In den vorherigen Ausgaben unseres Newsletters haben wir Sie umfassend über die Ungültigkeitserklärung des Privacy-Shields informiert. Das EuGH-Urteil hat zur Folge, dass in der EU ansässige Unternehmen sämtliche Prozesse umstellen müssen, bei denen Daten in die USA übertragen werden.
Das betrifft z.B. die Unternehmenswebseiten, auf denen oftmals Trackingtechnologien und andere Dienste von US-Anbietern genutzt werden. Aber auch die unternehmensinterne Speicherung von Daten und die genutzte Software sind wichtige Aspekte, die es zu prüfen gilt. Insbesondere kleine und mittelständische Unternehmen, die die Anschaffungskosten eines eigenen Servers umgehen wollen, greifen für die Sicherung Ihrer Unternehmensdaten häufig auf Cloudlösungen als Speicherort zurück. Die am häufigsten genutzten Systeme sind dabei die Clouds von Microsoft, Google, Apple und Amazon.
Diese Anbieter sind allesamt US-Unternehmen, weshalb die Datenübermittlung (ohne das Privacy-Shield als Legitimationsgrundlage) kritisch zu betrachten ist. Zwar gibt es für einige dieser Systeme derzeit Grauzonen-Lösungen durch die Möglichkeit Standardvertragsklauseln zu vereinbaren (z.B. Google Drive), dennoch legen wir es unseren Mandanten nahe, auf einen EU-Anbieter umzusteigen.
Des Weiteren kann auch die im Unternehmen genutzte Software ein Problem darstellen, wenn es sich dabei um Anwendungen von US-Anbietern handelt (z.B. Microsoft Office 365). Die neueste Office-Version ködert ihre Nutzer mit einer Vielzahl von Funktionen, die sich aus der Cloud-Anbindung ergeben, wie z.B. Zugriffsmöglichkeiten von überall, Vernetzung der Mitarbeiter untereinander, gemeinsames Arbeiten an Dokumenten, erhöhte Ausfallsicherheit, weniger benötigte firmeninterne Speicherkapazität sowie detaillierte Fehlerbehebungen. Dabei werden in der Betrachtung gerne die folgenden Punkte außer Acht gelassen:
1.) Alle gespeicherten Arbeitsdaten (mit z.T. sensiblen Informationen über Mitarbeiter und Kunden) liegen in der Microsoft Cloud ab.
2.) Alle Outlook-Postfächer der Mitarbeiter (inklusive Kontaktdaten der Kunden und Auftragsinhalte) liegen auf dem Microsoft Mailserver ab (insofern es keinen eigenen Mailserver im Unternehmen gibt).
3.) Je nach Einstellung und Anpassung der Software, sendet Office eine Vielzahl von Metadaten direkt an Microsoft.
Um dem Einfluss von US-Unternehmen im Arbeitsalltag zu minimieren, legen wir Ihnen daher die folgenden Maßnahmen ans Herz:
1.) Zur sicheren Ablage von Unternehmensdaten (u.a. Projektdaten, Kundendaten, Mitarbeiter-Postfächer) empfiehlt sich die Nutzung der eigenen IT-Infrastruktur. Ist dies aus diversen Gründen nicht möglich (z.B. kostenintensive Server-Anschaffung) stellt das Mieten von Server-Kapazitäten bei einem datenschutzkonformen EU-Anbieter eine mögliche Alternative dar.
2.) Um mit sicheren Anwendungen zu arbeiten, empfiehlt sich der Umstieg auf datenschutzkonforme Software von EU-Anbietern. Eine Alternative (z.B. in Hinblick auf Microsoft Office) könnte ggf. auch die Nutzung einer älteren Softwareversion ohne Cloudanbindung oder Metadatenübertragung sein. Dies ist allerdings individuell im Einzelfall zu prüfen!
3.) Grundsätzlich gilt für jede im Unternehmen genutzte Software, dass in den jeweiligen Optionen datenschutzfreundliche Grundeinstellungen festzulegen sind, die sämtliche Übertragungen von Metadaten bzw. Datenübertragungen in eine Cloud von vorneherein ausschließen.