:quality(80)/p7i.vogel.de/wcms/3b/6d/3b6de5d5ee985e4d83860aa710a88d64/0108679613.jpeg "Der zentrale Überblick mittels des Multi-Cloud-Managements sorgt für Kostentransparenz; Reports und intelligente Analysen zeigen Optimierungspotenzial auf und ermöglichen Vergleiche der Konditionen verschiedener Anbieter. (Bild: dell - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/66/aa/66aa92e9e5f3707c120969f3a9dc2dc5/0108541020.jpeg "Vor allem Lösungen für ERP und CRM sind Treiber des konstanten Wachstums im SaaS-Markt und des voranschreitenden Trends zur Digitalisierung und Automatisierung. (Bild: gemeinfrei Ronald Carreno)")
:quality(80)/p7i.vogel.de/wcms/9b/68/9b681c20a7f5797bd1a81726aa5ad997/0108274887.jpeg "Kernfunktion aktueller Cloud-Content-Management-Lösungen ist es, Anwendern den ortsunabhängigen Zugriff auf für sie relevante Geschäftsdaten zu ermöglichen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/03/4c0352ffdc96296602f6a9994783530d/0110599468.jpeg "Die Dekommissionierung bzw. Stillegung nicht mehr benötigter IT-Systeme vor einer Cloud-Migration senkt Kosten und Aufwand. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ac/a5/aca50b4dfd6fe448ee00272c52083d91/0110357050.jpeg "Azure OpenAI Service bietet Zugang zu KI-Modellen von OpenAI wie GPT-3, ChatGPT, DALL-E 2 und anderen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/73/3b/733ba48b0c28a33e80ddfe6ae66bc9a7/0109414498.jpeg "T-Systems offeriert mit der Open Telekom Cloud eine sichere Alternative zu den Hyperscalern. (Bild: gemeinfrei, cocoparisienne / Pixabay)")
:quality(80)/p7i.vogel.de/wcms/77/a8/77a84fef3c21c37b61a2f8ab0fba2715/0110343435.jpeg "Microsoft Outlook steht Mac-Usern jetzt kostenlos zur Verfügung. (Bild: frei lizenziert Matias Cruz - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/45/b4/45b405dd4a34cc31e38d6fc3ed6a60fd/0110612942.jpeg "Murrelektronik im baden-württembergischen Oppenweiler führte im Pilotprojekt die SAP Data Warehouse Cloud ein. (Bild: © Alexander Becher)")
:quality(80)/p7i.vogel.de/wcms/b9/1e/b91e0d042aaac49e2012980e90294472/0109999884.jpeg "Wie fällt die Bilanz nach zehn Jahren Industrie 4.0 aus – wo sind die Produktivitätsgewinne? (Bild: frei lizenziert wdreblow0 - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/35/76/3576b02d0a1bffa7f6d61679724ad5dc/0110376810.jpeg "Die SaaS-Plattform für rechtssicheres Vertragsmanagement PocketLaw ist ab sofort auch in Deutschland verfügbar. (Bild: Edward Lich)")
:quality(80)/p7i.vogel.de/wcms/07/cc/07cc1cf7902bd162cf65e45efe9c5846/0110594536.jpeg "„You Have to Be at CloudFest if You Work in the Cloud“ – wer mit der Cloud arbeitet, Infrastruktur und Services für Cloud Computing anbietet kommt am CloudFest im Europapark Rust nicht vorbei. (Bild: VIT / ewg)")
:quality(80)/p7i.vogel.de/wcms/5a/39/5a393cf6af5b9b05aacab7af43598b30/0109272973.jpeg "Brooklyn Data hat im Auftrag von Fivetran einen Data Warehouse Report erstellt. (Bild: © ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/c9/30c909fd2d08a194f3adafc5385a80b8/0110474841.jpeg "ServiceNow hat mit „Utah“ ein Update seiner Now-Plattform vorgestellt. (Bild: frei lizenziert manniguttenberger / Pixabay)")
:quality(80)/p7i.vogel.de/wcms/fe/a3/fea375a60daeacbb5ab9ecd2617eafab/0109897506.jpeg "Jed Ayres, CEO von Igel, und Matthias Haas, CTO von Igel, präsentieren Igel Cosmos auf der Disrupt23 in München. (Bild: Igel)")
