:quality(80)/p7i.vogel.de/wcms/b8/61/b8615878dfcb9b7383269a429384a593/0115304715.jpeg "Von klassischem Filesharing bis hin zu vollumfänglichen Collaboration-Plattformen: Dank Cloud Content Management haben Angestellte jederzeit sicheren Zugriff auf alle nötigen Daten und Anwendungen. (© greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/98/3d98b69e471f34ee67173e2b19150983/0115412594.jpeg "Enterprise-SaaS-Angebote bringen die klassischen Geschäftsanwendungen in die Cloud – und damit hohe Flexibilität und Skalierbarkeit, um im Wettbewerb langfristig am Ball zu bleiben. (Bild: peacehunter - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1c/98/1c98109e01f9d42dbfe8e5f91371de50/0106084133.jpeg "Managed Cloud Provider stellen Speicher- und Rechenressourcen bereit, hosten benötigte Anwendungen und übernehmen die Verwaltung, Wartung und Absicherung von Technik und Diensten. (© Ar_TH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/91/2d/912d22362ea9150bda4edbeb628f2ecf/0115212768.jpeg "Mit der zunehmenden Verbreitung von Cloud Computing änderten sich auch die klassischen Software-Lizenzen - heutzutage sind Abonnement-Modelle, so genannte Subscriptions gängige Methoden der Software-Beschaffung. (Bild: frei lizenziert © Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/a1/f7/a1f7f8cdb0d4b00cb4e375692c9890ea/0115336164.jpeg "Nachhaltigkeit ist das Gebot der Stunde: das gilt auch für die moderne Softwareentwicklung. Wie Green Coding im Cloud-Zeitalter funktionieren kann, erklärt Marcel Russ von Exxeta im Beitrag. (Bild: © metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b6/e3/b6e3c889c37acc6c1ed05de0a59af0ea/0114836904.jpeg "Noch immer erschwert unzureichende Technik die Arbeit von zu Hause. (Bild: © – ChayTee – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d3/ca/d3ca83f391312649f41880038627ec40/0115489128.jpeg "Eine E-Mail-Adresse mit eigener Domäne zu besitzen, wirkt im geschäftlichen Umfeld professioneller. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/91/2d/912dbcabf7f32923ab6a5f43c3447f23/0115485204.jpeg "Die Umstellung auf Cloud-Services sollte so erfolgen, dass weder laufende Workflows unterbrochen, noch Kundenbeziehungen oder sogar das Geschäft selbst gefährdet werden. (Bild: jirsak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2a/9f/2a9fdac9280086eacdf3f04d7990ba34/0115563968.jpeg "Viele Bundesbürger stehen dem KI-Einsatz positiv gegenüber, sehen aber auch derzeit nicht abschätzbare Risiken insbesondere mit Folgen für das Mediensystem und die Demokratie. (Bild: Sutthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/dd/44/dd44abe3a7c3831acc4f6d8710611a6e/0115048132.jpeg "Mit Windows 365 lassen sich auch Cloud-PCs zur Verfügung stellen, auf die Anwender über den Browser oder die Remotedesktop-App in Windows 10/11 Zugriff haben. (Bild: © greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2f/d2/2fd2661061c70a86bd3aacdf35db555d/0115412159.jpeg "Softwarepiraterie ist wieder ein Problem. Doch der Ärger bei den Herstellern schlägt noch größere Wellen. (Bild: Canva/Lucas Schmidt)")
:quality(80)/p7i.vogel.de/wcms/30/88/30888c59780c6e7421fe8e54d3f6b832/0115444329.jpeg "Canonical hat eine „Micro Cloud“ vorgestellt, eine Open-Source-Lösung, die einfach, weitgehend automatisiert und sicher betrieben werden könne. (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/be/45/be45d41dec36c9e20f4c88f2a6da819b/0115442388.jpeg "Mit der „emma“-Plattform sollen Organisationen jeder Größe das wahre Potenzial ihrer Cloud-Strategien ausschöpfen, Innovationen vorantreiben und sich somit einen Wettbewerbsvorteil sichern können. (Bild: jamesteohart - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fa/69/fa696fba62d0c488e4fd63f5902aae09/0115363115.jpeg "CISPE hat auf dem jüngsten Gaia-X-Gipfel allen Anbietern seinen Federation Catalogue zur Verfügung gestellt, die die Kernanforderungen von Gaia-X erfüllen. (Bild: frei lizenziert, 41330 / Pixabay)")
