die USA passiert ist dagegen wenig, wenn es um Veränderungen geht. Dabei müssen seit dem Urteil des EuGH (Europäischer Gerichtshof) zur Ungültigkeit von Privacy Shield für viele Datenübermittlungen neue Rechtsgrundlagen gefunden werden.
Selbst für die Datenübermittlungen in die USA, die nicht auf Privacy Shield aufgebaut waren, sondern die sich auf die Standardvertragsklauseln der EU beziehen, besteht dringender Handlungsbedarf. Viele Berichte waren hier missverständlich, indem ausgesagt wurde, dass die Standardvertragsklauseln nun die gültige Rechtsgrundlage bilden könnten.
:quality(80)/images.vogel.de/vogelonline/bdb/1824000/1824050/original.jpg "Die DSGVO ist und bleibt ein Dauerbrenner für Unternehmen. (Vogel IT-Medien)")
Neues eBook „Dauerbrenner DSGVO“
Die Gegenwart und Zukunft der Datenschutz-Grundverordnung
Tatsächlich aber gilt: Die von der Kommission im Jahr 2010 beschlossenen Standardvertragsklauseln (auch Standarddatenschutzklauseln) sind weiterhin gültig (und werden gegenwärtig überarbeitet). Aber: Es muss ein Schutzniveau für die personenbezogenen Daten sichergestellt sein, das dem in der Europäischen Union entspricht.
Ohne Zusatzmaßnahmen für die Datensicherheit ist dies für eine Datenübermittlung in die USA aber nicht möglich, wie auch die Aufsichtsbehörden für den Datenschutz betonen. Nur: Welche Zusatzmaßnahmen sind hier geeignet?
Standardvertragsklauseln brauchen für USA ergänzende Maßnahmen
Leider besteht nicht die Möglichkeit, einen einheitlichen Katalog von Maßnahmen zu nennen, an den sich ein Unternehmen halten kann, um die Standardvertragsklauseln dem Urteil des EuGH entsprechend anwenden zu können. Vielmehr muss jedes Unternehmen für den Einzelfall prüfen, ob das Recht des Drittlandes ein angemessenes Schutzniveau bietet und entsprechende zusätzliche Maßnahmen treffen bzw. mit dem Datenimporteur vereinbaren. Für die USA als Drittland wurde entschieden, dass ergänzende Maßnahmen notwendig sind, welche jedoch, muss man als Unternehmen festlegen bzw. vereinbaren.
Wichtig dabei ist: Findet die verantwortliche Stelle, also die Geschäftsleitung im Unternehmen keine ergänzenden Maßnahmen, mit denen ein angemessenes Datenschutzniveau gewährleistet werden kann, muss die Datenübermittlung unterbleiben. Man kann also nicht sagen, man sei nicht fündig geworden und mache deshalb ohne Zusatznahmen auf Basis der Standardvertragsklauseln mit der Übermittlung personenbezogener Daten in die USA weiter.
Aufsichtsbehörden geben Empfehlungen
Doch es gibt eine wichtige Unterstützung. Der Europäische Datenschutzausschuss (EDSA) hat ein Papier mit Empfehlungen zu „zusätzlichen Maßnahmen“ für Datenübermittlungen in Drittländer veröffentlicht. Wohlgemerkt sind es Empfehlungen und keine Vorgabe, genau diese oder jene Maßnahmen umzusetzen. Ein Unternehmen, das zum Beispiel personenbezogene Daten in die Cloud eines US-Betreibers übermitteln möchte, kommt um die Einzelfallprüfung und um die eigenverantwortliche Festlegung der Maßnahmen nicht herum.
Trotzdem sind die Empfehlungen der Aufsichtsbehörden natürlich mehr als hilfreich und willkommen. Der EDSA gibt Anwenderunternehmen zum einen wichtige Hinweise dazu, welche Gesichtspunkte sie im Rahmen der vorzunehmenden Prüfung der Rechtslage im Drittland berücksichtigen müssen.
Zudem gibt der EDSA für eine Reihe typischer „Use Cases“ Hinweise dazu, inwieweit es möglich ist, überhaupt mit Hilfe zusätzlicher Maßnahmen das geforderte Schutzniveau zu erreichen, und inwieweit dies ggf. für bestimmte Fallgruppen nicht möglich ist.
Aufsichtsbehörden wie das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) raten Unternehmen dringend, die Empfehlungen des EDSA genau zu lesen.
Geeignete Maßnahmen als Ergänzung der Standardvertragsklauseln finden
Wie aber geht man vor, um ergänzende Maßnahmen zu finden, die für ein angemessenes Schutzniveau sorgen? Hierzu empfehlen die Aufsichtsbehörden einen Prozess, der damit beginnt, dass man zuerst alle stattfindenden und geplanten Übermitlungen personenbezogener Daten in das Drittland USA ermittelt. Dann muss für jede Datenübermittlung die Rechtsgrundlage gesucht und gefunden werden. Im Idealfall hilft hier das bestehende Verzeichnis von Verarbeitungstätigkeiten nach Artikel 30 DSGVO.