:quality(80)/p7i.vogel.de/wcms/be/87/be877eac12fe4c83b446c0f115a18196/0110380431.jpeg "Unternehmen, die sich auf die komplexe Workload-Migration auf AWS einlassen wollen, sollten gründlich prüfen, wie gut sie darauf vorbereitet sind, Daten und Anwendungen in die Cloud zu verschieben. (Bild: immimagery - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c7/7f/c77fefc23446b27178da58d6dfb1a28a/0110403454.jpeg "Die Salesforce Hyperforce EU Operating Zone soll Kunden mehr Kontrolle über Datenzugriffe ermöglichen. (Bild: torstensimon)")
:quality(80)/p7i.vogel.de/wcms/12/60/1260a96a2111b7c5c10194822f4f810b/0110403469.jpeg "NoSpamProxy hat den Funktionsumfang seiner E-Mail Security Suite weiter ausgebaut. (Bild: Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/39/b0/39b0447b32892a802447c09afb46ea2b/0110424179.jpeg "Gaia-X hat Mitte März die Market-X Conference & Expo in Wien veranstaltet. (Bild: frei lizenziert Leonhard Niederwimmer / Pixabay)")
:quality(80)/p7i.vogel.de/wcms/02/b7/02b788adae328d839a6fee59654ed175/0110588925.jpeg "Aufgrund wirtschaftlicher und politischer Unsicherheit, instabiler Lieferketten, hoher Energiepreise und permanenter Cyberbedrohungen nutzen immer mehr Unternehmen Cloud-Modelle für geschäftskritische Anwendungen. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/ff/feffdd095a81fbe50c02285a4202b1c1/0109971847.jpeg "Unternehmen setzen zunehmend auf digitale Lösungen, und die Anforderungen an Dokumentenmanagementsysteme steigen – nicht zuletzt auf Grund von Compliance-Vorgaben. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/bb/26/bb26887f6002604d4ba7c8b42a613aa6/0110244573.jpeg "Profinit expandiert in die DACH-Region. Das Unternehmen zählt laut IDC zu den Top 3 der größten Entwickler von Individualsoftware in Tschechien. (Bild: Profinit DE GmbH)")
:quality(80)/p7i.vogel.de/wcms/45/29/4529d45ef3cc038d551fa03ce892c000/0110209992.jpeg "Bedeuten die jüngsten Entlassungen, dass der Fachkräftemangel im Tech-Bereich vorbei ist? (Bild: frei lizenziert: Dirk Wouters)")
:quality(80)/p7i.vogel.de/wcms/98/33/983325b3e6f5bd686468697749b9c787/0110620652.jpeg "Daniel Zhang, seit 2015 CEO und seit 2019 auch Vorstandsvorsitzender der Alibaba Group, soll neben der Konzernspitze auch die neue Cloud-Gruppe leiten. (Bild: Alibaba Group)")
:quality(80)/p7i.vogel.de/wcms/f4/59/f4594d0235247f7186bf002963c3dfdc/0110566586.jpeg "Gordon Moore: Halbleiter-Pionier, Autor von „Moore’s Law“ und Mitgründer von Intel. (Bild: Intel Coroporation)")
:quality(80)/p7i.vogel.de/wcms/e9/be/e9bef4fa2e312555d2bd6e2492735b44/0110258442.jpeg "Ein Cloud-Service macht noch keinen Sommer, erklärt Seqis in diesem Beitrag und verweist auf Probleme, mit denen sich Entwickler in Unternehmen konfrontiert sehen könnten. (Bild: frei lizenziert Joe - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/16/aa/16aabd4bfe9389f9e71c1120f312d3d1/0110105744.jpeg "Quick-Connect Studio von Renesas basiert auf Quick-Connect IoT, einer Plattform mit standardisierter Hardware, die über branchenübliche Schnittstellen wie PMOD, Arduino und MIKROE verfügt. (Bild: Renesas Electronics)")
:quality(80)/p7i.vogel.de/wcms/a1/e6/a1e6079e89a83d872a1a8d164edc8f97/0110412957.jpeg "Angesichts einer Krise macht es keinen Sinn, den Kopf in den Sand zu stecken. (Bild: frei lizenziert Engin Akyurt - Pixabay)")
Schrems II, „Privacy Shield“ und die Folgen Was wird aus der transatlantischen Datenübermittlung?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
Der Europäische Gerichtshof hat entschieden, dass die Übermittlung von personenbezogenen Daten in die USA rechtswidrig ist, wenn dies auf Basis des „Privacy Shield“ erfolgt. Was ist also von Unternehmen zu tun, die davon betroffen sind?
