:quality(80)/p7i.vogel.de/wcms/b8/61/b8615878dfcb9b7383269a429384a593/0115304715.jpeg "Von klassischem Filesharing bis hin zu vollumfänglichen Collaboration-Plattformen: Dank Cloud Content Management haben Angestellte jederzeit sicheren Zugriff auf alle nötigen Daten und Anwendungen. (© greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/98/3d98b69e471f34ee67173e2b19150983/0115412594.jpeg "Enterprise-SaaS-Angebote bringen die klassischen Geschäftsanwendungen in die Cloud – und damit hohe Flexibilität und Skalierbarkeit, um im Wettbewerb langfristig am Ball zu bleiben. (Bild: peacehunter - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1c/98/1c98109e01f9d42dbfe8e5f91371de50/0106084133.jpeg "Managed Cloud Provider stellen Speicher- und Rechenressourcen bereit, hosten benötigte Anwendungen und übernehmen die Verwaltung, Wartung und Absicherung von Technik und Diensten. (© Ar_TH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/91/2d/912d22362ea9150bda4edbeb628f2ecf/0115212768.jpeg "Mit der zunehmenden Verbreitung von Cloud Computing änderten sich auch die klassischen Software-Lizenzen - heutzutage sind Abonnement-Modelle, so genannte Subscriptions gängige Methoden der Software-Beschaffung. (Bild: frei lizenziert © Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/a1/f7/a1f7f8cdb0d4b00cb4e375692c9890ea/0115336164.jpeg "Nachhaltigkeit ist das Gebot der Stunde: das gilt auch für die moderne Softwareentwicklung. Wie Green Coding im Cloud-Zeitalter funktionieren kann, erklärt Marcel Russ von Exxeta im Beitrag. (Bild: © metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b6/e3/b6e3c889c37acc6c1ed05de0a59af0ea/0114836904.jpeg "Noch immer erschwert unzureichende Technik die Arbeit von zu Hause. (Bild: © – ChayTee – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/91/2d/912dbcabf7f32923ab6a5f43c3447f23/0115485204.jpeg "Die Umstellung auf Cloud-Services sollte so erfolgen, dass weder laufende Workflows unterbrochen, noch Kundenbeziehungen oder sogar das Geschäft selbst gefährdet werden. (Bild: jirsak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2a/9f/2a9fdac9280086eacdf3f04d7990ba34/0115563968.jpeg "Viele Bundesbürger stehen dem KI-Einsatz positiv gegenüber, sehen aber auch derzeit nicht abschätzbare Risiken insbesondere mit Folgen für das Mediensystem und die Demokratie. (Bild: Sutthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/dd/44/dd44abe3a7c3831acc4f6d8710611a6e/0115048132.jpeg "Mit Windows 365 lassen sich auch Cloud-PCs zur Verfügung stellen, auf die Anwender über den Browser oder die Remotedesktop-App in Windows 10/11 Zugriff haben. (Bild: © greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/59/96/599648de637a03f0c1b5482c762fbd96/0115418433.jpeg "Aus der Nutzung von SAP ADM ergeben sich nicht nur technische, sondern vor allem wirtschaftliche Vorteile: Die Produktivität von IT-Abteilungen und der Projektteams wird höher. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2f/d2/2fd2661061c70a86bd3aacdf35db555d/0115412159.jpeg "Softwarepiraterie ist wieder ein Problem. Doch der Ärger bei den Herstellern schlägt noch größere Wellen. (Bild: Canva/Lucas Schmidt)")
:quality(80)/p7i.vogel.de/wcms/30/88/30888c59780c6e7421fe8e54d3f6b832/0115444329.jpeg "Canonical hat eine „Micro Cloud“ vorgestellt, eine Open-Source-Lösung, die einfach, weitgehend automatisiert und sicher betrieben werden könne. (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/be/45/be45d41dec36c9e20f4c88f2a6da819b/0115442388.jpeg "Mit der „emma“-Plattform sollen Organisationen jeder Größe das wahre Potenzial ihrer Cloud-Strategien ausschöpfen, Innovationen vorantreiben und sich somit einen Wettbewerbsvorteil sichern können. (Bild: jamesteohart - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fa/69/fa696fba62d0c488e4fd63f5902aae09/0115363115.jpeg "CISPE hat auf dem jüngsten Gaia-X-Gipfel allen Anbietern seinen Federation Catalogue zur Verfügung gestellt, die die Kernanforderungen von Gaia-X erfüllen. (Bild: frei lizenziert, 41330 / Pixabay)")
