:quality(80)/p7i.vogel.de/wcms/3b/6d/3b6de5d5ee985e4d83860aa710a88d64/0108679613.jpeg "Der zentrale Überblick mittels des Multi-Cloud-Managements sorgt für Kostentransparenz; Reports und intelligente Analysen zeigen Optimierungspotenzial auf und ermöglichen Vergleiche der Konditionen verschiedener Anbieter. (Bild: dell - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/66/aa/66aa92e9e5f3707c120969f3a9dc2dc5/0108541020.jpeg "Vor allem Lösungen für ERP und CRM sind Treiber des konstanten Wachstums im SaaS-Markt und des voranschreitenden Trends zur Digitalisierung und Automatisierung. (Bild: gemeinfrei Ronald Carreno)")
:quality(80)/p7i.vogel.de/wcms/9b/68/9b681c20a7f5797bd1a81726aa5ad997/0108274887.jpeg "Kernfunktion aktueller Cloud-Content-Management-Lösungen ist es, Anwendern den ortsunabhängigen Zugriff auf für sie relevante Geschäftsdaten zu ermöglichen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/a5/aca50b4dfd6fe448ee00272c52083d91/0110357050.jpeg "Azure OpenAI Service bietet Zugang zu KI-Modellen von OpenAI wie GPT-3, ChatGPT, DALL-E 2 und anderen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/73/3b/733ba48b0c28a33e80ddfe6ae66bc9a7/0109414498.jpeg "T-Systems offeriert mit der Open Telekom Cloud eine sichere Alternative zu den Hyperscalern. (Bild: gemeinfrei, cocoparisienne / Pixabay)")
:quality(80)/p7i.vogel.de/wcms/0c/3f/0c3f1b4dcf6c0dabcd8a361628192d1a/0109850518.jpeg "Bei einem Cloud Data Warehouse bzw. Data-Warehouse-as-a-Service (DWaaS) betreibt, konfiguriert und managt ein Cloud-Anbieter die für das Data Warehouse benötigten Software- und Hardwareressourcen auf einer Cloud-Computing-Plattform. (Bild: frei lizenziert / Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a1/e6/a1e6079e89a83d872a1a8d164edc8f97/0110412957.jpeg "Angesichts einer Krise macht es keinen Sinn, den Kopf in den Sand zu stecken. (Bild: frei lizenziert Engin Akyurt - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/7d/18/7d188a3046b9c4d893bfffcbacb4519b/0110409430.jpeg "Mehr als nur KI: Microsoft integriert ChatGPT-Funktionen in seine Office-Anwendungen (Bild: Julian - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c41e6d9f208a3e33f4ec2a1f81582a/0110071835.jpeg "KI wird hilfreich sein, um beispielsweise dem immer größer werdenden Datenstrom in der Industrie Herr zu werden; doch wer die Verantwortung für Schäden durch KI trägt, ist noch nicht geregelt. (Bild: frei lizenziert Rox_buwa - Pixabay )")
:quality(80)/p7i.vogel.de/wcms/18/5c/185c788ecb9d426bad159e65a1eae94e/0110210351.jpeg "Eine Cloud-Sicherheitsstrategie in Unternehmen kann nur dann zielführend sein, wenn teamübergreifend und mit klarer Festlegung von Verantwortlichkeiten daran gearbeitet wird. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/42/d2/42d20df7708705038ac282075467e91c/0110101122.jpeg "Die Telecom Data Cloud von Snowflake vereint eine Datenplattform für Telekommunikationsdienstleister mit branchenspezifischen Datensätzen und Lösungen. (Bild: frei lizenziert pasja1000 / Pixabay)")
:quality(80)/p7i.vogel.de/wcms/f7/3a/f73a045dbda88787bbad694390864531/0110331232.jpeg "Das neue eBook „Cloud-Identitäten“ informiert darüber, wie ein sicheres, aber auch nutzerfreundliches IAM für die Cloud Realität werden kann. (Bild: ThisDesign - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/00/1b00faf29cf94322292fa8331bb5d126/0110084122.jpeg "Benutzer können Nextcloud an ihre eigenen Anforderungen anpassen, Dateien speichern oder Besprechungen planen. (Bild: Nextcloud)")
:quality(80)/p7i.vogel.de/wcms/77/ec/77ec84b313dca44c2cc2e172725352c5/0110234056.jpeg "Duke Energy arbeitet mit AWS zusammen, um Smart-Grid-Lösungen zu entwickeln, von denen seine Kunden profitieren und die dem Unternehmen helfen, den Übergang zu sauberer Energieerzeugung zu bewältigen. (Bild: Duke Energy)")
