Am 16. Juli 2020 wurde das „Privacy Shield“ vom Europäischen Gerichtshof (EuGH) gekippt. Das bedeutet: Unternehmen sind nun quasi „über Nacht“ dazu verpflichtet, ihre Datenströme in Drittländer wie die USA sowie die Datenspeicherung dort rechtskonform zu gestalten. Ansonsten droht ein Verstoß gegen die Europäische Datenschutzgrundverordnung (DSGVO). Die Entscheidung bietet einige Unklarheiten und Risiken für eine auch zukünftig legale Verarbeitung personenbezogener Daten in den meisten Ländern außerhalb der EU. Jedes Unternehmen muss nun selbst sicherstellen, dass ein – für den EuGH – angemessenes Datenschutzniveau dort eingehalten wird, wo die Daten verarbeitet werden.
Das transatlantische Datenschutz-Abkommen Privacy Shield zwischen der Europäischen Union und den USA, das von 2015 bis 2016 ausgehandelt wurde, biete keinen angemessenen Schutz mehr für die Verarbeitung personenbezogener Daten, urteilten die Richter des EuGH. Denn die US-Regierung könne per amerikanischer Rechtslage auf personenbezogene Daten zugreifen, ohne dass betroffene EU-Bürger dagegen einen ausreichenden Rechtsschutz nach der EU-Grundrechte-Charta hätten.
Viele Unternehmen sehen sich durch diese Entscheidung plötzlich mit dem Problem konfrontiert, dass einigen ihrer Datenverarbeitungen nun mehr die Rechtsgrundlage entzogen wurde, wenn Sie zuvor auf Grundlage des Privacy Shields stattfanden. Leider birgt die Entscheidung weitere Unsicherheiten und Risiken für eine zukünftig noch legale Datenverarbeitung in den meisten Nicht-EU-Ländern.
Aufsichtsbehörden haben sich bereits zu Wort gemeldet und klargestellt, dass es für den Privacy Shield keine Übergangsfrist gebe. Es drohen empfindliche Bußgelder. Bei Verstößen gegen die DSGVO dürfte der europäische Datenexporteur primär zur Haftung herangezogen werden.
Viele Unternehmen sind nicht vorbereitet
Momentan ist unklar ist, wie ein rechtskonformer Datenverkehr in Zukunft aussehen könnte. Einige Unternehmen haben Vorsorge getroffen und setzten sich bereits in der Vergangenheit intensiv mit der Rechtsgrundlage auseinander. Andere sind nun zumindest dabei, ihre Datenströme rechtskonform zu gestalten. Aber es gibt auch einige Unternehmen, die bisher überhaupt keine Vorsorge für den nun eingetretenen Fall geleistet haben – und vielleicht auch nie leisten werden.
Besonders heikel ist, dass jedes Unternehmen selbst prüfen muss, ob das erforderliche Datenschutzniveau in dem Land, in dem die Daten verarbeitet werden, eingehalten wird. Die konkrete Umsetzung, also das schlichte „Wie soll ich es leisten“ ist unbekannt. Ein wichtiger Baustein ist für die betroffenen Unternehmen die Überprüfung Ihrer Verarbeitungsverzeichnisse und Ihrer technisch-organisatorischen Maßnahmen zur IT-Sicherheit („TOMs“). Die Überprüfung ist allerdings nur der erste Schritt, um rechtliche Risiken zu identifizieren, entschärft solche Risiken allerdings nicht.
Zunahme sensibler Daten
Erschwerend hinzukommt, dass das Volumen sensibler Informationen kontinuierlich wächst: Es wird erwartet, dass bis ins Jahr 2025 sensible Daten bis zu 80 Prozent des globalen Datenvolumens ausmachen werden. Um aus dieser wachsenden Informationsflut Erkenntnisse zu gewinnen, ohne das Unternehmen unnötigen rechtlichen Risiken auszusetzen, müssen Dateien mit sensiblen Daten entdeckt, klassifiziert und dann entsprechend abgesichert werden. Erst durch eine proaktive Kennzeichnung dieser Informationen werden sowohl interne als auch externe Benutzer in der Lage sein, Dateien unter Einhaltung der Sicherheits- und Datenschutzanforderungen effektiv über mehrere Plattformen hinweg gemeinsam zu nutzen.