Wieder einmal Schrems: Der österreichische Jurist und Datenschutzaktivist beschäftigt seit Jahren Facebook und die europäischen Gerichte. Hatte er sich zunächst in einem Verfahren gegen das sog. Safe-Harbor-Abkommen gewandt und dieses zu Fall gebracht (EuGH vom 6. Oktober 2015, C-362/14 – Schrems), so wurde nun das seitens der EU-Kommission eilig zusammengezimmerte Nachfolgeabkommen „Privacy Shield“ für unwirksam befunden. Vor allem aber befasste sich der EuGH mit einer weiteren Möglichkeit der Absicherung von EU/US-Datenübermittlungen: Die sogenannten Standardvertragsklauseln. Diese wurden zwar nicht als ungültig angesehen, das Gericht zeigte aber deutliche Grenzen auf, die in der Praxis nur schwer einzuhalten sein dürften.
Hintergrund: Grenzüberschreitende Datenübermittlung
Stellt sich im Unternehmen die Frage einer Datenübermittlung in die USA oder in das Nicht-EU-Ausland allgemein, dann sind seit jeher zwei Fragen zu untersuchen:
- Gibt es eine Rechtfertigung für die Datenübermittlung als solche und werden die Vorgaben der DSGVO dabei eingehalten?
- Herrscht bei dem Empfänger ein angemessenes Datenschutzniveau?
Um letzteres abzusichern gibt es grundsätzlich verschiedene Wege. Für einige Länder wurde die Angemessenheit des Datenschutzniveaus seitens der EU-Kommission durch Beschluss festgestellt. Ungeachtet eines nicht ausreichenden Datenschutzniveaus im Empfängerland kann eine Datenübermittlung erfolgen, wenn eine Ausnahme einschlägig ist, wenn zum Beispiel der Betroffene der Datenübermittlung in das Zielland (freiwillig) zugestimmt hat. Weiter kann eine Datenübermittlung ausnahmsweise erfolgen, wenn diese für eine Vertragserfüllung erforderlich ist - beispielsweise bei der Buchung einer Reise, bei der im Zielland von der Einreisebehörde und dem Hotel die Daten des Reisenden verarbeitet werden.
Die Entscheidung
Es war absehbar, dass das „Privacy Shield“ genannte Abkommen vor dem EuGH keinen Bestand haben würde. In der Praxis wurde daher von anwaltlicher Seite seit langem davon abgeraten, die Angemessenheit der Datenübermittlung auf dieses Rechtsinstrument zu stützen. Mittel der Wahl war ein von der Kommission vorgestellter Standardvertrag, die sogenannten Standardvertragsklauseln. Diese hatten aus Sicht der Anwender den Charme, dass der Text grundsätzlich nicht verändert werden durfte, wenn man nicht seine Wirksamkeit gefährden wollte. Es gab also keinen Raum für lange Verhandlungen.