:quality(80)/p7i.vogel.de/wcms/20/e0/20e0f904daada9c77cbcc45708a233e4/0110339416.jpeg "Der Global Cloud Storage Index von Wasabi Technologies bildet den derzeitigen Stand von Speicherinfrastrukturen in Unternehmen aus EMEA ab. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/86/48/8648e26e71b6baddb1bc916755c144c8/0110172680.jpeg "Daten sind eine wichtige, aussagekräftige Informationsquelle und Mittelpunkt aller Arbeitsabläufe, da sie überall enthalten und in allen Abteilungen eine Rolle spielen – vom Marketing, über den Kundenservice bis hin zur Rechtsabteilung. (Bild: tookitook - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/aa/16aabd4bfe9389f9e71c1120f312d3d1/0110105744.jpeg "Quick-Connect Studio von Renesas basiert auf Quick-Connect IoT, einer Plattform mit standardisierter Hardware, die über branchenübliche Schnittstellen wie PMOD, Arduino und MIKROE verfügt. (Bild: Renesas Electronics)")
:quality(80)/p7i.vogel.de/wcms/4c/ce/4cce860514f3ff6aef22c239905b64d4/0110072273.jpeg "Cloud-basierte Technologien bergen neben schnellen Markteinführungen als auch Kontakten zu Kunden auch eine Reihe von Gefahren. (Bild: immimagery - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/78/05/780524131224e215de43311431bac0e4/0110189443.jpeg "Google schützt alle wichtigen Workspace-Anwendungen nun durch clientseitige Verschlüsselung. (Bild: Google)")
:quality(80)/p7i.vogel.de/wcms/c0/4e/c04e3315ad72b322a03cc9a5835aba05/0110086536.jpeg "CloudCasa und Ondat haben ein Best-of-Breed-Bundle für Kubernetes geschnürt. (Bild: Screenshot / Ondat)")
:quality(80)/p7i.vogel.de/wcms/66/90/669036ceb3e2e1454cf921b585fb1f4e/0109987733.jpeg "Ein verbesserter Schutz vor Ransomware-Attacken ist eines der Hauptanliegen von Veeam bei der neuen Data Platform. (Bild: © – Skórzewiak – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/a1/68a170de3b284538a21f5957002f4f87/0109460520.jpeg "Google kommt mit seiner aktuellen Produktinitative einer weiteren Ankündigung von Microsoft zuvor, die für diesen Donnerstag erwartet wird. (Bild: Vogel IT)")
:quality(80)/p7i.vogel.de/wcms/ef/bb/efbb0591b2043c447836baf43165c988/0110107485.jpeg "Mit unkonventionellen Ansätzen haben viele kleine Cloud-Anbieter disruptive Cloud-Computing-Services aufgebaut, die gut und gerne den Hyperscaler-Services Paroli bieten. (Bild: svetograph - stock.adobe.com)")
Ist der EU-US-Privacy-Shield in Gefahr? Datenübermittlungen in die USA ein No-Go?
Nicht erst seit dem Datenskandal um Facebook und Cambridge Analytica werden Datentransfers aus der EU in die USA kritisch betrachtet. Insbesondere der als „EU-US Privacy Shield“ bezeichnete Angemessenheitsbeschluss der EU-Kommission, der Datentransfers in die USA ermöglicht, gilt als nicht mehr zukunftssicher. Unternehmen sollten andere Rechtsgrundlagen für den Datentransfer in die USA wählen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/5e/cf/5ecf8e2080a3f/stackit-pos-hex-bildmarke-jpg.png "STACKIT_POS_HEX_Bildmarke.jpg.png (STACKIT)")
Bei Datentransfers in Länder außerhalb der EU unterscheidet die DSGVO zwischen „sicheren“ und „nicht sicheren“ Drittländern. Unsichere Drittstaaten sind solche Staaten, für die kein Angemessenheitsbeschluss der EU-Kommission gemäß Art.45 Abs.3 EU-DSGVO vorliegt. Angemessenheitsbeschlüsse kommen in der Regel dann zustande, wenn zwischen der EU und einem Drittstaat eine Übereinkunft dahin erzielt wird, dass ein der EU vergleichbares Datenschutzniveau im Umgang mit personenbezogenen Daten aus der EU, vom Drittland gewährleistet wird. In einem solchen Fall kann die Kommission bestätigen, dass das Datenschutzniveau im Drittland „angemessen“ ist, weshalb die Übermittlung von personenbezogenen Daten an Unternehmen oder Mitglieder der eigenen Unternehmensgruppe in diesem Drittland nicht gegen die DSGVO verstößt.