:quality(80)/p7i.vogel.de/wcms/33/f3/33f3ba2d02a3ce977158ca59bb74f7c2/0115032740.jpeg "VMware-Kunden fühlen sich von den Lizenzvorgaben ihres Software-Liferenten bedoht und manche flüchten .... zur Konkurrenz. (Bild: GraffiTimi - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/1a/541a51ee78f099d577ebef88748c98de/0115421247.jpeg "Die ausufernde technische Infrastruktur erfordert eine neue Kategorie von Integrationsplattformen, die den Anforderungen der Nutzer gerecht wird und Datensilos auflöst. (Bild: Software AG)")
:quality(80)/p7i.vogel.de/wcms/4b/9c/4b9c0bd0d9be24bf0878ccc3fa6b2624/0115051055.jpeg "Peter Arbitter ist Senior Vice President Portfolio- & Productmanagement bei der Deutschen Telekom und kennt sich aus mit Unternehmensnetzen und Cloud Computing. (Bild: Deutsche Telekom AG/Norbert Ittermann)")
:quality(80)/p7i.vogel.de/wcms/e5/ea/e5ea917b3c394033e9a33f64a862648d/0115393557.jpeg "Cyberangriffe mit Ransomware sind nach Einschätzung des BSI nach wie vor die größte Bedrohung für Wirtschaft und Verwaltung. Sie verursachen einen Großteil der wirtschaftlichen Schäden, die durch Cyberangriffe entstehen. (©MH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/65/d9/65d9fcb5f8f83f264671e8f62c4ff615/0115174800.jpeg "(Bild: Extreme Networks)")
:quality(80)/p7i.vogel.de/wcms/c4/e1/c4e1280ea1e8075ce49f0d40091ee55e/0115209201.jpeg "Nicht immer sind sich Unternehmen und ihre Mitarbeiter drohender Risiken bewusst. (Bild: Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/56/72/56721511461fd1c95e13fdbda06976b1/0115201012.jpeg "Die Impossible Cloud verspricht, die Cloud „neu zu denken“. (Bild: frei lizenziert, geralt / Pixabay)")
:quality(80)/p7i.vogel.de/wcms/10/11/10113dd28b98cf89cc37c0a32e43748b/0115171270.jpeg "Oracle und Microsoft sind eine mehrjährige Vereinbarung für das Inferencing von KI-Modellen eingegangen. (Bild: Oracle)")
:quality(80)/p7i.vogel.de/wcms/f1/50/f1501494a783487718263fc201b5a219/0115023358.jpeg "Die SAP hielt ihre TechEd 2023 in Bangalore, Indien, sowie virtuell ab. (Bild: SAP)")
:quality(80)/p7i.vogel.de/wcms/c7/36/c736f7a78dfe236e4a6a34b6536de317/0114891083.jpeg "Immer wieder heißt es, ChatGPT könne den Arbeitsalltag erleichtern. Wie kann das aussehen? (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/99/71/997164de5cda0e0179f12f1e92c65ae7/0114997140.jpeg "Low-Code-Entwicklungsplattformen reduzieren die Komplexität cloud-nativer Entwicklung und erlauben beispielsweise die Automatisierung zeitaufwändiger (Programmier-)Prozesse. (Bild: Ivelin Radkov - stock.adobe.com)")
Neuer Anlauf für ein Datenschutzabkommen zwischen der EU und den USA Was ist das Data Privacy Framework?
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
Das Data Privacy Framework ist nach der Safe-Harbor-Regelung und dem Privacy Shield der dritte Anlauf für ein Datenschutzabkommen zwischen der EU und den USA. Es soll den Schutz personenbezogener Daten, die aus der EU in die USA übertragen werden, gemäß der EU-DSGVO sicherstellen.
Das Data Privacy Framework, abgekürzt DPF, wird manchmal auch als Privacy Shield 2.0 bezeichnet. Es ist nach der Safe-Harbor-Regelung und dem Privacy Shield der dritte Anlauf für ein internationales Datenschutzabkommen zwischen der Europäischen Union und den Vereinigten Staaten von Amerika.