:quality(80)/p7i.vogel.de/wcms/33/f3/33f3ba2d02a3ce977158ca59bb74f7c2/0115032740.jpeg "VMware-Kunden fühlen sich von den Lizenzvorgaben ihres Software-Liferenten bedoht und manche flüchten .... zur Konkurrenz. (Bild: GraffiTimi - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/1a/541a51ee78f099d577ebef88748c98de/0115421247.jpeg "Die ausufernde technische Infrastruktur erfordert eine neue Kategorie von Integrationsplattformen, die den Anforderungen der Nutzer gerecht wird und Datensilos auflöst. (Bild: Software AG)")
:quality(80)/p7i.vogel.de/wcms/4b/9c/4b9c0bd0d9be24bf0878ccc3fa6b2624/0115051055.jpeg "Peter Arbitter ist Senior Vice President Portfolio- & Productmanagement bei der Deutschen Telekom und kennt sich aus mit Unternehmensnetzen und Cloud Computing. (Bild: Deutsche Telekom AG/Norbert Ittermann)")
:quality(80)/p7i.vogel.de/wcms/e5/ea/e5ea917b3c394033e9a33f64a862648d/0115393557.jpeg "Cyberangriffe mit Ransomware sind nach Einschätzung des BSI nach wie vor die größte Bedrohung für Wirtschaft und Verwaltung. Sie verursachen einen Großteil der wirtschaftlichen Schäden, die durch Cyberangriffe entstehen. (©MH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/65/d9/65d9fcb5f8f83f264671e8f62c4ff615/0115174800.jpeg "(Bild: Extreme Networks)")
:quality(80)/p7i.vogel.de/wcms/c4/e1/c4e1280ea1e8075ce49f0d40091ee55e/0115209201.jpeg "Nicht immer sind sich Unternehmen und ihre Mitarbeiter drohender Risiken bewusst. (Bild: Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/59/96/599648de637a03f0c1b5482c762fbd96/0115418433.jpeg "Aus der Nutzung von SAP ADM ergeben sich nicht nur technische, sondern vor allem wirtschaftliche Vorteile: Die Produktivität von IT-Abteilungen und der Projektteams wird höher. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/72/56721511461fd1c95e13fdbda06976b1/0115201012.jpeg "Die Impossible Cloud verspricht, die Cloud „neu zu denken“. (Bild: frei lizenziert, geralt / Pixabay)")
:quality(80)/p7i.vogel.de/wcms/10/11/10113dd28b98cf89cc37c0a32e43748b/0115171270.jpeg "Oracle und Microsoft sind eine mehrjährige Vereinbarung für das Inferencing von KI-Modellen eingegangen. (Bild: Oracle)")
:quality(80)/p7i.vogel.de/wcms/f1/50/f1501494a783487718263fc201b5a219/0115023358.jpeg "Die SAP hielt ihre TechEd 2023 in Bangalore, Indien, sowie virtuell ab. (Bild: SAP)")
:quality(80)/p7i.vogel.de/wcms/c7/36/c736f7a78dfe236e4a6a34b6536de317/0114891083.jpeg "Immer wieder heißt es, ChatGPT könne den Arbeitsalltag erleichtern. Wie kann das aussehen? (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/99/71/997164de5cda0e0179f12f1e92c65ae7/0114997140.jpeg "Low-Code-Entwicklungsplattformen reduzieren die Komplexität cloud-nativer Entwicklung und erlauben beispielsweise die Automatisierung zeitaufwändiger (Programmier-)Prozesse. (Bild: Ivelin Radkov - stock.adobe.com)")
Der aktuelle Stand beim Datenschutz zwischen der EU und den USA Datenverarbeitung in US-amerikanischen Unternehmen und der Datenschutz
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
Etliche Unternehmer und Anwender befürchten Datenspionage bei der Beauftragung von US-amerikanischen Unternehmen, wenn die Daten nicht direkt in der EU verarbeitet werden. Auch bei der Beauftragung von Cloud-Diensten durch deutsche Unternehmen kommt die Frage nach dem Datenschutz immer wieder auf.