Beispiel für ein entsprechendes Vorgehen ist der Angemessenheitsbeschluss der EU-Kommission in Bezug auf das EU-US Privacy Shield. Der Angemessenheitsbeschluss der EU-Kommission setzt aber nicht zwingend ein Übereinkommen mit einem Drittland voraus. Gemäß Art. 45 DSGVO kann die Kommission einen solchen Beschluss auch dann fassen, wenn sie allgemein zu der Auffassung gelangt, dass ein angemessenes Schutzniveau im Drittland besteht. Berücksichtigt werden dabei unter anderem die Menschenrechtssituation, Grundfreiheiten, Datenschutzvorschriften, Struktur der Aufsichtsbehörden und internationalen Verpflichtungen des Drittlandes.
:quality(80)/images.vogel.de/vogelonline/bdb/1381500/1381552/original.jpg "Cloud Act: neues US-Gesetz höhlt Datenschutz aus. (Mario Piperni / Flickr / CC BY-ND 2.0)")
Die USA verschärfen Überwachung von Internet-Diensten
Der lange Arm der USA - Neues Cloud-Gesetz in Kraft
Was ist der EU-US Privacy Shield?
Als Angemessenheitsbeschluss ermöglicht der EU-US-Privacy-Shield grundsätzlich Datentransfers von der EU in die USA. Voraussetzung ist, dass der Empfänger der Daten, also in der Regel ein US-Unternehmen, innerhalb des US-EU-Privacy-Shield gelistet ist. Liegt diese Voraussetzung vor, können Datentransfers grundsätzlich ohne jede weitere Genehmigung erfolgen. Gleiches gilt für Datentransfers innerhalb einer Unternehmensgruppe, wenn ein Tochterunternehmen in den USA niedergelassen ist.
Weshalb ist der EU-US-Privacy-Shield in Gefahr?
Ausgangspunkt der Infragestellung des EU-US-Privacy-Shields war der Regierungswechsel in den USA und die Präsidentschaft von US-Präsident Donald Trump.
Grundlage für den EU-US Privacy Shield waren einige inneramerikanische Rechts- und Gesetzesänderungen im Jahr 2016. Insbesondere konnten sich (bestimmte, u.a. deutsche) EU-Bürger auf US-Rechte nach dem amerikanischen „Privacy Act“ direkt an US-Justizbehörden wenden. Diese Rechts- und Gesetzesänderungen scheinen durch eine „Executive Order“ von US-Präsident Trump vom 25. Januar 2017 gefährdet, nach der „auf der Grundlage des geltenden Rechts“ [u.a.] der Schutz aus dem Privacy Act Nichtstaatsangehörigen der USA nicht mehr zugutekommen soll. Bisher ist nicht eindeutig geklärt, ob EU-Bürger damit gerade aus dem Schutz des US-Privacy-Act herausfallen oder gerade weiterhin davon profitieren, weil ihre Einbeziehung in den Privacy -Act gerade „geltendem Recht“ entspricht.
:quality(80)/images.vogel.de/vogelonline/bdb/1386600/1386697/original.jpg "Der jüngst verabschiedete Cloud Act sichert US-amerikanischen Behörden - und befreundeten Drittländern per Abkommen - den Zugriff auf europäische Daten. Betroffene werden darüber nicht informiert. (© costadelsol - stock.adobe.com)")
Die Folgen des Cloud Acts für den Datenschutz
Supreme Court stellt Microsoft-Verfahren ein
Für Unternehmen gilt es abzuwarten, welche Auslegung des US-Privacy-Act sich etabliert. Grundsätzlich besteht nach wie vor ein wirksamer Angemessenheitsbeschluss der Kommission bezüglich des EU-US-Privacy-Shield, allerdings war die Anordnung des US-Präsidenten Ausgangspunkt für viele Debatten zu dessen Effektivität.
Die Artikel-29-Datenschutzgruppe, deren Stellungnahmen gewichtige Bedeutung bei der Auslegung der DSGVO zukommt, erklärte in ihrer Stellungnahme „EU-US-Privacy Shield- First annual Joint Review“ vom 28. November 2017, dass trotz des Privacy Shield in vielen Punkten Zweifel an einem mit der EU vergleichbaren Datenschutzniveau bezüglich der Daten von EU-Bürgern in den USA bestünde.