Das Abkommen wurde notwendig, da der EuGH die Vorgängerabkommen in den „Schrems-Urteilen“ als ungültig erklärt hatte. Die EU hat das Data Privacy Framework im Juli 2023 per Angemessenheitsbeschluss angenommen. Im Data Privacy Framework verpflichten sich die USA, das Datenschutzniveau von der EU in die USA übertragener personenbezogener Daten zu verbessern. Durch den Angemessenheitsbeschluss der EU vom 10. Juli 2023 erklärt die EU-Kommission das Datenschutzniveau der in die USA übertragenen personenbezogenen Daten für angemessen und den Vorgaben der EU-DSGVO für die Datenübertragung in ein Drittland entsprechend.
Damit soll die seit den Schrems-Urteilen herrschende Rechtsunsicherheit beendet werden. Der Angemessenheitsbeschluss dient ab dem Zeitpunkt der Annahme durch die EU-Kommission als Grundlage für die Datenübermittlung personenbezogener Daten an zertifizierte Unternehmen oder Organisationen der USA. Die Übertragung personenbezogener Daten an ein US-Unternehmen, das am DPF teilnimmt und zertifiziert ist, bedarf keiner weiteren Sicherheitsmaßnahmen oder zusätzlicher Standardvertragsklauseln mehr. Ob das neue Abkommen der erwarteten rechtlichen Prüfung durch den Europäischen Gerichtshof tatsächlich standhalten wird, ist bisher noch nicht abzusehen.
Data Privacy Framework – Geschichte und Hintergründe
Die Ursprünge des jetzt von der Europäischen Kommission per Angemessenheitsbeschluss angenommenen Data Privacy Framework reichen weit in die Vergangenheit zurück. Bereits im Jahr 2000 versuchten die EU und die USA in der sogenannten Safe-Harbor-Regelung den Datenschutz personenbezogener Daten, die von der Europäischen Union in die USA übermittelt werden, gemäß europäischer Datenschutzrichtlinien sicherzustellen. Voraussetzung hierfür war, dass die USA einen angemessenen Schutz der Privatsphäre gewährleisten.
2015 musste der Europäische Gerichtshof darüber entscheiden, ob das tatsächlich der Fall ist. Insbesondere, da es durch den USA-Freedom Act US-Behörden erlaubt ist, ohne richterliche Anordnung, auf Server von US-Unternehmen und deren ausländische Tochterunternehmen zuzugreifen. Damit erhalten die US-Behörden uneingeschränkten Zugriff auf von US-Unternehmen gespeicherten und verarbeiteten personenbezogenen Daten von EU-Bürgern. Im sogenannten Schrems-I-Urteil, benannt nach dem österreichischen Datenschutzaktivisten Maximilian Schrems, stellte der EuGH 2015 fest, dass das Safe-Harbor-Abkommen nicht den europäischen Datenschutzanforderungen entspricht und erklärte es für nichtig.
Als Reaktion auf dieses Urteil bemühten sich die EU und die USA um ein neues Abkommen für einen datenschutzkonformen Datenaustausch. Es entstand das Privacy Shield mit der Zusicherung der US-Regierung, für Beschränkungen des Datenzugriffs durch US-Behörden und für Garantien für ein den EU-Datenschutzanforderungen entsprechendes Datenschutzniveau zu sorgen.
Die Einigung auf das EU-US Privacy Shield wurde im Februar 2016 bekannt gegeben. Der Angemessenheitsbeschluss der EU-Kommission folgte noch im selben Jahr. Nach erneuten Klagen gegen das Abkommen stellte der Europäische Gerichtshof im Juli 2020 im sogenannten Schrems-II-Urteil fest, dass auch durch das Privacy-Shield-Abkommen personenbezogene Daten aus der EU im Drittland USA keinen gleichwertigen Schutz wie in der EU genießen und hob das Privacy Shield mit sofortiger Wirkung auf. Insbesondere wurde bemängelt, dass die Zugriffsmöglichkeiten der US-Behörden auf europäische Daten zu weitreichend sind und EU-Bürger kaum Möglichkeiten haben, ihre Rechte gegenüber den US-Behörden gerichtlich durchzusetzen.
