Sie sind hier: Home » Markt » Hintergrund

Schrems II: Das Dilemma der KMU


Prozesse und Abläufe neu evaluieren und den Regularien der EU-DSGVO anzupassen
Viele KMU sind mit großen Herausforderungen durch Schrems II konfrontiert



Vor 40 Jahren wurde die europäische Datenschutzkonvention unterzeichnet. Jährlich wird deshalb am 28. Januar der Europäische Datenschutztag begangen. Der Datenschutz stellt Unternehmen weiterhin vor große Herausforderungen: Mit dem Urteil des Europäischen Gerichtshof in Sachen Schrems II wächst der Druck auf kleine und mittlere Unternehmen, ihre Prozesse und Abläufe neu evaluieren und den Regularien der EU-DSGVO anzupassen. Mareike Vogt, Fachexpertin für Datenschutz bei TÜV SÜD, beleuchtet dieses aktuelle Thema näher.

Die EU-DSGVO gibt vor, dass der Transfer personenbezogener Daten an einen Staat außerhalb der EU/EWR unter anderem nur erlaubt ist, wenn die Zielländer oder -organisationen einen gleichwertigen Datenschutz zur Europäischen Datenschutzgrundverordnung (EU DSGVO) garantieren. Diese Anforderung erfüllen beispielsweise die Vereinigten Staaten von Amerika nicht, weswegen der EU Privacy Shield vom Europäischen Gerichtshof (EuGH) in der Klage Schrems II gekippt wurde.

Laut vieler Experten war dies bereits abzusehen, seit das Abkommen eingeführt wurde. Die Nachlässigkeit der Politik stellt jetzt besonders kleine und mittlere Unternehmen (KMU) vor große Schwierigkeiten: Es gilt, die eigenen Prozesse und die dabei genutzte Soft- und Hardware (beispielsweise Rechenzentren) schleunigst anzupassen.

Neue Verträge oder neue Anbieter?
KMU greifen in ihrer täglichen Arbeit meist auf Software-Lösungen und as-a-Service-Dienste von größeren, etablierten Anbietern zurück oder sie richten sich nach den Prozessen und Anforderungen ihrer Kunden. Um sicher zu gehen, dass die verarbeiteten personenbezogenen Daten dem Urteil entsprechend geschützt werden, muss dies nun alles überprüft werden. Sollten KMU nämlich Standardvertragsklauseln als Garantie mit den Anbietern der Dienste abgeschlossen haben, so kann es sein, dass diese ebenfalls durch Schrems II beeinflusst werden. Oftmals genügen diese Klauseln nicht zum Schutz der personenbezogenen Daten innerhalb der USA und weitere technische Maßnahmen müssen ergriffen werden.

Hinzu kommt, dass enorm viele Daten, auf den ersten Blick hinter Subdienstleistern versteckt, in die USA fließen oder dort auf Servern lagern, obwohl die Anbieter eigentlich ein europäisches Unternehmen sind oder hier Niederlassungen haben. Sind die Anbieter nicht in der Lage, sich dem Urteil anzupassen, so sind auch die KMU in der Pflicht, sich sofort nach neuen Lösungen umzusehen oder sogar die Dienste selbst zu stellen, beispielsweise "on premise", also über eigene Server.

Externe Hilfe gleicht Fachkräftemangel aus
Viele KMU sind mit großen Herausforderungen durch Schrems II konfrontiert. Wer es versäumt, der EU-DSGVO nachzukommen, dem drohen empfindliche Bußgelder und die öffentliche Bloßstellung durch zivile Organisationen, wie zum Beispiel NOYB, die sich dem Datenschutz verschrieben haben. Diese schrecken nicht davor zurück, Unternehmen auch einmal an einen digitalen Pranger zu stellen. Vielen Firmen mangelt es außerdem an entsprechenden Fachkräften, um die Forderungen umzusetzen. Es gibt jedoch einen einfachen Ausweg für die KMU aus diesem Dilemma: Unabhängige Berater und extern benannte Datenschutzbeauftragte sind zugelassen und entlasten nicht nur das Unternehmen selbst, sondern garantieren zudem eine objektive Bewertung der Sachlage. Mit ihrer Hilfe können auch kleine und mittlere Betriebe ohne zu großen Aufwand ihre Systeme und Prozesse an die neue Situation anpassen. (TÜV SÜD: ra)

eingetragen: 01.02.21
Newsletterlauf: 19.03.21

TÜV Süd: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hintergrund

  • IP-Adressen der einzige Ermittlungsansatz?

    Die Ampel-Regierung hat sich nach Angaben von FDP-Rechtspolitikern im Kabinett auf das sogenannte "Quick-Freeze-Verfahren" geeinigt. Verkehrsdaten sollen bei diesem Modell nur bei einem Anfangsverdacht auf eine Straftat auf Richteranordnung gespeichert werden.

  • Unterschied zwischen DSA und NetzDG

    Am 17. Februar 2024 trat der Digital Services Act (DSA), das EU-Regelwerk für Internet-Plattformen, in vollem Umfang in Kraft. Bayerns Justizminister Georg Eisenreich sagte: "Hass und Hetze im Internet bedrohen unsere Demokratie wie nie zuvor. Nach einer aktuellen, repräsentativen Studie wurde fast jede zweite Person in Deutschland bereits online beleidigt, ein Viertel der Befragten mit körperlicher Gewalt konfrontiert.

  • Entwicklung der Künstlichen Intelligenz 2024

    Unkoordinierter Einsatz, Fokus auf Personalisierung, Gleichberechtigung am Arbeitsplatz, ROI sowie Bedrohungen und Chancen sind die Trends, die die Künstliche Intelligenz 2024 prägen werden. Der weltweite Umsatz im Bereich Künstliche Intelligenz in den Anwendungsfeldern Hardware, Software und IT-Services könnte sich im Jahr 2024 auf über 550 Milliarden US-Dollar belaufen.

  • Wird KI den Finanzberater ersetzen?

    Die Zeiten, in denen Finanzdienstleister in Deutschland künstlicher Intelligenz nur zaghaft begegneten, sind vorbei. Banken, Vermögensverwalter und Asset Manager haben KI eindeutig als eine der strategisch wichtigsten Technologien für die Branche erkannt. Allerdings ist es für viele Akteure nach wie vor schwierig, diese effektiv umzusetzen.

  • Absichern entlang der Lieferkette

    Das Lieferkettensorgfaltspflichtengesetz (LkSG) sieht für die betroffenen Unternehmen vor, "menschenrechtliche und umweltbezogene Sorgfaltspflichten in angemessener Weise zu beachten" (§ 3 Abs. 1 Satz 1 LkSG). Vom Gesetzestext selbst könnten sich viele Unternehmen jedoch erst einmal unbeeindruckt fühlen.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen