Datenschutz: Google, Facebook, Amazon, Apple und Microsoft sind einfach zu groß geworden

Anzeige

Die Irish Data Protection Commission (IDPC), die Aufsichtsbehörde, die im Wesentlichen für alle amerikanischen Big-Tech-Unternehmen wie Facebook, Microsoft, Google und Apple für Europa zuständig ist, hat kürzlich ein Statement veröffentlicht. Es geht um den von der Behörde vorgeschlagenen Beschluss zum DSGVO/GDPR-Verstoß seitens Twitter. Dieser Beschluss habe ein »Streitbeilegungsverfahren« ausgelöst, da er nach Ansicht der EU-Datenschutzbehörden im Widerspruch zu dem vorgeschlagenen irischen Urteil stünde.

Das European Data Protection Board (EDPB) wird nun versuchen, eine Einigung über eine endgültige Entscheidung zu erzielen. Ein Prozess, der sich bis zu 10 Wochen hinziehen kann, so dass mit einer endgültigen Entscheidung möglicherweise nicht vor November zu rechnen ist. Die irische DPC hatte ihren Beschlussvorschlag am 22. Mai 2020 zur Anhörung geschickt.

Den kompletten Bericht im WSJ finden Sie hier: https://www.wsj.com/articles/twitter-data-case-sparks-dispute-delay-among-eu-privacy-regulators-11597921201

 

Wir haben dazu mit Tim Mackey, Principal Security Strategist von Synopsys, gesprochen:

 

Inwieweit offenbart die Verlautbarung der irischen Aufsichtsbehörde Unterschiede im Ansatz und bei der Durchsetzung zwischen den 28 europäischen Datenschutzbehörden?

[Tim Mackey] Es wird zwischen den einzelnen Datenschutzbehörden immer Meinungsverschiedenheiten geben, wie sie die ihnen vorgelegten Fälle beurteilen. Ein Teil der vom EDPB beigelegten Streitfälle bezieht sich auf die Höhe des Bußgeldes. Die umfassendere Fragestellung ist aber vielmehr, ob die übrigen Mitgliedsstaaten die Verstöße in einem ähnlichen Licht sehen wie die irische DPC. Ich hoffe, dass Art und Umfang des strittigen Ergebnisses offengelegt werden. Nur dann wissen Unternehmen, die sich bemühen, die Vorschriften einzuhalten, wie die davon abweichenden Datenschutzbehörden die untersuchten Verstöße bewerten.

 

Sind DSGVO-Untersuchungen wie im vorliegenden Fall – insbesondere im Zusammenhang mit Big Tech – zu kompliziert und zu teuer, als dass eine einzelne nationale Regulierungsbehörde sie übernehmen kann?

[Tim Mackey] Big-Tech-Unternehmen haben Zugang zu juristischen Mitteln und Ressourcen, die denen von Regulierungsbehörden deutlich überlegen sind. Viele internationale Unternehmen betreiben ihr EU-Geschäft von Irland aus. Dass die irische DPC mit der Regulierungslast überfordert sein könnte, ist also nicht ganz unwahrscheinlich. Eine Situation, die von der Europäischen Kommission in ihrem Bericht zu Artikel 97 übrigens hervorgehoben wird.

 

Ist das Statement als Beleg dafür zu werten, dass die DSGVO nicht funktioniert und die Ansicht der EU-Datenschützer im Widerspruch zu den USA und der meisten anderen Ländern steht?

[Tim Mackey] Eher umgekehrt. Die DSGVO ist seit 30 Monaten in Kraft. Die Tatsache, dass die EDPB erst jetzt über einen Beschlussvorschlag bezüglich der Praktiken zur Datenhandhabe eines multinationalen Unternehmens entscheiden muss, ist eher ein Beleg dafür, wie gut die DSGVO bisher funktioniert hat. Im Hinblick auf den internationalen Handel bewegt sich die DSGVO naturgemäß in einem schwierigen Umfeld. Oberflächlich betrachtet mag es so aussehen, als stünde sie im Widerspruch zu den Datenschutzgesetzen vieler Handelspartner. In Wirklichkeit hat die DSGVO Erwartungen geweckt, wie ein ordnungsgemäßer Umgang mit Daten und deren Offenlegung funktionieren sollte. Dies ist einer der Gründe, warum die EU-Datenschutzgrundverordnung als Vorlage für weitere Gesetze wie den California Consumer Privacy Act diente.

