Am 25. Mai 2018 trat mit der DSGVO die weltweit umfangreichste Datenschutzverordnung in Kraft. Eines der schwierigsten Themen des aktuellen Datenschutzrechts bleibt auch durch die neue Verordnung ungelöst: die Übermittlung personenbezogener Daten in Staaten außerhalb der EU, vor allem in die USA.
Das betrifft in der Praxis jährlich Hunderte von Unternehmen auch aus dem Mittelstand, wenn sie bei Auskunftsersuchen, Ermittlungen oder Gerichtsverfahren im Rahmen einer sogenannten eDiscovery Daten in die USA übermitteln müssen. Sie geraten zwischen die konkurrierenden Pflichten, einerseits in großem Umfang Daten liefern zu müssen, andererseits so wenig personenbezogene Daten übermitteln zu dürfen (Datensparsamkeit). Das Dilemma wird für die betroffenen Unternehmen durch die hohen, in der DSGVO vorgesehenen Strafen noch verschärft.
In den vergangenen Jahren haben sich Anbieter darauf spezialisiert, die Datenschutzkonformität beim Transfer von Daten in Drittstaaten wie die USA sicherzustellen. »EU-Datenschutz und US-eDiscovery sind wie verfeindete Brüder. Durch prozessuale und technologische Methoden bieten wir Unternehmen einen effizienten Weg, den Konflikt zwischen EU-Datenschutz und US-Datenhunger aufzulösen«, erklärt Michael Becker, Managing Director Deutschland von Consilio, einem eDiscovery-Anbieter. »Gerade die exportorientierten deutschen Unternehmen sollten sich darauf einstellen, dass die Konflikte zwischen dem EU-Datenrecht und konkurrierenden Rechtssystemen künftig eher zunehmen. Durch die jüngst erfolgte Ausweitung der bestehenden ISO°27001:2013-Zertifizierung auf unser Frankfurter Büro erfüllen wir international höchste Standards für den internen Datenschutz ebenso wie zum Schutz der Daten unserer Kunden. Mit unserem kompromisslosen Bekenntnis zur Sicherheit und Integrität der Kundendaten stellen wir sicher, dass wir die europäischen Vorschriften zur Stärkung und Vereinheitlichung des Datenschutzes für Privatpersonen innerhalb der EU sowie den Export von Daten aus der EU einhalten«, so Becker weiter.
Vor dem Hintergrund des Inkrafttretens der DSGVO wurden fünf Punkte definiert, auf die große und mittelständische Unternehmen in Deutschland künftig besonders achten müssen. Sie basieren auf der Erfahrung von Consilio bei der Unterstützung deutscher Unternehmen in Verfahren mit US-Behörden und -Gerichten:
- Ein Datentransfer darf nur erfolgen, wenn ein »zwingendes, berechtigtes Interesse des Unternehmens« festgestellt werden kann.
- Bei Aufbereitung, Durchsicht und Prüfung der Daten müssen die DSGVO-Grundprinzipien eingehalten werden, vor allem die Datenminimierung.
- Bei Beauftragung spezialisierter Dienstleister sollte auf ein breites Angebot technologischer Lösungen (etwa Schlagwortsuche, Predictive Coding und Machine Learning) sowie eine ausreichende personelle Ausstattung geachtet werden.
- Die Datenverarbeitung muss innerhalb der EU erfolgen, d.h. das Datenzentrum muss physisch in der EU sitzen und sollte auch bereits eine Datenschutz-Zertifizierung (ISO 27001) besitzen.
- Darüber hinaus müssen Daten anonymisiert beziehungsweise pseudonymisiert werden, bevor sie in einen Drittstaat exportiert werden.
DSGVO und »Privacy by Design«: Privatsphäre im Netz muss endlich selbstverständlich werden
DSGVO-konform mit datenzentrierter Strategie – Dreigeteilter Ansatz zur Erfüllung der DSGVO
Die DSGVO als Chance zur Verbesserung von Datenschutz und Sicherheit
DSGVO: Startschuss für eine datenzentrierte IT-Sicherheitsstrategie