Thales unterstützt Unternehmen bei der Einhaltung der DSGVO angesichts des Schrems-II-Urteils
Die Datenschutz-Grundverordnung (DSGVO) hat die Anforderungen zur Sicherung personenbezogener Daten innerhalb der Europäischen Union (EU) und innerhalb des Europäischen Wirtschaftsraums (EWR) festgelegt. Allerdings hat sie keine angemessenen Vorkehrungen für personenbezogene Daten von EU-Bürgern getroffen, die außerhalb der EU in anderen Ländern verarbeitet werden. Das betrifft unter anderem die transatlantischen Datenströme, die mehr als die Hälfte der europäischen Transaktionen ausmachen.
Das kürzliche Urteil des Gerichtshofs der Europäischen Union (EuGH) in der SacheSchrems II hat die Regeln des EU-US-Datenschutzschilds für ungültig erklärt, das diese die Bestimmungen der europäischen DSGVO zum Schutz personenbezogenen Daten, die zwischen der EU und den USA übermittelt werden, nicht angemessen durchsetzen. Angesicht der Annullierung des Privacy-Shield- und des vorausgegangenen Safe-Harbor-Abkommens sind Unternehmen nunmehr in Bezug auf die entsprechenden Datenübermittlungen haftbar. Aus diesem Grund suchen sie nach Datenschutzlösungen, die den globalen Handel angemessen schützen.
Der Europäische Datenschutzausschuss (EDSA) ist ein unabhängiges europäisches Organ, das zur einheitlichen Anwendung von Datenschutzbestimmungen in der gesamten EU beiträgt und die Zusammenarbeit zwischen den Datenschutzbehörden in den einzelnen EU-Ländern fördert. Angesichts des Schrems-II-Urteils hat der EDSA kürzlich Empfehlungen für ergänzende Maßnahmen sowie ein zweites Dokument zu den wesentlichen europäischen Garantien herausgegeben. Letzteres bietet Orientierungshilfen für Nicht-EU-Länder bei der Sicherstellung der Einhaltung der Bestimmungen der Europäischen Union zum Schutz personenbezogener Daten. Dank der neuen Empfehlungen des EDSA können Unternehmen einen vertrauenswürdigen Datenschutzrahmen zur Verbesserung der transatlantischen Datenströme aufbauen.
Thales bietet Unternehmen einen vertrauenswürdigen Datenschutzrahmen zum Schutz transatlantischer Datenströme und unterstützt sie so dabei, die entsprechenden übergreifenden Grundsätze der DSGVO und der Beschlüsse des Schrems-II-Urteils einzuhalten.
Das Schrems-II-Urteil macht deutlich, dass personenbezogene und sensible Daten bei der Übermittlung in bzw. aus der EU oder Nicht-EU-Ländern gemäß der DSGVO geschützt werden müssen. Infolge dieses Urteils empfiehlt der Europäische Datenschutzausschuss (EDSA) einen sechsstufigen Plan zur kontinuierlichen Beurteilung und zum dauerhaften Schutz weltweiter Datenströme gemäß den Datenschutzregeln der EU.
Schnitt 1: Sie sollten wissen, welche Daten Sie wann, wie, wo und durch wen übermitteln
Im ersten Schritt müssen Sie sicherstellen, dass Sie Aufzeichnungen aller Datenübermittlungen in oder aus Nicht-EU-Ländern führen und die Reihen der Auftragsverarbeiter und Unterauftragsverarbeiter protokollieren. Sie müssen verifizieren, dass die Daten, die Sie übertragen, angemessen und relevant sind und ihre Verarbeitung im Drittland auf das Notwendige beschränkt ist.
Schritt 2: Identifizieren Sie die Übermittlungstools, auf die Sie zurückgreifen.
Im zweiten Schritt müssen Sie prüfen, ob die Tools zur Datenübermittlung, auf die sie zurückgreifen, sich auf der Liste in Kapitel V der DSGVO befinden. Außerdem müssen Sie in einigen oder allen Fällen entscheiden, ob die Drittländer, in die Sie Daten übermitteln, angemessenen Schutz für personenbezogene Daten bieten.
Schritt 3: Überprüfen Sie, ob das Übermittlungstool die Vorgaben der DSGVO (Artikel 46) erfüllt.
Das Übermittlungstools muss gewährleisten, dass die Daten im Drittland außerhalb der EU in dem Maße geschützt werden, das die DSGVO vorsieht. Bei Ihrer Auswertung sollten Sie alle Akteure berücksichtigen, die an der Übermittlung der Daten beteiligt sind (z. B. Datenverantwortliche, Auftragsverarbeiter und Unterauftragsverarbeiter) und Daten in Drittländern verarbeiten.