 

Legt das Statement der irischen Aufsichtsbehörde nahe, dass Big-Tech-Unternehmen in Bezug auf Datenschutz, unlauterer Wettbewerb, unethische Praktiken usw. von einer ganz anderen Aufsichtsbehörde reguliert werden sollten? Während ja jede andere Art von Unternehmen in Bezug auf Datenschutzfragen von nationalen Datenschutzbehörden reguliert wird… Immerhin sind die Budgets einiger EU-Datenschutzbehörden nicht gerade üppig bemessen. Die irische Datenschutzbehörde verfügt beispielsweise lediglich über ein Jahresbudget von 17 Millionen Euro – obwohl sie Unternehmen wie Google regulieren soll.

[Tim Mackey] Auch hier sehe ich einen größeren Zusammenhang. Wichtig ist die Frage, ob Verzögerungen bei der Bearbeitung von anstehenden DSGVO-Beschwerden gegen Big Tech mit der Komplexität des internationalen Rechts und der Datentransferabkommen zusammenhängen. Ein perfektes Beispiel ist der Fall Schrems II, der im Juli den EU-US Privacy Shield außer Kraft gesetzt hat. Angesichts des aktuellen EuGH-Urteils ist es möglich, dass der EDPB das DPC-Urteil gegen Twitter hinsichtlich der Außerkraftsetzung des EU-US Privacy Shields überprüfen wird. Für jedes Unternehmen ist es jetzt wichtig, dass diese Entscheidung eine Risikoüberprüfung aller internationalen Datenübertragungen auslösen sollte, um verbindlich sicherzustellen, dass SCCs und BCRs für Datenübertragungen in die USA ausreichend abdecken.

 

 

Ein weiterer Kommentar zum Thema von Patrick Nohe, Senior Product Marketing Manager bei GlobalSign:

»Für mich ist das Statement der irischen Aufsichtsbehörde ein weiteres Indiz dafür, dass bestimmte Technologieakteure einfach zu groß geworden sind, um sie innerhalb des derzeitigen Rahmens zu regulieren. Die DSGVO-Strafen beginnen bei 10.000.000 € oder 2 % der Bruttoeinnahmen (je nachdem, welcher Betrag höher ist) und können auf 20.000.000 € oder 4 % erhöht werden, wenn die Verstöße schwerwiegend genug sind. Für ein kleines oder sogar mittelständisches Unternehmen können solche Summen zur existenziellen Bedrohung werden. Eine nicht ganz unwichtige Motivation sich an die Vorgaben zu halten. Im Verhältnis dazu interessieren sich Tech-Giganten wie Google und Facebook vergleichsweise wenig für solche Bußgelder. Facebook hat im Jahr 2019 70,7 Milliarden US-Dollar verdient, das entspricht rund 60 Milliarden Euro jährlich. Umgerechnet braucht das Unternehmen weniger als drei Stunden, um 20.000.000 Euro zu verdienen. Google bräuchte etwa anderthalb Stunden. Datenschutzaktivisten wie Max Schrems und die norwegische Verbraucherschutzbehörde haben aufgezeigt wie beide Unternehmen sehr schnell und ohne große Bedenken ihre Websites mit Taktiken aufrüsten, die man als »Dark Pattern » bezeichnet. Sie sollen den Benutzer dazu verleiten, genau die Datenschutzentscheidungen zu treffen, die dem Konzern zugutekommen. Dabei geht es nicht darum, dass jeder Einzelne wirklich eine Wahl trifft. Die norwegische Verbraucheragentur Forbrukertilsynet hat ein 44-seitiges Whitepaper mit dem Titel »Deceived by Design« veröffentlicht. Hier werden über ein Dutzend verschiedene Täuschungstaktiken aufgeführt, die sowohl Google als auch Facebook verwenden, um die Illusion einer Wahlmöglichkeit zu erzeugen. In Wirklichkeit entspricht das Vorgehen der Konzerne eher einem Ultimatum an die Nutzer: »Teilen Sie Ihre Daten oder verzichten Sie auf unsere Dienste«. Es ist nicht überraschend, dass Technologieunternehmen wie diese mit ihren nahezu unbegrenzten juristischen Ressourcen in der Lage sind, für günstige Ergebnisse zu sorgen, die deutlich näher an den 20.000.000 Euro als an den ebenso möglichen 4 % liegen. Und, dass sie dafür einen Gerichtsstand finden und unbestreitbar in der Lage sind, Prozesse mit dem sprichwörtlichen langen Atem zu führen. Das ist genau das, was in den USA passiert. Wenn auch gegenüber einem Flickenteppich aus weitaus weniger strengen Vorschriften.

