HDI Berater - Ausgabe 02/2021

16

Transatlantischer Datenverkehr

Datenschutz-Probleme bei US-Cloudanbietern

Unternehmen in Europa, die US-Clouddiens- te für ihren transatlantischen Datenverkehr ungeprüft nutzen, laufen Gefahr, gegen EU-Recht zu verstoßen. Es drohen Bußgelder in Millionenhöhe. Der Grund: Nach einem Ge- richtsurteil fehlt dafür eine Rechtsgrundlage. Bereits im Juli 2020 hatte der Europäische Ge- richtshof (EuGH) die zwischen den USA und der EU beschlossene Datenschutzvereinbarung „Privacy Shield“ gekippt. Die Richter bemängelten seinerzeit vor allem, dass US-Behörden umfassend auf Daten der Europäer zugreifen können. So verpflichtet der US-Cloud-Act amerikanische Europäische Unternehmen, die US-Clouddienste für den Daten- verkehr nutzen, laufen aktuell Gefahr, gegen EU-Recht zu ver- stoßen. In Zeiten fortschreitender Digitalisierung benötigt die Wirt- schaft hier wieder dringend ein rechtssicheres Umfeld. Sebastian Wendler, Cyber & Financial Lines Underwriting bei HDI Global SE

Risiko, dass sie gegen die EU-Datenschutz-Grund- verordnung (DSGVO) verstoßen, sobald US-Cloud- dienste für den Datenverkehr genutzt werden. Verstöße können mit Bußgeldern geahndet werden. Die EU-Kommission hat im Juni neue Standard­ vertragsklausel für die Übermittlung personen­ bezogener Daten an Drittländer veröffentlicht, die mit den entsprechenden Vertragspartnern bis 27. Dezember 2022 zu vereinbaren sind. Sebastian Wendler Cyber & Financial Lines Underwriting HDI Global SE Telefon: 0511 / 645 - 34770 E-Mail: Sebastian.Wendler@hdi.global Das Wichtigste auf einen Blick • US-Clouddienste können beim transatlantischen Datenverkehr nicht rechtssicher genutzt werden. • EuGH-Urteil hob Datenschutzvereinbarung „Privacy Shield“ zwischen den USA und der EU auf. • Die EDSA-Empfehlungen und die neuen Standardver- tragsklauseln sollen Rechtssicherheit schaffen.

Unternehmen, ihre gespeicherten Kundendaten, zum Beispiel im Fall eines Terrorverdachts, an US- Strafverfolgungsbehörden weiterzugeben. Das gilt selbst dann, wenn deren Cloud-Server außerhalb der USA betrieben werden. Alte Standardvertragsklauseln bieten keine Lösung In der Zwischenzeit versuchten US-Cloudanbieter, die Datenschutzlücke durch Standardvertrags- klauseln zu schließen. Da aber die Klauseln nur das Verhältnis zwischen ihnen und dem betreffenden europäischen Unternehmen regeln, bleiben US-­ Behörden außen vor. Nachdem der Europäische Datenschutzausschuss (EDSA) Empfehlungen veröffentlicht hat, die u. a. ein sog. Transfer Impact Assessment vorsehen, schickten die Datenschutz-Aufsichtsbehörden bundesweit laut Presseberichten Fragenkataloge an Unternehmen. Dort müssen sie begründen, auf welcher Grundlage sie US-Clouddienste nutzen. Die zugespitzte Lage hatte zuletzt deutsche Kon- zerne veranlasst, einen „Hilferuf“ an Regierungs- politiker in Berlin zu senden. Denn seit Wegfall des „Privacy Shield“ besteht für Unternehmen das

Bei der Nutzung von US-Clouddiensten ist jetzt Vorsicht geboten. Mit gekippter Datenschutzvereinbarung laufen Unternehmen Gefahr, gegen EU-Recht zu verstoßen.

Cyber-Kriminalität

Smartphones sind oft Einfallstore für Hacker

Für 40 Prozent der befragten Unternehmen stellen mobile Geräte wie Smartphones die größte betriebliche IT-Sicherheitsbedrohung dar. Fast neun von zehn Umfrageteilnehmer halten sie für mindestens genauso anfällig wie andere IT-Systeme. Diese Ergebnisse basieren auf dem „Mobile Security Index“ eines US-Telekommunikationsanbieters. Als Hauptgründe nennen die Befragten die ver- stärkte Nutzung von Smartphones und dass die

Unternehmensleitung häufig Sicherheitsmängel in Kauf nimmt, um geschäftliche Ziele nicht zu ge- fährden. In Europa ist die Lage nach Einschätzung des Sicherheitsdienstleisters Perseus ähnlich.

IT-Geräte aufzustellen und die Mitarbeitenden durch Schulungen für das Thema zu sensibilisieren.

Weitere Informationen unter www.perseus.de

Mitarbeitende für Risiken sensibilisieren

Johannes Vakalis Senior Sales Manager

„Mobile Endgeräte und eine Schatten-IT stellen oft Einfallstore für Hacker dar“, sagt Perseus-Expertin Monika Bubela. Deshalb ist es besonders wichtig, betriebliche Richtlinien für die Nutzung privater

Perseus Technologies GmbH Telefon: 030 / 95 999 8080 E-Mail: info@perseus.de