Das EU-US Privacy Shield wurde gekippt. Für Unternehmen in Europa, die US-Cloud-Dienste nutzen, hat das Urteil vom 16. Juli 2020 erhebliche Konsequenzen. Sie können sich bei der Nutzung von US-Diensten nicht länger auf die Gewährleistung eines angemessenen Datenschutzniveaus unter dem Dach des Privacy Shield berufen.
Was ist die Alternative? Auf Tools zurückgreifen, bei denen man nicht auf das Privacy Shield Abkommen angewiesen ist!
Hintergrund: Wissenswertes zum Privacy Shield in einfachen Worten
Was ist das Privacy Shield und was wurde dadurch geregelt?
Bei dem EU-US Privacy Shield handelt es sich um ein informelles Abkommen zwischen den USA und der EU, das den transatlantischen Datenaustausch gemäß eines angemessenen Datenschutzniveaus regeln sollte. US-Unternehmen, die sich dem Privacy-Shield verschrieben haben, haben sich dazu verpflichtet, festgelegte Beschränkungen und Grundsätze zum Schutz der Daten von EU-Bürgern einzuhalten.
Für die Nutzung von US-amerikanischen Tools und den Datentransfer nach Amerika diente das Datenschutzschild also als Grundvoraussetzung zur Einhaltung der EU-Datenschutz-Grundverordnung (DSGVO).
DSGVO vs. Cloud Act (Patriot Act): Kritik am Privacy Shield
Das Problem am Privacy Shield? Das amerikanische Gesetz steht in starkem Kontrast zur EU-DSGVO, die strenge Regeln zum Schutz personenbezogener Daten innerhalb der Europäischen Union festschreibt.
Die Zusicherungen, welche diesbezüglich durch das Privacy Shield gemacht werden, sind jedoch nicht vereinbar mit dem 2018 erlassenen Cloud Act und dem 2001 erlassenen Patriot Act. Diese sichern den amerikanischen Behörden weitreichende Rechte im Zusammenhang mit allen auf amerikanischen Servern und von amerikanischen Unternehmen gespeicherten Daten zu. Im Klartext: Die Behörden können US-Anbieter dazu verpflichten, alle Daten (inkl. personenbezogener Daten) herauszugeben. Ähnlich kritisch ist die Lage in Bezug auf geheime Betriebsinterna zu sehen: "Der US Cloud Act steht nämlich nicht nur europäischen Datenschutzgesetzen wie der DSGVO diametral entgegen; er öffnet auch Wirtschafts- und sonstiger Spionage Tür und Tor." (Christian Schmitz, Chief Strategy & Innovation Officer bei ownCloud)
Wir sehen: Privacy Shield und Cloud Act bzw. Patriot Act wollen nicht so recht zusammenpassen. Welche Aussage zählt im Zweifelsfall? Hier steht das große Fragezeichen.
Das EuGH Urteil – Privacy Shield für nichtig erklärt
Der österreichische Jurist und Datenschutzaktivist Maximilian Schrems hat sich deshalb vor Gericht begeben und im Jahr 2015 zunächst Safe Harbor (den Vorgänger des Privacy Shields) und letztlich das bislang gültige Datenschutzschild zu Fall gebracht. Safe Harbor und das Privacy Shield wurden vor derselben Rechtsgrundlage aufgesetzt. "Da steht genauso drin, US-Recht hat Vorrang, wenn US-Recht sagt, die Daten dürfen abgefangen werden, dann dürfen die abgefangen werden.“, so Schrems.
Das Privacy Shield ist nun also gekippt und somit entfällt die Grundlage für eine legitime Nutzung amerikanischer Dienste.
Nach dem Privacy Shield EuGH Urteil – das sind die Folgen für die Unternehmen
US-Tools sind in deutschen Unternehmen weit verbreitet. In EU-Unternehmen, die sich bislang auf das Privacy Shield verlassen und weiterhin amerikanische Cloud-Dienste im Einsatz haben, herrscht Rechtsunsicherheit. Das Urteil zieht Konsequenzen nach sich. Was nun?
Was Unternehmen jetzt wissen müssen
Von der Berliner Datenschutzbeauftragten Maja Smoltczyk sind deutliche Aussagen zu vernehmen: Vonseiten der Aufsichtsbehörden müssen entsprechende Verbote zur Datenübermittlung folgen und Betroffene hätten ein Recht auf "Schmerzensgeld", welches in "abschreckender Höhe" festzulegen sei.
Standardvertragsklauseln? Ja? Nein?