Twitter allerdings in diese Gruppe der Technikgiganten aufzunehmen, ist vermutlich eine Fehleinschätzung. In dieser Hinsicht ist Twitter wie der weniger bekannte kleine Bruder eines bekannten Schauspielers. Der Name spricht für die Einschätzung, die Zahlen aber dagegen.Twitter verdient etwa 2,5 Milliarden Euro im Jahr. Das ist nicht ganz wenig, aber doch in einer deutlich anderen Liga angesiedelt als die Apples, Microsofts, Googles und Facebooks dieser Welt. Der Witz, dass Twitter eigentlich kein Geld verdient, kursiert seit Jahren, aber er weist auf etwas wichtiges hin. Wenn ein Unternehmen wie Twitter, das nicht annähernd in der Lage ist in der Oberliga von Big Tech zu spieler so effizient durch die Gesetzmäßigkeiten der DSGVO navigieren kann – welche Chance sollte eine Regulierungsbehörde haben, Strafen gegen die wirklich »großen Jungs« durchzusetzen?

Die DSGVO braucht bessere Mechanismen, um ihre Vorgaben auch in den Fällen von Big-Tech-Unternehmen besser und gezielter durchsetzen zu können. Solange Technologiegiganten angesichts der Regulierung nicht genauso ins Schwitzen geraten wie jedes andere davon betroffene Unternehmen auch, solange spielen wir de facto nicht nach denselben Regeln.«

 

331 Artikel zu „DSGVO Cloud Act“

Schatten über der DSGVO: Welche Fragen der CLOUD Act für europäische Unternehmen aufwirft

Nahezu zeitgleich mit der DSGVO ist der US-amerikanische CLOUD Act in Kraft getreten. In der Praxis geraten damit zwei Rechtsauffassungen unvereinbar miteinander in Konflikt. Nicht nur für Cloudanbieter, sondern auch für Unternehmen, die Cloudanwendungen nutzen, könnte dies rechtliche Schwierigkeiten mit sich bringen. Anliegen des »Clarifying Lawful Overseas Use of Data« (CLOUD) Act ist es, die…

CLOUD Act hebelt DSGVO aus

Die europäische Daten­schutz­grundverordnung hat für einigen Aufwand bei den Unternehmen und Organisationen innerhalb Europas gesorgt und sorgt noch immer dafür, denn erst ein Viertel ist mit der vollständigen Umsetzung bisher fertig geworden. Dennoch wird die DSGVO weithin als Errungenschaft in Sachen Schutz der persönlichen Daten angesehen.  Alles in bester Ordnung? Nicht ganz. Denn in den…

US-Cloud Act vs. EU-DSGVO – Steht unser Datenschutz auf dem Spiel?

  Seit dem Inkrafttreten der DSGVO vor knapp vier Wochen könnte man meinen, wir befänden uns datenschutzrechtlich auf der Insel der Glückseligen. Nach jahrelangem Hin und Her hat die Europäische Union klar geregelt, ob, wann und wie personenbezogene Daten künftig erhoben, gespeichert und verarbeitet werden dürfen. Im Tagesgeschäft höchst bürokratisch, aber ein notwendiger Schritt in…

Cloud Security: Mit 7 Schritten sicher in die Wolke

llustration: Absmeier, Die Cloud ist dank ihrer Flexibilität und Kapazität im Vergleich zu herkömmlichen Rechen- und Speichermethoden mittlerweile ein wichtiges Standbein für viele Unternehmen geworden. Doch wie bei herkömmlichen Speicher- und File-Sharing-Methoden entstehen auch durch die Cloud spezifische Datensicherheitsprobleme. Ein pragmatischer, datenzentrierter Ansatz kann den Weg in die Wolke jedoch übersichtlich umsetzbar machen. Im Folgenden…