:quality(80)/p7i.vogel.de/wcms/ed/ad/edad76566a705c8890ca905e547b3b71/0108929329.jpeg "Das Trans-Atlantic Data Privacy Framework, kurz TADAP, soll eine neue rechtliche Basis für den Datentransfer zwischen der EU und den USA bieten. Gleichzeitig gilt das Rahmenwerk als Nachfolger des Privacy-Shield-Abkommens. (Bild: frei lizenziert © Gerd Altmann)")
Definition: Der Privacy-Shield-Nachfolger Trans-Atlantic Data Privacy Framework
Was ist das TADAP-Framework?
Das Urteil sorgte für erhebliche Rechtsunsicherheiten für den transatlantischen Datentransfer und machte ein neues Abkommen notwendig. Als erste Reaktion verabschiedete die EU-Kommission 2021 neue Standardvertragsklauseln, die für Verträge mit US-Dienstleistern zwingend anzuwenden waren, um den Schutz personenbezogener Daten zu gewährleisten.
2022 kündigten die USA und die EU mit dem EU-US Data Privacy Framework ein neues Abkommen an. Im Oktober 2022 erließ Joe Biden eine Executive Order, die die Zugriffsrechte der US-Behörden eindämmen und EU-Bürgern angemessene Rechtsmittel geben soll. Nach einigen Abstimmungsrunden erklärte die EU am 10. Juli 2023 die Maßnahmen zur Absicherung personenbezogener Daten durch den Angemessenheitsbeschluss für angemessen und machte den Weg frei für das neue EU-US Data Privacy Framework.
Ziele des Data Privacy Framework
Die Europäische Datenschutzgrundverordnung (EU DSGVO) verbietet grundsätzlich die Übermittlung personenbezogener Daten in sogenannte Drittländer außerhalb der EU wie in die USA. Für den Datentransfer in solche Drittländer muss eine Rechtsgrundlage für die Datenverarbeitung geschaffen werden. Es sind entsprechende Garantien für die Datenschutzkonformität notwendig. Die EU-Kommission hat solche Garantien für einige Drittländer per Angemessenheitsbeschluss geschaffen.
Ziel des Data Privacy Framework ist es, die seit dem Schrems-II-Urteil des Europäischen Gerichtshof aus dem Jahr 2020 geltende Verunsicherung zu beenden und die Rechtssicherheit für den Datentransfer personenbezogener Daten von der EU in die USA wieder herzustellen. Die vertragliche Berücksichtigung der von der EU bereitgestellten Standardvertragsklauseln und die Vereinbarung zusätzlicher technischer, organisatorischer oder vertraglicher Maßnahmen sollen mit dem Data Privacy Framework nicht mehr notwendig sein. Weitere Ziele des Abkommens sind die Stärkung der Wettbewerbsfähigkeit der digitalen Wirtschaft und die Förderung der wirtschaftlichen Zusammenarbeit sowie des grenzüberschreitenden Handels.
Wesentliche Inhalte des Data Privacy Framework
Die Regelungen des neuen Data Privacy Framework sollen die vom EuGH geäußerten Bedenken hinsichtlich des Datentransfers personenbezogener Daten in die USA und der Zugriffsmöglichkeiten von US-Behörden durch neue verbindliche Garantien ausräumen. Unter anderem soll der Zugriff der US-Behörden auf Daten aus der EU auf ein "verhältnismäßiges und notwendiges Maß" beschränkt werden. Im Wesentlichen schafft das Data Privacy Framework diese Rahmenbedingungen:
- neue Regeln und verbindliche Garantien zur Beschränkung des Datenzugriffs der US-Nachrichtendienste,
- Einführung eines zweistufigen Rechtsbehelfssystems, über das sich Beschwerden von Bürgern aus der EU über den Zugang zu Daten durch US-Behörden untersuchen und beilegen lassen,
- Selbstzertifizierung und strenge Verpflichtungen von US-Unternehmen, die EU-Daten verarbeiten,
- Einführung zusätzlicher Überprüfungs- und Überwachungsverfahren.
