GERMAN:

In einer zunehmend vernetzten und globalisierten Welt wird die grenzüberschreitende Übermittlung personenbezogener Daten zu einem alltäglichen Phänomen und, was noch wichtiger ist, zu einer Geduldsprobe. Obwohl dieser Trend es vielen Organisationen ermöglicht, ihre Reichweite zu vergrößern und ihre Kunden besser zu bedienen, gibt es auch Bedenken hinsichtlich des Schutzes personenbezogener Daten in Drittländern.

Unter Datenübermittlung in Drittländer versteht man die Übermittlung personenbezogener Daten von einem Land in ein anderes, das nicht der Europäischen Union (EU) angehört. Dabei ist zu beachten, dass in einigen Drittländern nicht die gleichen Datenschutzgesetze und -standards gelten wie in der EU, was ein erhöhtes Risiko für den Schutz personenbezogener Daten bedeutet.

Dies ist besonders wichtig, wenn es um sensible Daten wie Finanzdaten, Gesundheitsdaten oder persönliche Identifikationsnummern geht. Ein Datenverlust oder eine Datenschutzverletzung in einem Drittland kann für die betroffenen Personen und Unternehmen schwerwiegende Folgen haben.

Welche Risiken gibt es bei der Datenübermittlung in Drittländer?

• Probleme mit dem Datenschutz: Wenn im Empfängerland kein gleichwertiges Datenschutzniveau besteht, kann dies zu größeren Risiken führen, z. B. unzureichender Datenschutz
• Datenverlust: Daten können während der Übermittlung verloren gehen. Dies kann durch technische Probleme oder menschliches Versagen verursacht werden.
• Datenmissbrauch: Daten können im Empfängerland missbraucht werden, u. a. durch unbefugten Zugriff oder Datendiebstahl

Glücklicherweise gibt es einige Schritte, die Unternehmen unternehmen können, um die Risiken zu minimieren und ihre Datenübertragungen sicher zu halten. Zunächst sollten sie eine umfassende Datenschutz- und Sicherheitsstrategie entwickeln, die auch den Schutz personenbezogener Daten in Drittländern umfasst.

Bitte beachten Sie an dieser Stelle, dass es sich hierbei nicht um obligatorische Maßnahmen handelt, sondern lediglich um Empfehlungen:

• Eine gründliche Überprüfung des Datenschutzniveaus in Drittländern, in die Daten übertragen werden sollen, z. B. durch folgende Ansätze:
• Überprüfung der Datenschutzgesetze
• Überprüfung internationaler Konventionen
• Überprüfung der tatsächlichen Verfahren und Techniken des Landes zur Sicherung personenbezogener Daten
• Überprüfung der Aufsichtsbehörden
• Überprüfung des Ansehens des Landes
• Einsatz von Verschlüsselungstechnologien zum Schutz von Daten bei der Übertragung:
• Symmetrische / Asymmetrische Verschlüsselung
• Hashing
• SSL/TLS (Protokoll) und vieles mehr
• Verwendung von Datenschutzklauseln in Verträgen mit Drittanbietern, um sicherzustellen, dass diese sicher und verantwortungsvoll mit Daten umgehen
• Regelmäßige Überwachung und Überprüfung von Datenübertragungen, um sicherzustellen, dass sie sicher sind und den Vorschriften entsprechen

In welchen Ländern wurde bisher ein "angemessenes Datenschutzniveau" gewährleistet?

Artikel 45 (Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses) der Datenschutz-Grundverordnung legt fest, dass die Übermittlung von Daten nur zulässig ist, wenn die EU einen Angemessenheitsbeschluss erlassen hat. Dieser Angemessenheitsbeschluss wird nur erteilt, wenn in dem jeweiligen Land ein angemessenes Datenschutzniveau gewährleistet ist.

Auszug aus Art. 45, GDPR:

"Eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation darf vorgenommen werden, wenn die Kommission beschlossen hat, dass das betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland oder die betreffende internationale Organisation ein angemessenes Schutzniveau bietet. 2Eine solche Datenübermittlung bedarf keiner besonderen Genehmigung."

