- Anzeigen -
Besuchen Sie auch unser Zeitschriftenportfolio im Bereich Governance, Risk, Compliance & Interne Revision

Sie sind hier: Home » Markt » Hinweise & Tipps

Tipps zur Umsetzung der DSGVO-Vorgaben


Trotz steigender Bußgelder und des vom EuGH gekippten "Privacy Shield" setzt erst jedes fünfte Unternehmen die strengen EU-Datenschutzrichtlinien vollständig um
Nicht zuletzt trägt auch das Urteil des Europäischen Gerichtshofs (EuGH) zum "Privacy Shield" zur Verwirrung bei


- Anzeigen -





Es ist höchste Zeit, dass international tätige Unternehmen ihren Status quo in Sachen Datenschutz überprüfen und im Rahmen der Digitalisierung ihrer Kommunikationsprozesse auch die Umsetzung der DSGVO sicherstellen. Der Cloud-Anbieter Retarus unterstützt Unternehmen seit Jahrzehnten darin, Ihre Kommunikationsdaten rechtskonform zu verarbeiten und zeigt, welche Faktoren dabei zu berücksichtigen sind.

Laut einer aktuellen Studie der internationalen Anwaltskanzlei DLA Piper ist die Summe der verhängten Bußgelder für Verstöße gegen die EU-Datenschutzgrundverordnung (DSGVO) im letzten Jahr europaweit um 40 Prozent gestiegen. Seit dem Inkrafttreten der DSGVO im Mai 2018 wurden in der EU rund 281.000 Verstöße zur Anzeige gebracht.

Die Strafen bei Verstößen betragen bis zu 20 Millionen Euro bzw. vier Prozent des weltweiten Umsatzes. Allein in Deutschland wurden bisher Bußgelder in Höhe von 69,1 Millionen Euro verhängt. Dennoch setzen laut Branchenverband Bitkom erst 20 Prozent der befragten Unternehmen in Deutschland die DSGVO vollständig um. Grund dafür ist unter anderem eine anhaltende Rechtsunsicherheit. Nicht zuletzt trägt auch das Urteil des Europäischen Gerichtshofs (EuGH) zum "Privacy Shield" zur Verwirrung bei.

Retarus hat deshalb DSGVO-Tipps speziell für Unternehmen zusammengestellt, die personenbezogene Daten über EU-Grenzen hinweg übertragen. Dazu zählen unter anderem:

1. Klären, welche personenbezogener Daten übertragen werden
Personenbezogene Daten sind jegliche Informationen in Bezug auf eine identifizierte oder identifizierbare natürliche Person: Name, Standort, Online-Identifikatoren wie etwa IP-Adressen sowie Fakten über physische, psychische, ökonomische oder soziale Identität – auch Faxnummern und E-Mail-Adressen zählen dazu. Ein Transfer personenbezogener Daten findet zum Beispiel bei der Korrespondenz via E-Mail, Fax oder SMS statt. Unternehmen müssen folglich klären, welche Daten sie besitzen oder sammeln, wo diese gespeichert sind, wer sie bearbeitet, wohin sie transferiert werden und ob diese entsprechend der neuen Rechtsgrundlage verarbeitet werden.

2. Werden IT-Dienstleistungen US-amerikanischer Firmen genutzt?
Falls Unternehmen IT-Dienstleistungen von US-Unternehmen – etwa großen Hyperscalern – nutzen, sollten sie genau prüfen, ob ihr Datenexport den DSGVO-Anforderungen gerecht wird, zum Beispiel im Bereich E-Mail-Security und -Archivierung.

3. Früher vom Privacy Shield geschützte Partner überprüfen
Im Juli 2020 hat der EuGH die Datenschutzvereinbarung zwischen der EU und den USA "Privacy Shield" mit sofortiger Wirkung für ungültig erklärt. Die Begründung: EU-Bürger und -Unternehmen sind nicht ausreichend gegen Datenzugriffe amerikanischer Behörden geschützt. Unternehmen sind daher gut beraten, zum Beispiel auf der Website zum Privacy Shield Framework zu prüfen, ob sie mit Unternehmen zusammenarbeiten, die bislang unter den "Privacy Shield" fielen. Falls ja, sollten sie umgehend klären, ob die Firmen die DSGVO-Anforderungen einhalten. Im Zweifel können sie sich eine Bestätigung ausstellen lassen, dass an keinem Punkt der Verarbeitung Daten in die USA beziehungsweise an Dienstleister in den USA übertragen werden und alle Daten ausschließlich in der EU verarbeitet werden.