Schritt 4: Ergreifen Sie ergänzende Maßnahmen.
Wenn die Auswertung in Schritt 3 zum Ergebnis hat, dass das Übermittlungstool nicht ausreichend ist, müssen Sie sich über ergänzende Maßnahmen Gedanken machen. Diese sollten zusätzlich zu den vorhanden Schutzvorkehrungen garantieren, dass die Datenschutzvorgaben der EU für externe Datenübermittlung erfüllt werden.
Schritt 5: Verfahrensschritte, nachdem Sie ergänzende Maßnahmen identifiziert haben
Möglicherweise müssen Sie diese ergänzenden Maßnahmen ergreifen, wenn die primären Vorkehrungen des Datenübermittlungstools die Daten nicht ausreichend schützen.
Schritt 6: Führen Sie in angemessenen Zeitabständen eine Neubewertung durch
Sie müssen die Schutzmaßnahmen laufend und gegebenenfalls in Zusammenarbeit mit den Datenimporteuren in den Drittländern, in die Sie die Daten übermittelt haben, überprüfen und über ausreichende Mechanismen verfügen, um die Datenübermittlung unverzüglich zu stoppen, falls der Datenimporteur die vertraglichen Vereinbarungen verletzt.
Thales unterstützt Unternehmen bei der Einhaltung der Bestimmungen der DSGVO und beachtet die Empfehlungen des Europäischen Datenschutzausschusses (EDSA) zur Umsetzung des Schrems-II-Urteils anhand eines sechsstufigen Plans zur kontinuierlichen Bewertung und zum Schutz weltweiter Datenströme.
Die CipherTrust Data Security Platform vereinheitlicht die Erkennung, Klassifizierung und den Schutz von Daten sowie eine beispiellose engmaschige Zugriffskontrolle mit zentraler Schlüsselverwaltung, die Sie kontrollieren – alles auf einer einzigen Plattform. Sie ermöglicht es Unternehmen, Ihre eigenen Verschlüsselungslösungen zu nutzen (Bring-Your-own-Encryption, BYOE) und Tokenisierungsrichtlinien zum Schutz sensibler Data-at-Rest sowohl in der EU (Datenexporteur) als auch in Nicht-EU-Ländern (Datenverarbeiter) bereitzustellen.
This white paper describes how companies can adhere to the European Data Protection Board’s recommendations to address the Schrems II ruling, using the digital privacy framework provided by Thales’ data protection and trusted access management solutions.
The GDPR, which went into effect in May 2018, aims to protect the privacy of EU citizens. Any such data that you hold across your cloud environment(s) is ultimately your responsibility and under your ownership, leaving you subject to potential scrutiny under the new mandates. ...
This ebook shows how Thales data security solutions enable you to meet global compliance and data privacy requirements including - GDPR, Schrems II, PCI-DSS and data breach notification laws.
GDPR mandates the procedures and dictates the consequences regarding data breaches and notification.
In July of 2020 the Court of Justice of the European Union issued the Schrems II decision in the case Data Protection Commission v. Facebook Ireland. That decision invalidated the EU-U.S. Privacy Shield Framework, on which more than 5,000 U.S. companies rely to conduct...
Das Schrems-II-Urteil wird sich erheblich auf den internationalen Handel von Unternehmen auswirken, die Geschäfte mit der Europäischen Union (EU) betreiben. Eine Nichtbeachtung von Schrems II könnte zur Folge haben, dass die Datenübermittlung zwischen EU- und Nicht-EU-Ländern...
Die DSGVO ist vielleicht die bisher umfassendste Datenschutznorm und betrifft jede Organsation, die personenbezogene Daten von EU-Bürgern verarbeitet - unabhängig davon, wo die Organisation ihren Sitz hat.
Jede Organisation, die eine Rolle bei der Verarbeitung von Kredit- und Debitkartenzahlungen spielt, muss die strengen PCI-DSS-Anforderungen für die Verarbeitung, Speicherung und Übermittlung von Konteninformationen erfüllen.
Vorschriften zur Benachrichtigung bei Datenschutzverletzungen nach dem Verlust personenbezogener Daten wurden von Ländern rund um den Globus erlassen. Sie variieren je nach Gerichtsbarkeit, enthalten aber fast immer eine "Safe-Harbour"-Klausel.