Derzeit besteht ein angemessenes Datenschutzniveau für die folgenden Länder (Stand: Januar 2022):

• Andorra
• Argentinien
• Färöer Inseln
• Großbritannien (vorerst bis zum 28.06.2025)
• Guernsey
• Israel
• Isle of Man
• Japan
• Jersey
• Kanada (nur kommerzielle Organisationen)
• neuseeland
• Schweiz
• Südkorea
• Uruguay
  

Die Übermittlung von Daten in Drittländer stellt eine Herausforderung dar, ist aber oft unvermeidlich, um einen effizienten Geschäftsbetrieb zu gewährleisten. Es ist jedoch wichtig, die Risiken zu kennen und geeignete Maßnahmen zu ergreifen, um diese Risiken zu minimieren.

Wenn Sie die richtigen Maßnahmen ergreifen, können Sie sicherstellen, dass die Datenübermittlung in Drittländer sicher und rechtskonform ist. Denken Sie daran, dass Ihr Unternehmen für den Schutz der von Ihnen übertragenen Daten verantwortlich ist, und es liegt in Ihrer Verantwortung, die Risiken zu minimieren und sicherzustellen, dass personenbezogene Daten angemessen geschützt sind.

Als e2 Security unterstützen wir Sie gerne bei der Datenübermittlung in Drittländer und stehen Ihnen jederzeit für Fragen und Anliegen zur Verfügung. Kontaktieren Sie uns einfach direkt!

ENGLISH:

Title: Data transfer in third countries: Understanding risks and finding the right solutions (Article 44-50 GDPR)

In an increasingly interconnected and globalised world, the transfer of personal data across borders is becoming a commonplace phenomenon and, more importantly, a test of patience. Although this trend allows many organisations to expand their reach and better serve their customers, there are also concerns about the protection of personal data in third countries.

Third-country data transfers are transfers of personal data from one country to another that is not part of the European Union (EU). It is important to note that some third countries do not have the same data protection laws and standards as the EU, which means an increased risk to the protection of personal data.

This is particularly important when it comes to sensitive data such as financial data, health data or personal identification numbers. A data loss or data breach in a third country can have serious consequences for the individuals and companies concerned.

What are the risks of transferring data to third countries?

• Data protection issues: If there is not an equivalent level of data protection in the recipient country, this can lead to greater risks, e.g. insufficient data protection
• Data loss: Data can be lost during the transfer. This can be caused by technical problems or human error.
• Data misuse: Data can be misused in the recipient country, including through unauthorised access or data theft.

Fortunately, there are some steps companies can take to minimise the risks and keep their data transfers secure. First, they should develop a comprehensive privacy and security strategy that includes protecting personal data in third countries.

Please note at this point that these are not mandatory measures, but merely recommendations:

• A thorough review of the level of data protection in third countries to which data is to be transferred, e.g. through the following approaches:
• Review of data protection laws
• Review of international conventions
• Review of the country's actual procedures and techniques for securing personal data
• Review of supervisory authorities
• Review of the country's reputation
• Use of encryption technologies to protect data in transit:
• Symmetric / Asymmetric encryption
• Hashing
• SSL/TLS (protocol) and more
• Use of data protection clauses in contracts with third party providers to ensure that they handle data securely and responsibly
• Regular monitoring and auditing of data transfers to ensure they are secure and compliant with regulations

In which countries has an "adequate level of data protection" been ensured so far?

Article 45 (Data transfers based on an adequacy decision) of the General Data Protection Regulation states that data transfers are only allowed if the EU has adopted an adequacy decision. This adequacy decision is only granted if an adequate level of data protection is guaranteed in the respective country.

Excerpt from Art. 45, GDPR:

"A transfer of personal data to a third country or an international organisation may be made if the Commission has decided that the third country, territory or one or more specific sectors within that third country or international organisation in question provides an adequate level of protection. 2Such a transfer of data shall not require a specific authorisation."

Currently, an adequate level of data protection exists for the following countries (as of January 2022):

• Andorra
• Argentina
• Faroe Islands
• United Kingdom (for the time being until 28.06.2025)
• Guernsey
• Israel
• Isle of Man
• Japan
• Jersey
• Canada (commercial organisations only)
• New zealand
• Switzerland
• South Korea
• Uruguay

Transferring data to third countries is challenging, but often unavoidable to ensure efficient business operations. However, it is important to know the risks and take appropriate measures to minimise these risks.

By taking the right measures, you can ensure that data transfers to third countries are secure and legally compliant. Remember that your company is responsible for protecting the data you transfer, and it is your responsibility to minimise the risks and ensure that personal data is adequately protected.

As e2 Security, we are happy to support you with data transfers to third countries and are always available to answer any questions or concerns you may have. Simply contact us directly!