Der EuGH entschied nun, dass die Gültigkeit der Standardvertragsklauseln davon abhängt, ob diese „wirksame Mechanismen“ enthalten, die es in der Praxis ermöglichen, die Einhaltung des vom EU-Recht geforderten Schutzniveaus zu gewährleisten. Der EuGH entschied weiter, dass es Sache eines in der EU ansässigen für die Verarbeitung Verantwortlichen ist, von Fall zu Fall zu prüfen, ob das Recht des Ziellands nach EU-Recht einen angemessenen Schutz personenbezogener Daten gewährleistet, indem er erforderlichenfalls zusätzliche Garantien zu den von den Standardvertragsklauseln angebotenen vereinbart.
Das Problem: Im Fall der Übertragung in die USA stützte der EuGH die Unrechtmäßigkeit des „Privacy Shield“ gerade auf Defizite bei der Verhältnismäßigkeit und beim Rechtsschutz aufgrund zwingenden US-Rechts. So ließen die US-amerikanischen Regelungen keine Einschränkung der Überwachungsprogramme oder Garantien für Ausländer erkennen. Einige Regelungen verliehen keinerlei gegenüber den amerikanischen Behörden gerichtlich durchsetzbaren Rechte. Ein Präsidialdekret, auf das die Überwachung gestützt wird, unterfalle überhaupt keiner gerichtlichen Kontrolle. Insgesamt, so der EuGH, gebe es keine wirksamen Rechtsbehelfe gegen die Überwachungsmaßnahmen, wie es die DSGVO (Art. 45 Abs. 2a) jedoch erfordere.
Zweifel an der Entscheidung
Die Rechtsprechung des EuGH erscheint hier wie von einem anderen Stern: Während die EU allen Mitgliedsländern (also auch denjenigen mit massiven rechtsstaatlichen Defiziten) pauschal ein angemessenes Datenschutzniveau bescheinigt, spricht man dies den USA ebenso pauschal aufgrund der dortigen Geheimdienstaktivitäten ab.
Gerade die Aktivitäten von Nachrichtendiensten und fehlende Rechtsbehelfe hiergegen sind jedoch kein taugliches Argument. Denn die Aktivitäten einiger EU-Mitglieder dürften hier durchaus vergleichbar sein. Dem Autor ist bekannt, dass deutsche High-Tech-Unternehmen seitens deutscher Nachrichtendienste dezidiert vor den Wirtschaftsspionageaktivitäten eines französischen Geheimdienstes gewarnt wurden. Zudem hat das Bundesverfassungsgericht dem Bundesnachrichtendienst erst vor kurzem ins Stammbuch geschrieben, dass die Überwachung der Telekommunikation von Ausländern im Ausland an die Grundrechte des Grundgesetzes gebunden ist und nach der derzeitigen Ausgestaltung der Ermächtigungsgrundlagen gegen das Telekommunikationsgeheimnis und die Pressefreiheit verstößt. Anders ausgedrückt: Das schrankenlose Abschöpfen von Daten bei ausländischen Journalisten durch den BND im Ausland ist entgegen bisheriger Gewohnheiten nicht möglich.
Auch das Argument des fehlenden Rechtsbehelfs in den USA führt nicht weiter: Denn die überlange Verfahrensdauer in einigen EU-Mitgliedsstaaten dürfte faktisch bedeuten, dass dort eine Rechtsdurchsetzung ebenfalls unmöglich ist. In der Praxis machen die von einer Datenverarbeitung Betroffenen von Rechtsbehelfen gegen einen Datenzugriff praktisch keinen Gebrauch.
Angesichts dieser Inkonsistenzen erscheint es durchaus verwegen, mit dem Finger allein auf US-amerikanische Praktiken zu zeigen.