Security: Public Cloud-Umgebungen voller vernachlässigter Workloads, Authentifizierungsproblemen und »lateral Movement«-Risiken

  Mehr als 80 Prozent der Unternehmen haben mindestens einen vernachlässigten, internetbezogenen Workload, d.h. er läuft auf einem nicht unterstützten Betriebssystem oder ist seit mindestens 180 Tagen ungepatcht. Fast 25 % der Unternehmen verwenden keine Multi-Faktor-Authentifizierung um den Root-Benutzer ihrer Cloud-Accounts, den Super-Administrator, zu schützen. Fast die Hälfte der Organisationen hat Internet-Workloads, die Geheimnisse und…

Was sollte man beim Cloud Computing unbedingt machen – und was besser nicht?

Dos and Don’ts: Was geht und was geht nicht in der Welt der Wolken. Cloud Computing wird seit Jahren genutzt. Sei es in Form von Public oder Private Cloud, als SaaS, IaaS, PaaS oder auch als Kombinationsform wie Hybrid, Virtual Private oder Multi Cloud. Vorteile sehen Unternehmen dabei immer in der Flexibilität von Umfang und…

Mit ganzheitlichen IT-Konzepten Kosten senken – Bei der Softwarebeschaffung neu, gebraucht, hybrid und Cloud denken

Die VENDOSOFT GmbH ist im IT-Umfeld als Reseller gebrauchter Microsoft- und Adobe-Lizenzen bekannt. Spätestens seit das Unternehmen im März 2020 zum Microsoft Gold Partner avancierte macht es mit neuer, zukunftsgerichteter Strategie von sich reden. Diese sieht ganzheitliche Softwarekonzepte vor, die die Vorteile der Cloud mit denen von On-Premises-Lizenzen vereinen.

Hybrid-Cloud – Über den Wolken

Digitalisierung und Cloud werden in einem Atemzug genannt und sind aus dem Alltag nicht wegzudenken. Software-as-a-Service (SaaS) und Pay-per-Use sind etabliert und die Diskussionen rund um die Sorgen und Probleme ebben immer mehr ab. Wie steht es in der Praxis tatsächlich um deren Nutzung und Akzeptanz? Ein Gespräch mit André Vogt, Senior Vice President EIM bei der CENIT AG.

4 Tipps für die Kostenoptimierung von auf Amazon EC2 laufenden Cloud-Lösungen

Durch die starken ökonomischen Verwerfungen im Zuge der Corona-Pandemie steigt der Druck auf die IT-Abteilungen, eine bessere Kosteneffizienz zu erreichen. Diese sogenannte Cost Governance erstreckt sich auch auf Cloud-Lösungen. Doch wie senken Unternehmen die Kosten ihrer Cloud-Lösungen? Der folgende Beitrag gibt einige Tipps dazu am Beispiel von Amazon EC2.   McKinsey empfiehlt Unternehmen in seinen…

ERP und DMS zum Kraftpaket aus der Cloud verbinden

Immer mehr Unternehmen setzen auf die Flexibilität, die ihnen Cloud-basierte Lösungen für Enterprise Resource Planning (ERP) bieten. Nach der Implementierung einer solchen ERP-Lösung stellen sie jedoch häufig fest, dass ihre Unternehmenssoftware zwar »in der Cloud« ist, aber die zu den Geschäftsvorfällen gehörigen Einzeldokumente und Buchungssätze an ganz anderer Stelle liegen. Dies kann dazu führen, dass…

Drei Herausforderungen verschärfen die DSGVO-Problematik

  NTT, ein Technologie-Dienstleister, rät Unternehmen, ihre DSGVO-Konformität angesichts anstehender Novellierungen und der veränderten Arbeitsbedingungen kritisch zu prüfen. Ende Mai 2020 jähret sich das Inkrafttreten der DSGVO zum zweiten Mal. Das Thema ist jedoch weitgehend von der Agenda verdrängt worden und spielt in der öffentlichen Aufmerksamkeit eine geringere Rolle. Nach Auffassung von NTT ist diese…

Mehr behördliche Zusammenarbeit für mehr erwünschte Effekte bei der DSGVO

Seit über zwei Jahren bietet die Datenschutzgrundverordnung einen globalen Rahmen für den Datenschutz. Allerdings wartet die DSGVO mit einigen Herausforderungen auf. Die sind zum einen mit den Erwartungen an die Verordnung verbunden, zum anderen sind sie im Gesetzgebungsprozess selbst verwurzelt. Praktisch mit Inkrafttreten der DSGVO haben wir Inkonsistenzen bei der Anwendung der Richtlinie beobachtet. Obwohl…

