In vielen Unternehmen ist der Austausch von Daten mit Projektpartnern, Agenturen oder Dienstleistern ein häufig durchgeführter Prozess. Wenn es sich bei diesen Daten um personenbezogene Daten handelt, müssen auch die Prinzipien der Datenschutz-Grundverordnung (DSGVO) berücksichtigt werden.
Beispiele für solche Datentransfers wären:
- Die Übermittlung an einen Versender von Newslettern.
- Das Importieren von Daten in ein zentrales CRM-System.
- Das Senden von Kundendaten an eine Telefonmarketing-Agentur für eine Telefonkampagne.
- Die Übermittlung von Gewinnspielteilnehmern an ein Partner-Unternehmen, mit dem man gemeinsam das Gewinnspiel veranstaltet hat.
Vor jeder solchen Übermittlung von personenbezogenen Daten muss man sich einige Fragen stellen:
- Dürfen diese Daten überhaupt weiter gegeben werden? Wurde die betroffene Person darüber informiert, dass Daten an diese andere Stelle weiter gegeben werden?
- Welcher Übertragungsweg wird verwendet? Sind die Daten dabei ausreichend geschützt?
- Findet eine Übermittlung in ein Land außerhalb der Europäischen Union statt? Dürfen die Daten in dieses Land übermittelt werden?
Informationspflicht der betroffenen Person
Nur wenn die betroffene Person laut Artikel 13 über die „Empfänger bzw. Kategorien von Empfängern der personenbezogenen Daten“ informiert wurde, dürfen die Daten auch an diese weiter gegeben werden.
Geschützte Datenübertragung ist nicht ganz einfach
Der Schutz bei der Datenübertragung ist ein häufiges Problem. Oft werden Daten der Einfachheit halber als Anhang in einer E-Mail verschickt. Der Anhang sollte dabei jedenfalls verschlüsselt bzw. mit einem Kennwort geschützt werden. Schließlich kann es bei der Erstellung einer E-Mail schnell passieren, dass man einen falschen Empfänger eingibt und schon erhält eine Person die Daten, die sie überhaupt nicht sehen sollte. Bei einem Kennwortschutz darf das Kennwort natürlich nicht in der gleichen Mail enthalten sein. Es sollte zumindest in einer eigenen Mail verschickt oder auf anderem Weg übermittelt werden, z. B. in einer SMS.
Noch sicherer, aber mit etwas zusätzlichem Einrichtungsaufwand verbunden, ist die Übermittlung über Datenaustauschplattformen, private clouds (z. B. owncloud) oder SFTP-Server. Bei der Verwendung von Datenaustauschplattformen wie Dropbox, WeTransfer & Co. sollte Ihnen bewusst sein, dass sich diese Dienstleister oft nicht in der EU befinden. Der Dienstleister wird durch das vorübergehende Speichern von personenbezogenen Daten zum Auftragsverarbeiter im Sinne der DSGVO und damit muss es mit diesem auch einen schriftlichen Vertrag geben, in dem auch der Datenschutz geregelt und die Vorgaben der DSGVO erfüllt werden.
Achtung bei Dienstleistern außerhalb der EU
Bei der Verwendung eines Dienstleister außerhalb der EU, egal ob für den Datenaustausch oder für andere Dienste wie den Versand eines Newsletters, muss geprüft werden, ob Daten in das jeweilige Land übermittelt werden dürfen. Welche Länder das sind wird von der EU-Kommission festgelegt bzw. kann man bei der Aufsichtsbehörde eine entsprechende Freigabe für die Übermittlung an ein bestimmtes Unternehmen in einem bestimmten Land beantragen. Die Formalismen sind hier also recht umfassend.
Besser ist es demnach, Daten nur in die Länder zu übermitteln, für die die EU-Kommission ein mit der DSGVO vergleichbares Datenschutzniveau bestätigt. Generell ist man bei Unternehmen aus dem EWR-Raum und auch der Schweiz auf der sicheren Seite, da diese Länder ihre Datenschutzgesetze an die DSGVO angepasst haben bzw. gerade anpassen.
Etwas komplizierter sieht der häufige Fall aus, bei dem ein Dienstleister (oder auch eine Konzernzentrale) in den USA liegt. In den USA herrscht eine grundlegend andere Datenschutzgesetzgebung. Es gibt jedoch mit dem „Privacy Shield“-Abkommen (dem Nachfolger des „Safe Harbour“-Abkommens) einen Vereinbarung zwischen der EU-Kommission und der US-Administration (damals noch unter Präsident Obama). Darin wird der Schutz von Daten von EU-Bürgern auf US-amerikanischen Systemen versprochen. Es dürfen aber nur Daten an Unternehmen übermittelt werden, die sich in die „Privacy Shield“-Liste haben eintragen lassen. Da der aktuelle US-Präsident Donald Trump im Jänner 2017 ein Dekret unterschrieben hat mit dem der Schutz von Daten nur mehr für US-Bürger garantiert wird, ist es derzeit unklar, wie es mit „Privacy Shield“ weiter geht. Viele große Cloud-Anbieter haben ihre Angebote mittlerweile so erweitert, dass Kunden wählen können, ob die Server, die ihre Daten verarbeiten, in den USA oder in Europa liegen. Letzteres ist meist mit einem höheren Preis verbunden.
Empfehlungen für den Datenaustausch
Folgende Empfehlungen können also gegeben werden:
- Häufige/regelmäßige Datentransfers: private cloud oder SFTP-Server in der Infrastruktur einer der beteiligten Stellen (= möglichst keinen zusätzlichen Dienstleister inkludieren)
- Seltene/einmalige Datentransfers: Übermittlung verschlüsselter und/oder Kennwort-geschützter Daten. Übermittlung des Kennworts auf einem anderen Kommunikationskanal (z.B. SMS).
Keywords
Weitere passende Blogbeiträge
Fündig geworden?
Starten Sie jetzt Ihre intelligente Suche