Normalerweise folgt nun die Prüfung, wie es um die Rechtssituation in dem Zielland bestellt ist. Wichtig ist dabei der Hinweis der Aufsichtsbehörden: Die Standardvertragsklauseln können die Behörden des Drittlandes nicht binden und stellen daher in den Fällen, in denen die Behörden nach dem Recht des Drittlandes befugt sind, in die Rechte der betroffenen Personen einzugreifen ohne zusätzliche Maßnahmen der Vertragspartner keinen angemessenen Schutz dar. Wie zuvor erwähnt, ist dies für die USA der Fall, wie das Urteil des EuGH besagt.
Welche Maßnahmen den angemessenen Schutz herstellen können, hängt insbesondere von dem Schutzbedarf der Daten und der vorgesehenen Verarbeitung ab. Nicht alle möglichen Schutzmaßnahmen machen Sinn je nach Art der Datenverarbeitung. So kann eine Verschlüsselung, die weder der US-Betreiber noch die US-Behörde, die einen Datenzugriff wünscht, umgehen könnte, zwar einen Schutz für sensible Daten darstellen. Wenn sich verschlüsselte Daten aber nicht für die geplante Verarbeitung eignen, ist der Schutz für den Zweck nicht möglich. Werden die verschlüsselten Daten dagegen für die weitere Verarbeitung zum Beispiel in der US-Cloud entschlüsselt, liegt kein entsprechender Schutz mehr durch die Verschlüsselung vor.
Ergänzende Maßnahmen können auch dann nicht zum Ziel führen, wenn die gewählten Schutzmaßnahmen in dem Drittland nicht erlaubt wird. Finden sich keine Maßnahmen, die sich umsetzen lassen, gelingt es auch nicht, das angemessene Schutzniveau zu erreichen, und entsprechend darf die Übermittlung in das Drittland nicht (mehr) erfolgen.
Die Bedeutung der technischen Datensicherheit
Doch es gibt auch andere Empfehlungen für ergänzende Schutzmaßnahmen, die sich eignen könnten, je nach Risikoanalyse und vorgesehene Datenverarbeitung, nicht nur Verschlüsselung. Die Empfehlung der Aufsichtsbehörden hat einen entsprechenden Anhang dazu. Diesen gilt es durchzugehen und die Möglichkeiten, die die Maßnahmen bieten können, im konkreten Fall zu hinterfragen.
Generell gilt: Sinnvolle, ergänzende Maßnahmen können abhängen von
- Format der zu übertragenden Daten (in Klartext / pseudonymisiert oder verschlüsselt),
- Kategorie und Schutzbedarf der Daten,
- der Art der Datenverarbeitung,
- der Anzahl der an der Verarbeitung beteiligten Akteure und der Beziehung zwischen ihnen und
- der Möglichkeit, dass die Daten innerhalb desselben Drittlandes weitergegeben werden können oder sogar in andere Drittländer (z. B. Einbeziehung von Unterverarbeitern)
Ergänzende Maßnahmen können grundsätzlich vertraglichen, technischen oder organisatorischen Charakter haben. Die Kombination verschiedener Maßnahmen, die sich unterstützen und aufeinander aufbauen, kann das Schutzniveau verbessern und somit zur Erreichung der EU-Standards beitragen, so die Aufsichtsbehörden.
Doch der Technik kommt eine besondere Stellung zu: Vertragliche und organisatorische Maßnahmen allein werden den Zugang der Behörden des Drittlandes zu personenbezogenen Daten im Allgemeinen nicht überwinden. Es wird deshalb Situationen geben, in denen nur technische Maßnahmen den Zugang zu personenbezogenen Daten behindern oder bewirken könnten, dass der Zugang von Behörden in Drittländern zu personenbezogenen Daten, insbesondere zu Überwachungszwecken, nicht möglich ist.
Wenn aber selbst keine technische Maßnahme helfen kann, um das notwendige Datenschutzniveau zu erreichen, kann auch auf Basis der Standardvertragsklauseln keine Rechtsgrundlage für die Übermittlung in die USA gefunden werden. Dann gilt es, andere Grundlagen in Augenschein zu nehmen, die die DSGVO in Kapitel V aufführt.
(ID:47384415)
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/c8/87c8340a257c77751542cba25517b136/0112752662.jpeg "Die EU-Kommission hat das Data Privacy Framework veröffentlicht - drei Jahre nach dem für ungültig erklärten Privacy Shield. Es gibt Zweifel, dass die neue Rechtsgrundlage jetzt endlich für Sicherheit bei der Übertragung personenbezogener Daten aus der EU in die USA sorgt. (Bild: mixmagic - stock.adobe.com)")