Standardvertragsklausel-Verträge und Vereinbarungen als Rettungsanker?
Der vermeintliche Hoffnungsschimmer nach der Schrems II-Entscheidung ist die Anpassung der Standardvertragsklauseln. Diese Anpassungen sind derzeit wenig konkret und stehen in der Diskussion. Gleichzeitig hat der EuGH klargestellt, dass solche Anpassungen zwischen Unternehmen wirkungslos wären, wenn sie keinen effektiven Schutz gegen staatliche Nachrichtendienste darstellen können. Die Unternehmen haben es damit doppelt schwer: Einerseits müssen sie untereinander das EU-Datenschutzniveau vertraglich regeln und eventuell sogar mit den staatlichen Eingriffsmöglichkeiten abwägen, die selbst das EU-Recht erlaubt. Andererseits müssen die Unternehmen davon ausgehen, dass selbst der beste Vertrag keinen Schutz bietet, wenn er vor Ort nicht durchsetzbar ist.
Wie steuert man auf die sichere Seite der Gesamtsituation und vermeidet sich auftuenden Klippen?
Unternehmen müssen Ihre personenbezogenen wie andere schützenswerten Daten (z.B. Betriebsgeheimnisse) absichern – und zwar unabhängig vom Standort des Datenverarbeiters. Das Stichwort lautet: Verschlüsselung. Der EuGH hat dazu „andere Mittel“ neben den vertraglichen Änderungen der Standardvertragsklauseln ins Spiel gebracht. Die Datenschutzbehörde von Baden-Württemberg hat dazu jüngst klargestellt, dass sie eine Verschlüsselung als ein solches Mittel sieht.
Wie müsste also Verschlüsselung aussehen, um die neu entstandenen Herausforderungen zu adressieren und Risiken nachhaltig zu reduzieren?
Wichtig ist, dass nur der Besitzer der Daten den jeweiligen Schlüssel hat, um die verschlüsselten Daten zu entschlüsseln. Gleichzeitig müssen die Daten für Dritte wie Geschäftspartner nutzbar bleiben. Daraus ergibt sich, dass nur bestimmte Daten verschlüsselt werden sollten, und zwar formaterhaltend.
Eine solche Möglichkeit bietet sich mit dem Micro Focus Voltage Portfolio.
Micro Focus ist mit über 80 Patenten und vielen Jahren Erfahrung führend für Lösungen im Bereich Datensicherheit. Mit fortschrittlicher Datenverschlüsselung, Tokenisierung und Schlüsselverwaltung zum Schutz von Daten über Anwendungen, Transaktionen, Storage und große Datenplattformen hinweg vereinfacht Micro Focus den Schutz sensibler Daten selbst in komplexen Anwendungsfällen.
Strukturierte Daten schützen
Vor dem Hintergrund der ansteigenden Datenmengen, in der IT-Sicherheit auch vor dem Hintergrund des Sicherheits-Monitorings, ist man darauf angewiesen, Daten möglichst frei von Zwängen, kreativ analysieren und mit deterministischen Verfahren untersuchen zu können.
Um hierbei Interessenskonflikte mit Datenschutzanforderungen zu vermeiden, können Daten mit Hilfe von formaterhaltender Verschlüsselung für Analysezwecke bereitgestellt werden, ohne sensible Inhalte voll offenlegen zu müssen. Dies bietet einen besseren Schutz der sensiblen Informationen im Sinne des Dateninhabers unter Beibehaltung der technischen Nutzbarkeit.
