Oberursel, 30. Juli 2020 – Das Urteil des Europäischen Gerichtshofs (EuGH) ist gefallen: Das EU-US Privacy Shield, das den Austausch personenbezogener Daten zwischen der EU und den US legitimiert, ist für ungültig erklärt worden. Der EuGH sah das Datenschutzniveau nach europäischen Maßstäben als nicht gesichert an.
„Konkret bedeutet das Scheitern des Privacy Shields, dass eine rechtliche Grundlage für den Datentransfer von der EU in die USA weggefallen ist“, sagt Jens Bothe, Sicherheitsexperte bei der OTRS AG. „Deshalb sollten EU-Unternehmen prüfen, auf welcher rechtlichen Grundlage ihre Daten transferiert werden, um im Sinne der DSGVO zu handeln und mögliche Bußgelder zu vermeiden.“
Die OTRS AG gibt 3 Tipps, um die Zusammenarbeit mit US-Dienstleistern weiterhin auf sicherem Niveau halten zu können:
1. Prüfung der Rechtsgrundlage für den Datenexport mit US-Dienstleistern
- Europäische Unternehmen, die mit US-Dienstleistern zusammenarbeiten, sollten bei diesen EU-Standardvertragsklauseln anfragen und abschließen, um eine rechtliche Grundlage für den Datentransfer zu haben. Dies ist zum Beispiel auch schon der Fall, wenn ein Unternehmen Kommunikationssysteme nutzt, deren Anbieter seinen Hauptsitz in den USA hat.
- Wenn personenbezogene Daten im Spiel sind, muss der Auftraggeber außerdem einen AVV (Auftragsverarbeitungsvertrag) abschließen. Dieser ist zentraler Bestandteil der DSGVO und regelt die Rechte und Pflichten von Auftragnehmer und Auftraggeber.
2. Technische und organisatorische Maßnahmen
Weiterhin müssen zwischen beiden Unternehmen sogenannte TOMs (Technische organisatorische Maßnahmen) vorhanden sein und immer wieder kontrolliert werden, um Sicherheit gewährleisten zu können. Auf der technischen Seite gehören dazu Maßnahmen wie z.B. Sicherung der Benutzerkonten, Passworterzwingung oder Benutzeridentifikation. Auf der organisatorischen Seite zählen all solche Schutzversuche, die durch Handlungsanweisung wie Besucheranmeldung oder Vier-Augen-Prinzip umgesetzt werden können, dazu.
3. Augenmerk darauf, wo die Daten liegen
Bei der Auswahl von US-Dienstleistern ist es empfehlenswert darauf zu achten, dass auch Europäische Datencenter zur Verfügung stehen, in denen die Daten gehostet werden. So ist der Datentransfer in die USA möglicherweise gar nicht unbedingt notwendig.
4. Erstellung von einheitlichen Compliance Regeln
Unternehmen sollten außerdem klare Compliance Regeln haben und ihre Mitarbeiter immer wieder dafür sensibilisieren. Den Mitarbeitern sollte klar sein, dass sie von ihren Firmenrechnern nicht jedes System herunterladen und nutzen dürfen, sondern nur die, die im Einklang mit den Compliance Regeln stehen.
Mehr Informationen dazu, wie OTRS Unternehmenssicherheit strukturieren kann, finden sich hier.
Über die OTRS AG
Die OTRS AG ist der Hersteller und weltweit größte Dienstleister für die Service Management Suite OTRS, ausgezeichnet mit dem Gütesiegel SERVIEW CERTIFIED TOOL. Sie bietet Unternehmen aller Größen flexible Lösungen zum Prozess- und Kommunikationsmanagement, um Zeit und Geld zu sparen. Zu ihren Kunden zählen unter anderem Lufthansa, Airbus, IBM, Porsche, Siemens, BSI (Bundesamt für Sicherheit in der Informationstechnik), Max-Planck-Institut, Toyota, Hapag Lloyd und Banco do Brazil (Bank of Brazil). OTRS ist in 40 Sprachen verfügbar. Das Unternehmen besteht aus der OTRS AG und ihren sechs Töchtern OTRS Inc. (USA), OTRS S.A. de C.V. (Mexiko), OTRS ASIA Pte. Ltd. (Singapur), OTRS Asia Ltd. (Hongkong), OTRS Do Brasil Soluções Ltda. (Brasilien) und OTRS Magyarország Kft. (Ungarn). Die OTRS AG ist im Basic Board der Frankfurter Wertpapierbörse gelistet. Weitere Informationen unter: www.otrs.com