Datentransfer in die USA ist Standard – Aber ist es auch compliant?
Fakten: In der EU gilt der Grundsatz, dass eine Übertragung personenbezogener Daten in Drittländer nur stattfinden darf, wenn im importierenden Land ein der EU gleichwertiges Datenschutzniveau gilt. Standardvertragsklauseln sind von der Europäischen Kommission verabschiedete Vertragsmuster. 91 Prozent der Befragten geben an, Standardvertragsklauseln zu nutzen. Das Schrems II-Urteil hat allerdings zu einer erheblichen Nachschärfung der Anforderungen an die Standardvertragsklauseln geführt. Die Studie gibt hierbei keine Aussage, wie viele Unternehmen zum 27.12.2022 auch bei bestehenden Vertragsbeziehungen die neuen Standardvertragsklauseln abgeschlossen haben, wie es durch das Urteil erforderlich wurde.
Data Transfer Impact Assessment (DTIA): Der Datenexporteur trägt die Verantwortung für eine Prüfung des Datenschutzniveaus in einem Drittland, in das beabsichtigt ist, Daten zur Verarbeitung zu übermitteln. Das Schutzniveau beim Umgang mit personenbezogenen Daten muss dabei europäischen Standards entsprechen. Hierfür ist eine Datentransfer-Risikoabschätzung (DTIA) durchzuführen. Sicherlich auch ein Grund dafür, dass eine steigende Anzahl von Unternehmen mit Einwilligungen von Betroffenen arbeitet. Waren es 2021 erst zwölf, so sind es jetzt 27 Prozent.
Empfängerländer: Wenig überraschend, finden die meisten Datentransfers von deutschen Unternehmen in die USA mit 59 Prozent statt – weiter anwachsend gegenüber 2021 (52 Prozent). Großbritannien, China und insbesondere Russland verlieren Anteile bei der Fragestellung, in welchen Ländern außerhalb der EU die personenbezogenen Daten verarbeitet werden. Russland erfährt gar einen regelrechten Absturz von 18 (Platz drei in 2021) auf null Prozent. Der russische Überfall auf die Ukraine macht sich auch beim Datentransfer bemerkbar.
Outsourcing: Die Antworten auf die Warum-Frage liefern konkrete Gründe für den Datentransfers in Drittländer. Die Nennungen führen Cloud-Angebote an, gefolgt von der Nutzung von Kommunikationssystemen, sowie als drittem Punkt die Inanspruchnahme von weltweiten Dienstleistern, um einen 24/7-Securitysupport vorhalten zu können. Es wird klar: Die Antworten auf die Wohin-werden-Daten-transferiert-Frage und die Warum-Frage stehen in enger Korrelation zueinander. Schließlich sind die größten US-Cloudanbieter Amazon, Google, IBM und Microsoft. 40 Prozent der Hyperscale-Rechenzentren, die die weltweite Cloud-Infrastruktur bilden, stehen in den USA.
Abhängigkeit: Ein weiteres Studienergebnis zeigt, dass ein Aus von Datentransfers einschneidende Folgen für die Unternehmen hätte. Konkret: Bestimmte Produkte könnten nicht mehr angeboten werden, ein globaler Support könnte nicht mehr vorgehalten werden und nicht zuletzt werden Wettbewerbsnachteile gegenüber Unternehmen aus Nicht-EU-Ländern befürchtet. „Die Studienergebnisse machen zwei Dinge deutlich: 1. Welchen hohen Stellenwert inzwischen der Datentransfer in Nicht-EU-Staaten hat und 2. wie wichtig für jedes Unternehmen deshalb individuelle, nachvollziehbare, sowie passgenaue Datenschutzlösungen bei einem Drittlandtransfer sind“, unterstreicht der erfahrene Datenschutzexperte Dr. Jörn Voßbein.
Die UIMC ist eine gesellschaftergeführte mittelständische Unternehmensberatung mit den Kerngebieten Datenschutz und Informationssicherheit; im Datenschutz gehören wir zu den marktführenden Beraterhäusern. Wir bieten als Vollsortimenter sämtliche Unterstützungsmöglichkeiten der Analyse, Beratung, Umsetzung und Schulung/Sensibilisierung bis hin zum Komplett-Outsourcing des Beauftragten an.
Das Schwesterunternehmen UIMCert ist als sachverständige Prüfstelle für die Norm ISO/IEC 27001 von der DAkkS akkreditiert.
UIMC Dr. Vossbein GmbH & Co. KG
Otto-Hausmann-Ring 113
42115 Wuppertal
Telefon: +49 (202) 946 7726 200
Telefax: +49 (202) 946 7726 9200
http://www.uimc.de
Geschäftsführer
Telefon: +49 (202) 9467726-200
Fax: +49 (202) 9467726-9200
E-Mail: consultants@uimc.de