Voltage SecureData Enterprise bietet End-to-End-Schutz für strukturierte Daten durch formaterhaltende Verschlüsselung und Tokenisierung für eine datenzentrierte Sicherheit während des gesamten Lebenszyklus. Zu den Features gehören:
– Verschlüsselung der Daten selbst und unter Beibehaltung des Formats, d.h. beispielsweise eine verschlüsselte E-Mail sieht auch später aus wie eine E-Mail
– Unterschiedliche Integrationen bzw. Schnittstellen, um die Kommunikation der einzelnen Komponenten für die Verschlüsselung zu realisieren
– Daten können direkt an der Quelle verschlüsselt werden und werden auch nur bei Bedarf entschlüsselt
– Verschlüsselung vertraulicher Daten bei Big Data-Anwendungsfällen, sodass Analysen auf entsprechend geschützten bzw. verschlüsselten Daten durchgeführt werden können
– Verschlüsselung und Pseudonymisierung ermöglichen Datenschutz für den Einzelnen, bauen Kundenvertrauen auf und helfen dabei, den Anforderungen von DSGVO, CCPA und HIPAA gerecht zu werden
Mit Voltage SecureData können Sie Ihre strukturierten Daten von der erstmaligen Erstellung über die Nutzung und Verarbeitung bis hin zum Ruhezustand und zur Löschung absichern. Auch für die erstmalige Erkennung und Klassifizierung strukturierter Daten bietet Micro Focus Lösungen an.
Daten in der Cloud schützen
In einer Public oder Hybrid Cloud befinden sich die Daten außerhalb des klassischen, bekannten und gewohnten Einflussbereichs des Dateneigentümers – der Schutz von Daten nimmt deswegen in der Cloud eine entscheidende Rolle ein. Inwieweit ist die Nutzung von Cloud-Plattformen von Firmen außerhalb der EU überhaupt weiterhin noch ohne weiteres möglich? Inwieweit kann ich meinem Cloud-Anbieter vertrauen? Und wie gut sind meine Daten in der Cloud tatsächlich geschützt?
Voltage SecureData Sentry ist eine Lösung, die Anwender dabei unterstützt, Daten bei ihrer Übertragung in die Cloud-Applikationswelt zu verschlüsseln (etwa Salesforce.com, Concure, SuccessFactors, MS Dynamics…) und so vor unbefugtem Zugriff in der Cloud schützt.
Die Sicherheitslösung bietet unter anderem folgende Möglichkeiten:
– Schutz von Daten in SaaS Anwendungen und Beibehaltung der Kontrolle über die Keys, da diese im eigenen Unternehmen verbleiben
– Reduzierung der Risiken in Falle eines Breaches einer Cloudanwendung, da sensible Daten verschlüsselt sind
– Nutzung der formaterhaltenden Verschlüsselung von Voltage SecureData
– Mithilfe eines Proxy Interception-Ansatzes ist eine Unterstützung unterschiedlicher SaaS Anwendungen möglich
Sie wissen nicht, welche Daten Sie nach dem Fall des Privacy Shields wie schützen sollten? Sie möchten mehr darüber erfahren, wie Verschlüsselung aussieht, die Ihre Business-Anforderungen unterstützen kann?
Dann kontaktieren Sie unsere Experten von Micro Focus. Wir helfen Ihnen gerne weiter.
Kostenfreies Webinar am 3. September
Welche unmittelbaren und langfristigen Folgen bringt das EuGH-Urteil mit sich? Was fordern die Datenschutzbehörden und welche Daten sollten Sie wie schützen? Wie kann Verschlüsselung helfen, um den rechtlichen Anforderungen gerecht zu werden? Wie muss Verschlüsselung aussehen, um Ihren Business-Anforderungen gerecht zu werden?
Diese und viele weitere Fragen beantworten Andreas Bahr, Presales Manager Security, Risk & Governance bei Micro Focus, Bernd Suchomski, Rechtsanwalt und zertifizierter Datenschutzbeauftragter, und Tobias Fuertjes, Presales Consultant Data Privacy bei Micro Focus, in dem kostenfreien Webinar „Nach dem Privacy Shield: Die Kunst des Datenschutzes“ am 3. September 2020 um 10 Uhr. Nutzen Sie diese Gelegenheit und holen Sie sich wertvolle Informationen von unseren Experten.
Nach dem Privacy Shield: Die Kunst des Datenschutzes
3. September 2020, 10 Uhr
Jetzt anmelden
Disclaimer: Dieser Beitrag stellt keine Rechtberatung dar oder sollte die alleinige Grundlage für eine Kaufentscheidung darstellen. Der Beitrag ist sorgfältig recherchiert, ersetzt aber keine anwaltliche Beratung oder eine individuelle Analyse der kundenspezifischen Gegebenheiten.