Deutsche Unternehmen sind an die DSGVO/GDPR gebunden und müssen sicherstellen, dass personenbezogene Daten geschützt sind. Das gilt auch dann, wenn sie diese Daten in die Cloud geben und damit an einen Cloud-Anbieter oder anderen Dienstleister. US-Unternehmen können ihren Kunden aber einen Teil der Bedenken nehmen, indem sie vertraglich bestätigen, dass sie Daten nur in der EU verarbeiten. Oder auf anderen Wegen sicherstellen, dass sie sich in jedem Fall an die Datenschutz-Grundverordnung halten.
Allerdings dürfen US-amerikanische Behörden im Bedarfsfall auch auf in der EU gespeicherte Daten zugreifen. Ein Serverstandort in der EU schützt US-Unternehmen nicht vor Gesetzen aus den USA. Derzeit wird eine datenschutzkonforme Übermittlung von Daten in die USA über den Abschluss von EU-Standardvertragsklauseln gesteuert.
Der EUGH hat in seinem Urteil zum EU-U.S. Privacy Shield dazu angemerkt, dass diese Vertragsklauseln weiterhin für ein angemessenes Datenschutzniveau sorgen. Unternehmen müssen für zusätzlichen Schutz sorgen, damit unbefugte Personen nicht auf personenbezogene Daten zugreifen können. So lassen sich Daten auch gemäß DSGVO schützen. Dabei gibt aber einiges zu beachten.
USA-Datenschutz wird aktuell stark erweitert
Inzwischen existieren in zahlreichen Ländern strenge Datenschutzvorgaben. Die Europäische Union ist sicherlich einer der Vorreiter, wenn es um den Schutz von Daten geht, aber andere Nationen ziehen nach. Ein Beispiel dafür ist der California Consumer Privacy Act (CCPA) in den Vereinigten Staaten. Häufig lassen sich Überschneidungen mit anderen Gesetzen und Regularien nutzen, um zumindest grundlegende Sicherheit zu erreichen.
Derzeit befindet sich in den USA der American Data Privacy and Protection Act (ADPPA) im Gesetzgebungsverfahren. Hierbei handelt es sich um eine starke Verschärfung des bisherigen Datenschutzes, vergleichbar mit der DSGVO. Der ADPPA wird aber frühestens ab 2025 für alle Unternehmen bindend – wenn das Gesetz bis Ende 2022 vom US-Präsidenten unterschrieben wird.
Transatlantic Data Privacy Framework – Privacy Shield 2.0
Der Transatlantische Rahmen für den Datenschutz (Transatlantic Data Privacy Framework) soll in Zukunft dazu beitragen, die Daten von EU-Bürgern von US-amerikanischen Geheimdiensten fernzuhalten, sofern eine Offenlegung nicht unbedingt erforderlich ist. Der Transatlantische Datenschutzrahmen (TDPA) ist ein neues rechtliches Abkommen zwischen der EU und den USA, welches den EU-US Privacy Shield ersetzen soll. Deshalb wird es oft auch als Privacy Shield 2.0 bezeichnet. Der Rahmen ist aktuell allerdings noch nicht bindend umgesetzt.
