Privacy Shield für ungültig erklärt: Was Unternehmen jetzt tun sollten

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche
Quelle: NTT Ltd.
Veröffentlicht von SecuPedia-Redaktion am 17. Juli 2020.

Bad Homburg, 17.07.2020 - Das gestrige Gerichtsurteil des EuGH zur Ungültigkeit des Privacy Shield (s. SecuPedia-Meldung mit Link zum Urteil) hat Auswirkungen auf die unternehmerische Realität. Die Expertin Eva-Maria Scheiter, Managing Consultant GRC bei NTT Ltd.’s Security Division, gibt Hinweise zum Hintergrund und erläutert, welche Maßnahmen Unternehmen jetzt treffen sollten:

In einer globalisierten Welt und angesichts der immer weiter voranschreitenden technischen Entwicklung ist der grenzüberschreitende Datenverkehr an der Tagesordnung. Vor dem Hintergrund des aktuellen Gerichtsurteils ist aber ein Datentransfer in die USA, der sich bisher auf das Privacy Shield stützte, mit sofortiger Wirkung nicht mehr zulässig. Hier sind nun andere Garantien beizubringen.

Die Standardvertragsklauseln sind weiterhin gültig und als Garantie bei einer Übermittlung von Daten in sogenannte Drittländer anwendbar. Dabei hat der Verantwortliche jedoch – so das EuGH - sicherzustellen, dass angemessen der lokalen Gesetzeslage tatsächliche ausreichende Schutzmechanismen etabliert sind.

Aktuell ist nicht klar, wie die Aufsichtsbehörden mit dem Gerichtsurteil umgehen werden. Eventuell wird eine Übergangsfrist zur Umsetzung gewährt. Auch Datenschutzverbände fordern bereits, Sanktionsmaßnahmen vorerst auszusetzen, um den Unternehmen die Möglichkeit zum Handeln zu geben.

Unternehmen sollten dennoch unverzüglich folgende Maßnahmen auf den Weg bringen: 

  1. Eine Auflistung erstellen, welcher Datenverkehr über die „Garantie“-Standardvertragsklausel abgedeckt ist. 
  2. Anschließend ist durch den Verantwortlichen im Rahmen einer Einzelfallprüfung zu prüfen, ob angemessen der lokalen Gesetzeslage tatsächlich ein ausreichender Schutz gegeben ist.
  3. Wenn dies nicht der Fall ist, gilt es, den Export auszusetzen und die Aufsicht zu informieren. 
  4. Zudem sollten Unternehmen weitere Garantien etablieren, wie beispielsweise Binding Corporate Rules.
(Quelle: PM von NTT Ltd. vom 17.07.2020)

Kategorien E-Mail Service konfigurieren

  • Datenschutz / Datensicherheit

Benutzergruppe

  • Alle Benutzer