5 Best Practices: Cloud-Sicherheit für das Home Office

Der zunehmende Einsatz von Heimarbeit macht kritische Anwendungen in der Public Cloud verwundbar, warnen die Sicherheitsexperten. Die Verlagerung in das Home Office ermöglicht es Unternehmen zwar, weiter zu arbeiten, aber es gibt auch eine Kehrseite: Mitarbeiter sind daheim nicht durch die Sicherheitskontrollen geschützt, die im Unternehmensnetzwerk verfügbar sind. Tatsächlich steigt die Wahrscheinlichkeit des Diebstahls und…

Cloud-native Anwendungssicherheit: Viele sichern die Tür, lassen aber das Fenster offen

Wenn Unternehmen den Lebenszyklus bei der Entwicklung ihrer Anwendungen optimieren und beschleunigen und diese dann in der Cloud bereitstellen möchten, wird die Sicherheit zu einer größeren Herausforderung. Cloud-native Anwendungen sind komplexer und weisen mehr Abhängigkeiten auf, weshalb sie auch schwieriger zu sichern sind. Traditionelle Ansätze drehen sich im Kreis: Es wird lediglich reagiert, um die…

Zwei Jahre DSGVO: Bitkom zieht Bilanz

Berg: »Corona zeigt: Unser bislang gut ausbalanciertes System an Freiheits- und Schutzrechten ist aus den Fugen geraten.« 8 von 10 Unternehmen sehen Datenschutz als größte Hürde für Einsatz neuer Technologien. Seit knapp zwei Jahren gilt die EU-Datenschutz-Grundverordnung. Unternehmen und Organisation haben dadurch u.a. erweiterte Informationspflichten, müssen Verarbeitungsverzeichnisse für Personendaten erstellen sowie Datenschutz schon in Produktionsprozessen…

IT-Sicherheit mit Flexibilität: Cloud-Sicherheit und die Vertrauensfrage

IT-Sicherheit ist ein zentrales Thema in Unternehmen. Nicht zuletzt dank der Kampagnen von IT-Anbietern rund um die Einführung der Europäischen Datenschutzgrundverordnung (EU-DSGVO) sind sich in vielen Fällen nicht nur IT-Verantwortliche, sondern auch das Management im Allgemeinen der Notwendigkeit bewusst, sensible Daten zu schützen. In Zeiten von Cloud Computing heißt das unter anderem, dass eine hohe…

Initiative Cloud Services Made in Germany: Neues Update der Schriftenreihe

Die Initiative Cloud Services Made in Germany gibt die Veröffentlichung der aktuellen Ausgabe ihrer Schriftenreihe – Stand April 2020 – bekannt. Band 1 der Reihe trägt den Titel »Initiative Cloud Services Made in Germany im Gespräch« und enthält eine Sammlung von mittlerweile mehr als einhundert Interviews mit Vertretern der an der Initiative beteiligten Unternehmen zum…

Liefert unsere Schüler nicht dem Cloud Act aus

Von Tobias Gerlinger, CEO bei ownCloud in Nürnberg Der Bund stellt 500 Millionen Euro für den Heimunterricht während der Corona-Krise zur Verfügung. Bedürftige Schüler sollen einen Zuschuss für die Anschaffung von Endgeräten erhalten, zudem ist geplant, die Ausstattung der Schulen zur Erstellung professioneller Online-Lehrangebote zu fördern. Das ist eine äußert erfreuliche Nachricht, denn der Lehrbetrieb…

Datenschutz – Zunehmende DSGVO-Geldbußen rücken »Privacy by Design« ins Interesse

Der Datenschutz hat sich seit der Einführung der Datenschutzgrundverordnung (DSGVO) in der Europäischen Union im Jahr 2018 zu einem der heißesten Themen in den Vorstandsetagen entwickelt. Einige Unternehmen haben dennoch immer noch damit zu kämpfen, die richtigen Strategien zum Schutz der Daten ihrer Kunden zu finden, wie Palo Alto Networks beobachtet.   Die DSGVO gibt…