Der Schutz persönlicher Daten ist in den USA ein Rechtsobjekt. Während in der EU der Datenschutz ein Grundrecht darstellt, ist er in den USA Teil des Verbraucherschutzrechtes. Die Herangehensweisen sind unterschiedlich, dennoch haben Verbrauche Rechte, die durch Aufsichtsbehörden kontrolliert und umgesetzt werden können. In den USA übernimmt diese Rolle die Federal Trade Commission (FTC).
Eingriffe von anderen Unternehmen gibt es generell weder in den USA noch in der EU. In Vertragsklauseln zwischen Kunden und Anbietern aus den USA lässt sich daher ein durchaus solider Datenschutz gewährleisten. Und: Diese Form des Datenschutzes ist deutlich stärker bindend für die Einhaltung der DSGVO als die Speicherung der Daten in der EU. Dies kann zusätzlicher Bestandteil des Vertrages sein, sorgt aber für sich alleine genommen zunächst nicht für mehr Datenschutz.
Datenschutzrichtlinien sind auch in den USA bindend
Grundsätzlich schützen die verschiedenen Datenschutzvorgaben in den USA ebenfalls die Daten der Bürger. Ein Data Subject Access Request (DSAR) ist zum Beispiel der Antrag eines Bürgers auf Einsicht in die über ihn gespeicherten Daten. Diesen gibt es in der DSGVO/GDPR und der CCPA. Kommt es zu einem Datenleck, müssen Unternehmen die betroffenen Kunden darüber informieren.
Im Gegensatz zur EU ist der Datenschutz in den USA zwar (noch) nicht einheitlich geregelt. Der American Data Privacy and Protection Act (ADPPA) soll das zukünfig ändern. Der Kongress hat ihn bereits bestätigt, nun fehlt nur noch die Zustimmung des US-Repräsentantenhauses und die Unterschrift des US-Präsidenten. Bis Unternehmen den ADPPA allerdings bindend umsetzen müssen, werden noch Jahre vergehen.
Der US-Cloud Act gestattet US-Behörden auf Daten zuzugreifen, wenn ein Unternehmen seinen Sitz in den USA hat. Das geht auch ohne richterliche Anordnungen. Dabei spielt es keine Rolle, ob die Daten außerhalb der USA gespeichert sind, der US-Cloud Act betrifft den Sitz des Unternehmens. Unternehmen können ihre Kunden darüber informieren und zudem juristisch gegen die Herausgabe vorgehen.
Wenn Unternehmen aus den USA ihren Kunden Zusicherungen bezüglich des Datenschutzes machen und diese vertraglich hinterlegen, sind diese aber gültig. Halten sich Unternehmen nicht an die jeweiligen Vorgaben, können sie juristisch belangt werden. Das heißt, Unternehmen aus den EU sollten die Datenschutzklauseln in den Verträgen prüfen und nicht nur darauf beharren, dass die Daten ausschließlich in der EU verarbeitet werden.
Zusätzlich gibt es in den USA branchenspezifische Regeln, in ebenfalls den Schutz der Daten gewährleisten sollen. Dieser Schutz gilt für Wirtschaft und Handel ebenso wie für das Gesundheitswesen. Hier kann die jeweilige Aufsichtsbehörde, genauso wie in der EU, eingreifen und die Umsetzung der Vorschriften durchsetzen. In diesem Zusammenhang können die Regulierungsbehörden auf beiden Seiten des Atlantiks die Einhaltung der Richtlinien kontrollieren und hohe Strafen verhängen. Auch diese Klauseln sollten Kunden aus der EU für den jeweiligen Verband prüfen.
NIS2 und IT-Sicherheitsgesetz 2.0
Wenn Kunden aus der EU Geschäftsbeziehungen mit Unternehmen aus den USA eingehen, gelten verschiedene Datenschutzvorgaben. Mit der „Richtlinie zur Netz- und Informationssicherheit 2“ (NIS2) will die EU den Datenschutz und die Cybersicherheit in dieser Hinsicht weiter verbessern. Durch NIS2 erhöht sich das Cybersicherheits-Niveau in der EU nochmals. Die NIS2-Richtlinie erfasst auch Anbieter elektronischer Kommunikationsdienste und digitaler Dienste. Und sie verschärft die Sicherheitsvorschriften für alle internationalen Unternehmen, die Geschäfte mit Bürgern oder Unternehmen aus der EU abschließen. Bei Nichteinhaltung drohen auch hier strenge Sanktionen.