Insbesondere die fehlende Überprüfung der Einhaltung eines mit der EU vergleichbaren hohen Datenschutzniveaus durch unabhängige Aufsichtsbehörden in den USA wird bemängelt. Zudem bestehen Unterschiede in der Auslegung zentraler Begriffe des Privacy-Shield wie etwa „HR Data“ zwischen US- und EU-Behörden. Auch die Regelung für automatische Entscheidungsfindung/Profiling sei nicht ausreichend und spezifisch genug getroffen worden, um den besonderen Gefahren der automatischen Entscheidungsfindung zu begegnen. Außerdem kritisiert die Datenschutzgruppe, dass es keine Überprüfungsmöglichkeit für unter Umständen trotz Privacy-Shield erfolgende, unrechtmäßige Datensammlungen durch US-Behörden von Daten von EU-Bürgern gibt. Dazu passt, dass US-Finanz- und Strafverfolgungsbehörden aktuell Ausnahmen vom EU-Datenschutzrecht begehren. Zudem fehle es an einer unabhängigen und effektiven Funktion einer Ombudsperson speziell für Beschwerden von EU-Bürgern in den USA.
Unter anderem wegen dieser Kritikpunkte forderte der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Parlamentes der Europäischen Union (LIEBE) mit einer Resolution die Kommission dazu auf, den EU-US-Privacy-Shield zum 1. September 2018 auszusetzen, nachzubessern und neu zu verhandeln, wenn sich die USA nicht an die Vorgaben halten. Angesichts der oben genannten Anordnung von US-Präsident Donald Trump kann als unwahrscheinlich eingeordnet werden, dass ein neuer EU-US-Privacy Shield zustande kommt, geschweige denn ein höheres Datenschutzniveau aufweist, als der Bisherige.
Insgesamt können Datentransfers aktuell noch auf den Privacy-Shield gestützt werden, allerdings kann dieser durch Beschlüsse der Kommission oder Urteile des EuGHs in naher Zukunft vor dem Aus stehen. Unternehmen sollten daher Datentransfers in die USA auf eine andere Grundlage stellen.
Welche Alternativen gibt es zum EU-US-Privacy-Shield für Datenübertragungen von der EU in die USA?
Alternativen zum EU-US-Privacy-Shield bestehen gemäß Artikel 46 DSGVO reichlich. Innerhalb der eigenen Unternehmensgruppe bieten sich vor allem Binding Corporate Rules als Lösung für den Datentransfer in die USA an. Außerhalb der eigenen Unternehmensgruppe kommen vor allem Standardvertragsklauseln in Betracht. Außerdem bieten sich genehmigte Verhaltensregeln (Code of Conducts) und ISO-zertifizierte Genehmigungen als Lösung an.
Fazit und Ausblick
Die mediale Aufmerksamkeit, die dem Datenskandal um Facebook und Cambridge Analytica zuteilwurde, belegt, dass Datentransfers in die USA aktuell ein besonders sensibles Thema darstellen. Der Beschluss des LIBE-Ausschusses des EU-Parlamentes kann daher als Fingerzeig für den Anfang vom Ende vom EU-US-Privacy-Shield verstanden werden. Unternehmen, deren Datenempfänger innerhalb dieses Beschlusses gelistet sind, können diesen damit weiter als Grundlage für Datentransfers in die USA nutzen, sollten allerdings rechtzeitig eine alternative Rechtsgrundlage in Betracht ziehen. Ohne den Privacy-Shield gelten die USA als „nicht sicheres Drittland“, sodass Datentransfers ohne Rechtsgrundlage einen Verstoß gegen die DSGVO bedeuten und mit hohen Bußgeldern belegt werden.
Über die Autorin: Simone Rosenthal ist Rechtsanwältin und Partnerin bei Schürmann Rosenthal Dreyer und hat sich als Expertin für Datenschutz, IT-Recht und Wettbewerbsrecht etabliert. Ihre Schwerpunkte liegen insbesondere in der nationalen und internationalen Vertragsgestaltung, der Beratung von Unternehmen der Neuen Medien und der Digitalwirtschaft in Fragen des IT- und Datenschutzrechts sowie der Beratung zu vertriebs- und gesellschaftsrechtlichen Fragestellungen. Die Expertin für Datenschutz und IT-Recht ist ebenfalls Geschäftsführerin der ISiCO Datenschutz GmbH, ein Unternehmen, welches Analyse, Auditierung und Beratung in den Bereichen Datenschutz, Datenschutz-Compliance und IT-Sicherheit anbietet. Simone Rosenthal ist außerdem Co-Founder von lawpilots, einem E-Learninganbieter für IT-Sicherheit und Datenschutz.
(ID:45477964)
:quality(80)/images.vogel.de/vogelonline/bdb/1914800/1914886/original.jpg "Für den Datentransfer in eine US-Cloud, aber auch andere außereuropäische Clouds, müssen neue Rechtsgrundlagen gesucht und gefunden werden. (© deepagopi2011 - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1927500/1927512/original.jpg "Wer Cloud-Sicherheitslösungen vor der Anschaffung testen will, läuft Gefahr, eine Datenschutzverletzung nach DSGVO zu begehen. (gemeinfrei)")