4. SCCs und BCR genau prüfen, gegebenenfalls ergänzen
Laut dem europäischen Datenschutzausschuss EDPB können auch Standardvertragsklauseln (SCCs) und verbindliche Unternehmensregeln (BCRs) nicht ohne Weiteres als Grundlage für einen Datenexport in die USA verwendet werden. Diese Einschätzung gilt auch für entsprechende Vereinbarungen mit Ländern wie China oder Russland. Gemäß EDBP sind deshalb "zusätzliche Maßnahmen" notwendig, um die vom EuGH kritisierten Zugriffsrechte von US-Nachrichtendiensten komplett auszuschließen. Hierzu gibt es jedoch derzeit nur vorläufige Umsetzungs-Empfehlungen des EDPB. Des Weiteren dürfen Unternehmen gemäß den Sonderregeln aus Artikel 49 DSGVO weiterhin Daten in die USA transferieren, sofern die Bedingungen der Norm erfüllt sind. So ist beispielsweise eine ausdrückliche Einwilligungserklärung der betroffenen Person erforderlich.

5. Geeigneten Cloud-Dienstleister wählen
Mit dem richtigen Cloud-Dienstleister an ihrer Seite profitieren Unternehmen standortübergreifend von sicheren, performanten und flexiblen Kommunikationsprozessen. Dabei muss der Datenschutz gemäß DSGVO kein Hindernis sein, wenn bereits bei der Auswahl darauf geachtet wird, dass potenziell geeignete Cloud-Dienste strengsten Ansprüchen an Datenschutz und Datensicherheit genügen. Im Idealfall garantieren Dienstleister eine lokale Datenverarbeitung innerhalb der EU, stellen die Verarbeitung in eigenen Rechenzentren auch während Failover oder Wartung sicher und nutzen keine US-Hyperscaler.

Für Unternehmen, die schnell überprüfen möchten, ob sie in Sachen Datenschutz auf der sicheren Seite sind, hat Retarus "7 Fragen, die Sie jetzt stellen sollten" zusammengestellt. Außerdem steht ebenfalls frei verfügbar ein Fragenbogen zum Download bereit, mit dem sich leicht überprüfen lässt, ob ein IT-Dienstleister Datenschutz gemäß DSGVO gewährleistet. (Retarus: ra)

eingetragen: 13.03.21
Newsletterlauf: 14.05.21

retarus: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Gesetz zum Whistleblower-Schutz

    Zum Ende des Jahres 2021 wird das deutsche Gesetz zum Whistleblower-Schutz in Kraft treten: Unternehmen mit mehr als 50 Angestellten bzw. einem Jahresumsatz von 10 Mio. Euro müssen verpflichtend Hinweisgebersysteme einführen. Was Arbeitnehmer sowie Unternehmen bei einer Whistleblowing-Plattform beachten sollten, weiß Whistleblowing-Experte Kai Leisering von Business Keeper. EU-Whistleblowing-Richtlinie: Noch sind Whistleblower in Europa und Deutschland nicht ausreichend geschützt: Häufig haben sie für die Meldung eines Missstandes mitunter schwerwiegende Konsequenzen zu befürchten. Das Bundesjustizministerium hat deswegen bis Ende des Jahres Zeit, das deutsche Gesetz zum Whistleblower-Schutz umzusetzen. Die Richtlinie verpflichtet Unternehmen mit mehr als 250 Angestellten bzw. einem Jahresumsatz von 10 Millionen Euro, ab 2023 dann auch Unternehmen mit über 50 Angestellten, staatliche Institutionen und Gemeinden ab einer bestimmten Größe zur Einführung einer Whistleblowing-Plattform.