Parallel dazu ist in Deutschland mittlerweile das IT-Sicherheitsgesetz 2.0 gültig. Es gibt dem Bundesamt für Sicherheit in der Informationstechnik, BSI, mehr Handhabe bei der Überprüfung von Datenschutz und Datensicherheit. Zudem gewährleistet das Gesetz, dass international tätige Unternehmen die personenbezogenen Daten ihrer Mitarbeiter, Kunden, Lieferanten und Partner schützen müssen. Aber: Auch das IT-Sicherheitsgesetz 2.0 schützt nicht vor dem Zugriff durch Behörden aus den USA. Allerdings gilt der Transatlantische Datenschutzrahmen im Grundsatz als vereinbart und wird derzeit in eine Rechtsform gegossen – welche dann als Executive Order von Präsident Joe Biden erlassen werden soll.
Verträge mit Standardklauseln geben Sicherheit
Das EU-US-Privacy-Shield-Rahmenwerk wird aktuell weiterhin angewendet. Allerdings reicht es nicht aus, um die vollständige Einhaltung der DSGVO zu gewährleisten. Dies lässt sich durch die Erweiterung von Verträgen mit Standardklauseln (SCCs) und ergänzenden Maßnahmen aber ändern. Rechtlichen Abkommen dieser Art, die zwischen Kunden aus der EU und Unternehmen aus den USA geschlossen werden, gewährleisten, dass die DSGVO eingehalten wird.
Sobald der Transatlantische Datenschutzrahmen abgeschlossen ist, kehrt wieder (etwas) mehr Sicherheit ein, was den verbindlichen Datenschutzrahmen anbelangt. Standardklauseln werden aber auch in Zukunft relevant sein. Sie sorgen dafür, dass auch ein Dienstleister aus den USA an die Datenschutz-Grundverordnung gebunden ist.
Europäische Unternehmen sollten sich allerdings nicht blind auf den TDPA-Rahmen verlassen, da Unternehmen sich selbst zertifizieren können. Nur zusätzlich vereinbarte, vertragliche Rahmenbedingungen gewährleisten vollständigen Schutz. Und die betreffenden Klauseln sind eine gute Basis, die mit der Ratifizierung des TDPA-Rahmenwerks weiter gestärkt wird.
Europäische Unternehmenskunden sollten sich die entsprechenden Vertragsklauseln genau anschauen und darauf achten, dass diese zu den anerkannten SCCs der EU gehören. Das sorgt, in Verbindung mit der vertraglichen Zusicherung, dass die Daten in der EU verbleiben, für maximalen Datenschutz.
* Der Autor Robert den Drijver ist Vice President EMEA & Global Head of B2B2C der Vipre Security Group.
(ID:48734888)
:quality(80)/p7i.vogel.de/wcms/b1/c0/b1c0dde401ccd35c10cb6ef4d86a4f8a/0113124579.jpeg "Dritter Anlauf: nach der Safe-Harbor-Regelung und dem Privacy Shield folgt nun mit dem Data Privacy Framework ein neuer Versuch, Rechtssicherheit für den Datentransfer personenbezogener Daten von der EU in die USA sicherzustellen. (Bild: frei lizenziert © Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/0a/38/0a383b5bb511ccf680cb8aa5b325b736/0111386397.jpeg "Der transatlantische Datenverkehr ist aus datenschutzrechtlicher Sicht noch immer nicht klar geregelt; Hoffnung keimt mit TADPF auf. (Bild: frei lizenziert Photo Mix - Pixabay)")