Weiterhin offen steht den Unternehmen der Einsatz sogenannter Standardvertragsklauseln. Hier kommt das große "aber":
Diese Klauseln müssen von europäischen Unternehmen hinterfragt und geprüft werden – dahingehend, ob der Datenschutz vom Anbieter hinreichend gewährleistet werden kann und hierzu zählt auch, ob eine Gefahr durch staatlichen Zugriff besteht. Bedenkt man die Hintergründe für die aktuelle Situation, d. h. weshalb ein Privacy Shield benötigt wurde und weshalb es gekippt ist, so scheint es allerdings mehr als wahrscheinlich, dass US-Unternehmen auch die Standardvertragsklauseln nicht einhalten können.
Datenschutz-Profis raten dennoch allen Unternehmen dazu, sich dahingehend zu bemühen und bei den US-Anbietern anzufragen:
"Wenn die Beendigung der Datenübermittlung für Sie keine Option ist, haben Sie nach unserer Ansicht einfach keine andere Wahl, um das Risiko zumindest zu reduzieren." (Sebastian Herting, Rechtsanwalt und zertifizierter Datenschutzbeauftragter)
Die Alternative zum Privacy Shield? Tools, die auch ohne Privacy Shield verwendet werden dürfen!
Wie Smoltczyk schon sagte, Europa muss digitale Eigenständigkeit erlangen. So folgt auch die ersehnte Rechtssicherheit in Bezug auf den Datenschutz.
Für Unternehmen bedeutet dies, auf Anbieter aus Deutschland (bzw. Europa) zurückzugreifen. Ein deutscher Anbieter, dessen Server sich in Deutschland befindet, steht unter deutscher Rechtsprechung. Ein solcher Anbieter ist nicht vom Cloud Act betroffen und MUSS einen ausreichenden Datenschutz gewährleisten können. In diesem Fall wird also das Privacy Shield von vorn herein nicht benötigt.
Was Unternehmen jetzt tun sollten: Alle US-Tools und Dienste unter die Lupe nehmen
Überprüft werden muss:
- welche Tools im Einsatz sind,
- wo sich der Firmen(haupt-)sitz befindet,
- und wo sich die Server befinden bzw. wo die Daten gespeichert/gehostet werden.
Sitz des Anbieter |
Hauptsitz des Konzerns (sofern abweichend) |
Serverstandort |
Einordnung |
DE/EU |
DE/EU |
DE/EU |
unproblematisch |
DE/EU |
USA |
DE/EU |
Prüfung erforderlich! |
DE/EU |
|
USA |
Dringender Handlungsbedarf! |
USA |
|
DE/EU |
Dringender Handlungsbedarf! |
USA |
|
USA |
Dringender Handlungsbedarf! |
Am besten, Du erstellst eine Liste aller Tools, die im Einsatz sind und verschaffst Dir einen Überblick über die Tools, die potentiell gefährlich werden könnten. Empfehlenswert ist es in dieser Situation natürlich, auf DSGVO-konforme Anbieter aus Deutschland oder anderen europäischen Ländern, die vom Cloud Act nicht betroffen sind, auszuweichen. So steht Dein Unternehmen letztlich auch bei ähnlichen Situationen – und das Thema Datenschutz ist wohl noch lange nicht vom Tisch – auf der sicheren Seite.
Made & hosted in Germany: Mit Stackfield bist Du auf der sicheren Seite
Stackfield vereint Projektmanagement und Kommunikation in einer umfassenden Cloud-Kollaborationslösung: Team Chats, Audio- und Videotelefonie, Screen Sharing, Aufgaben- und Terminverwaltung, Projektmanagement und kollaborative Dokument- und Dateiverwaltung. Die Tools werden funktional miteinander verknüpft, um den Austausch im Team nachvollziehbar zu halten.
Anbieter/Firmensitz: München, Deutschland
Serverstandort: Karlsruhe, Deutschland
Datenschutzstandards auf höchstem Niveau:
Die clientseitige Ende-zu-Ende-Verschlüsselung sorgt dafür, dass alle Daten noch beim Upload verschlüsselt werden, verschlüsselt auf den Servern liegen und auch verschlüsselt wieder abgerufen werden. Der Schlüssel, der für den Zugriff benötigt wird, verlässt niemals den Besitz des Nutzers. Somit hat auch Stackfield selbst keine Einsicht in die Daten seiner Nutzer.
Weitere Datenschutzmaßnahmen durch Stackfield und alles zum Thema Sicherheit und Datenschutz: https://www.stackfield.com/de/security
Fast fertig...Bitte klicke auf den Link in der E-Mail, um Deine E-Mail Adresse und die Anmeldung zum Newsletter zu bestätigen.
Verpasse keinen Beitrag mehr.