  • Vermächtnis und Familienbande

    Leere Chefsessel in mittelständischen Betrieben? Vor allem in Familienunternehmen mit bis zu 500 Mitarbeitern sehen sich viele Senior-Entrepreneure bei ihrer Suche nach einem Nachfolger mit enormen Schwierigkeiten konfrontiert. Ein Mangel an geeigneten Kandidaten ist dabei nur einer der Stolpersteine auf dem Weg zum Generationswechsel im Betrieb. "Oft warten Inhaber zu lange damit, ihre Rückzugspläne zu konkretisieren. Bei anderen mangelt es an individuell zugeschnittenen Regelungen", weiß Felix Korten, Rechtsanwalt und Vorstand der Korten Rechtsanwälte AG. Damit sich die Stabsübergabe von der ersten auf die zweite oder sogar dritte Generation nicht zum Spießrutenlauf entwickelt, muss der Machtwechsel gründlich vorbereitet und professionell begleitet werden.

  • Neun Praxistipps zur digitalen Betriebsprüfung

    Eine Steuerprüfung ist immer mit Aufregung verbunden. Geht dann noch das große Suchen los, wird sie zum puren Stress. Damit sich Unternehmen für den Tag X optimal aufstellen, hat der ERP-Hersteller proAlpha neun Praxistipps zusammengestellt. Es gibt schönere Dinge im Leben eines kaufmännischen Leiters als eine digitale Betriebsprüfung. Denn die Menge möglicher Stolpersteine ist enorm. Damit Unternehmen der nächsten Prüfung entspannter entgegensehen können, helfen neun einfache Praxistipps.

  • Expertise für den Schutz digitaler Identitäten

    Die Welt tickt zunehmend digital: Erkennen lässt sich das zum einen am rasanten technologischen Fortschritt und an der Reaktion vieler Unternehmen auf die Corona-Pandemie, in der eine Vielzahl von Arbeits- und Kommunikationsprozessen digitalisiert wurden und zum anderen an dem stark wachsenden Online-Handel. Bereits 2018 trat die Datenschutzgrundverordnung (DSGVO) der EU in Kraft, die Internetnutzern Hoheit über ihre eigenen Daten und deren Schutz zusichern soll. Ein vergleichbares Ziel verfolgt die Schweiz mit der 2020 abgeschlossenen Revision des Bundesgesetzes über den Datenschutz (DSG). Vor diesem Hintergrund kommt auch der Diskussion um die Einführung einer eindeutigen digitalen Identität - auch elektronische Identität oder e-ID genannt - eine immer größere Bedeutung zu.

  • Tipps zur Umsetzung der DSGVO-Vorgaben

    Es ist höchste Zeit, dass international tätige Unternehmen ihren Status quo in Sachen Datenschutz überprüfen und im Rahmen der Digitalisierung ihrer Kommunikationsprozesse auch die Umsetzung der DSGVO sicherstellen. Der Cloud-Anbieter Retarus unterstützt Unternehmen seit Jahrzehnten darin, Ihre Kommunikationsdaten rechtskonform zu verarbeiten und zeigt, welche Faktoren dabei zu berücksichtigen sind. Laut einer aktuellen Studie der internationalen Anwaltskanzlei DLA Piper ist die Summe der verhängten Bußgelder für Verstöße gegen die EU-Datenschutzgrundverordnung (DSGVO) im letzten Jahr europaweit um 40 Prozent gestiegen. Seit dem Inkrafttreten der DSGVO im Mai 2018 wurden in der EU rund 281.000 Verstöße zur Anzeige gebracht. Die Strafen bei Verstößen betragen bis zu 20 Millionen Euro bzw. vier Prozent des weltweiten Umsatzes. Allein in Deutschland wurden bisher Bußgelder in Höhe von 69,1 Millionen Euro verhängt. Dennoch setzen laut Branchenverband Bitkom erst 20 Prozent der befragten Unternehmen in Deutschland die DSGVO vollständig um. Grund dafür ist unter anderem eine anhaltende Rechtsunsicherheit. Nicht zuletzt trägt auch das Urteil des Europäischen Gerichtshofs (EuGH) zum "Privacy Shield" zur Verwirrung bei.