Gemäß dieser Rahmenbedingungen können US-Unternehmen dem Data Privacy Framework beitreten und sich zertifizieren, indem sie sich verpflichten, eine Reihe von Datenschutzvorgaben einzuhalten. Diese Selbstzertifizierung erfolgt durch die Registrierung des jeweiligen Unternehmens auf einer Webseite des United States Department of Commerce (U.S. DoC) und die Einreichung einer Reihe von Unterlagen. Ein nach dem Data Privacy Framework zertifiziertes Unternehmen gilt nach Artikel 44, 45 der DSGVO als sicherer Datenempfänger. Weitere Sicherheitsmaßnahmen oder der Abschluss von EU-Standardvertragsklauseln sind dann nicht mehr notwendig.
Das zweistufige Rechtsbehelfssystem, durch das EU-Bürger gegen Rechtsverstöße bei der Überwachung durch US-Nachrichtendienste vorgehen können, ist über den sogenannten Data Protection Review Court (DPRC) realisiert. Es handelt sich um eine quasi-gerichtliche Institution, die per Executive Order ins Leben gerufen wurde, aber nicht Teil der Judikative in den USA ist.
Sicherheit hat viele Facetten, dies gilt auch und insbesondere beim Cloud Computing. Vielen Unternehmen fehlt es an Vertrauen, wenn es darum geht, Daten, Anwendungen und Teile der eigenen IT-Infrastruktur an einen externen Provider auszulagern. Im Special finden Sie nützliche Informationen rund um die Themen Rechtssicherheit, dazu Lösungsansätze, Standards und Initiativen aus der Industrie. Zum Special „Rechtssicheres Cloud Computing“
Ausblick
Die Annahme des Data Privacy Framework durch die EU per Angemessenheitsbeschluss ist erst wenige Tage alt, doch schon jetzt ist absehbar, dass auch gegen dieses Abkommen geklagt werden wird und der Europäische Gerichtshof darüber urteilen muss. Erst eine gerichtliche Prüfung wird zeigen, ob das Data Privacy Framework tatsächlich ein rechtlich belastbares Rahmenwerk für den datenschutzkonformen Datentransfer von personenbezogenen EU-Daten in die USA schafft.
Die vom Datenschutzaktivisten Schrems gegründete Datenschutzplattform NOYB hat bereits Stellung zum Data Privacy Framework bezogen und vertritt die Meinung, dass das Framework die Voraussetzungen zur Einhaltung der Datenschutzvorgaben der DSGVO nicht erfüllt. Vor allem scheint nach wie vor unklar, inwieweit die Überwachung und der Zugriff durch US-Nachrichtendienste wirklich beschränkt sind und was in diesem Zusammenhang unter einem „verhältnismäßigen und notwendigen Maß“ zu verstehen ist. Wann ein abschließendes Urteil zum Data Privacy Framework fallen wird und ob es der gerichtlichen Prüfung standhalten wird, ist derzeit noch völlig offen.
Von AWS bis XaaS: Alle relevanten Schlagworte aus dem Bereich Cloud Computing finden Sie verständlich erklärt in unseren Definitionen. Ganz im Sinne eines kleinen, aber feinen Glossars lesen Sie hier neutral verfasste und leicht verständliche Erklärungen zu den wichtigsten Begriffen. Als Service für Sie haben wir die hier erklärten Begriffe in unseren Beiträgen auch direkt mit den zugehörigen Lexikoneinträgen verlinkt. So können Sie die wichtigsten Erläuterungen direkt dort nachschlagen. Zum Special: Definitionen rund um Cloud Computing
(ID:49634121)
:quality(80)/p7i.vogel.de/wcms/ed/ad/edad76566a705c8890ca905e547b3b71/0108929329.jpeg "Das Trans-Atlantic Data Privacy Framework, kurz TADAP, soll eine neue rechtliche Basis für den Datentransfer zwischen der EU und den USA bieten. Gleichzeitig gilt das Rahmenwerk als Nachfolger des Privacy-Shield-Abkommens. (Bild: frei lizenziert © Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/0e/8c/0e8cd1c65b8550db86606ef30ec09525/0112752662.jpeg "Die EU-Kommission hat das Data Privacy Framework veröffentlicht - drei Jahre nach dem für ungültig erklärten Privacy Shield. Es gibt Zweifel, dass die neue Rechtsgrundlage jetzt endlich für Sicherheit bei der Übertragung personenbezogener Daten aus der EU in die USA sorgt. (Bild: mixmagic - stock.adobe.com)")