Konsequenzen aus dem Urteil
In ersten Reaktionen wurde geschrieben, der EuGH schneide die EU vom Internet ab. Ganz so ist es sicher nicht. Zunachst einmal sollte untersucht werden, ob die Übermittlung von personenbezogenen Daten in die USA tatsächlich erforderlich. Möglicherweise kann die Datenverarbeitung innerhalb der EU (zum Beispiel allein durch eine Tochtergesellschaft des US-Unternehmens) stattfinden. Bei vielen Wartungsverträgen, die einen Remotezugriff des Anbieters vorsehen, kann geprüft werden, ob wirklich auf die Datenbank des Nutzers mit den Produktivdaten zugegriffen werden muss oder ob Wartungsmaßnahmen nicht auch ohne diesen Zugriff erfolgen können.
Eine weitere Möglichkeit wäre die Anonymisierung personenbezogener Daten. Diese würde dazu führen, dass die DSGVO nicht zur Anwendung kommt. Dieses Mittel wird jedoch gerade bei internationalen Konzernen mit ihren Matrixstrukturen über Ländergrenzen hinweg selten umzusetzen sein.
Desweiteren bieten einige Cloud-Dienste eine Verschlüsselung an, die bewirkt, dass weder der Cloud-Anbieter noch Dritte tatsächlich auf die Inhalte zugreifen können. Eine solche Verschlüsselung kann ebenfalls bewirken, dass das Datenschutzrecht von vornherein keine Anwendung findet und dementsprechend die „Übermittlung“ auch nicht den oben genannten Regelungen unterliegt.
Eine weitere Alternative kann der Abschluss der genannten Standardvertragsklauseln mit weiteren Garantien sein. Das EuGH-Urteil besagt jedoch, dass die zuständigen Aufsichtsbehörden Datentransfers ungeachtet des Vorhandenseins der Klauseln ab sofort für unzulässig erklären und untersagen müssen, wenn sie die Garantien nicht für ausreichend halten. Einige Aufsichtsbehörden sehen es in ihren ersten Stellungnahmen weiter als möglich an, die Standardvertragsklauseln zu nutzen. Sie raten aber dazu, im Einzelnen zu prüfen, welchen Gesetzen der Datenempfänger in den USA in der speziellen Geschäftsbeziehung unterliegt und ob diese die mit den Standardvertragsklauseln gegebenen Garantien beeinträchtigen. Das dürfte für deutsche Datenexporteure in der Praxis in vielen Fällen keine Option sein.
Schließlich kann überlegt werden, eine Einwilligung für den Datentransfer zu implementieren. Dabei ist darauf zu achten, dass die Einwilligung freiwillig, zweckgebunden, informiert und eindeutig erteilt werden muss.
In jedem Fall ist anschließend die dem Betroffenen erteilte Information (das heißt die Datenschutzerklärung) zu aktualisieren.
Ausblick
Die DSGVO wurde kürzlich seitens der EU-Kommission (erwartungsgemäß) als „Erfolgsgeschichte“ bezeichnet – ungeachtet der damit verbundenen überbordenden Bürokratie und den dadurch produzierten millionenfachen, mit massiven Bußgeldern bedrohten Datenschutzverstößen. Es bleibt zu hoffen, dass die Standardvertragsklauseln seitens der EU-Kommission jetzt wie geplant aktualisiert werden, damit Unternehmen zeitnah eine verlässliche Grundlage für einen Datentransfer in die USA haben.
:quality(80)/p7i.vogel.de/wcms/27/d4/27d4dae75922d1c15419c0f2dc8f47db/90458459.jpeg "Im Urteil in der Rechtssache C-311/18 klärte der Gerichtshof den Beschluss 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes für ungültig. (Bild: gemeinfrei© SanHyonCho)")
Schrems II
Europäischer Gerichtshof: Privacy Shield ist ungültig
(ID:46748998)
:quality(80)/images.vogel.de/vogelonline/bdb/1947100/1947123/original.jpg "Der Datentransfer zwischen der EU und US-amerikanischen Cloud Service Providern könnte bald wieder rechtlich abgesichert möglich sein. (gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1937400/1937483/original.jpg "Klare rechtliche Vorgaben, wären hilfreich für alle Akteure in der IT. (MQ-Illustrations-stock.adobe.com)")