EuGH-Urteil gegen Privacy Shield: mehr digitale Souveränität dringend erforderlich

Anzeige

Illustration: Absmeier, Matthew Henry

Die Entscheidung des EuGH, das Privacy Shield genannte Datenschutzabkommen mit den USA zu kippen, setzt die Anwenderunternehmen in Deutschland und Europa erheblich unter Druck. Sie dürfen keine personenbezogenen Daten mehr in die USA übermitteln, wenn die Übermittlung bisher auf Basis des Privacy Shields erfolgte. VOICE empfiehlt Anwendern dringend die Verträge mit Cloud-Providern zu überprüfen und Daten zu verschlüsseln. Von der Bundesregierung fordert VOICE schnelle Abhilfe und vor allem, die digitale Souveränität mit deutlich größerem Nachdruck zu verfolgen.

 

Innerhalb der EU und für Unternehmen, die in der Gemeinschaft Geschäfte machen wollen, ist die General Data Protection Regulation (GDPR) ein scharfes Schwert. Sie schützt die personenbezogenen Daten ihrer Bürger wie kein zweites Datenschutzgesetz der Welt. Unter anderem verbietet es die Übermittlung solcher Daten in Drittländer, deren Datenschutzgesetze kein angemessenes Schutzniveau bieten. Wenn dieses Niveau durch die Gesetze des Drittlandes nicht gegeben ist, kann die EU einen sogenannten Angemessenheitsbeschluss fassen, der feststellt, dass das Schutzniveau ausreichend ist, wenn bestimmte Regeln zusätzlich vereinbart werden. Der 2016 vereinbarte EU-US Privacy Shield stellt eine solche bilaterale Absprache dar. In ihr geben die USA die Zusage, sich an bestimmte Regeln wie Datensparsamkeit zu halten. Wohlgemerkt, die USA sagen die Einhaltung der Regeln zu, aber es handelt sich bei Privacy Shield nicht um einen verbindlichen Vertrag. Die US-Unternehmen, die sich dem Privacy Shield unterwerfen, unterzeichnen eine Selbstverpflichtung, deren Einhaltung vom amerikanischen Handelsministerium stichprobenartig überwacht wird. Zurzeit haben rund 4000 US-Unternehmen die Selbstverpflichtung unterzeichnet. An sie dürfen personenbezogene Daten von EU-Bürgern übermittelt werden.

 

Cloud Act und Patriot Act konterkarieren Privacy Shield teilweise

Obwohl die Zusagen der Amerikaner in Privacy Shield zum Teil vom Cloud Act (2018) und vom Patriot Act (2001) konterkariert werden, dient er als wesentliche Grundlage für die Übermittlung personenbezogener Daten aus der EU in die USA. Vom Privacy Shield betroffen sind im Prinzip fast alle europäischen Unternehmen, die ihre Daten von US-Cloud-Anbietern verarbeiten lassen und zum anderen Unternehmen, die personenbezogene Daten ihrer Kunden zum Beispiel an Mutter- oder Tochterunternehmen weiterleiten oder die aus anderen Gründen personenbezogene Daten in die USA transferieren. Das gilt auch für die großen Social Networks und Suchmaschinenanbieter, die die Daten von EU-Bürgern sammeln und in die USA übermitteln.

 

Datenübermittlung in die USA wird illegal

Am 16. Juli 2020 hat der Europäische Gerichtshof (EuGH) das Privacy-Shield-Abkommen zwischen den USA und der EU für unrechtmäßig erklärt. Alternativen für einen rechtmäßigen Datentransfer in die USA gibt es kaum. Damit wird ein Großteil der Übermittlungen personenbezogener Daten in die USA künftig illegal.

Ähnliches droht den sogenannten Standardvertragsklauseln, die europäische Unternehmen in ihre Verträge mit US-Providern aufnahmen, als 2015 der Vorgänger von Privacy Shield – das Safe-Harbour-Abkommen vom EuGH gekippt worden und Privacy Shield noch nicht in Kraft war. Wenn auch diese schon immer rechtlich umstrittenen Standardvertragsklauseln nicht mehr rechtmäßig sind, fehlt der Übermittlung personenbezogener Daten in die USA auch diese Rechtsgrundlage. Auf deutsch: Jedes Unternehmen, dass personenbezogene Daten in die USA ohne Rechtsgrundlage übermittelt, verstößt gegen geltendes Recht, was empfindliche Strafen nach sich ziehen kann.

 

Unrechtmäßigkeit stellt Anwenderunternehmen vor erhebliche Herausforderungen

Die durch den EuGH festgestellte Unrechtmäßigkeit von Privacy Shield stellt sehr viele Anwenderunternehmen und VOICE-Mitglieder, die in den letzten Jahren erhebliche Summen in die Compliance zur DSGVO/GDPR investiert haben, erneut vor erhebliche Herausforderungen. Wie sollen sie die teilweise existenziell notwendige Übermittlung personenbezogener Daten in die USA gewährleisten, beziehungsweise sich vor einem Abfluss von Daten in die USA schützen?

In Anbetracht der unverlässlich gewordenen Beziehungen zwischen den USA und der EU ist zu befürchten, dass es sehr schwierig wird, eine Nachfolgeregelung zu vereinbaren, die den Regeln der GDPR entspricht.

Deutschen und europäischen Unternehmen, die personenbezogene Daten in die USA übermitteln, empfiehlt VOICE daher:

  • zu überprüfen, ob ihr Datenmanagementsystem in der Lage ist, sämtliche Datenströme im Detail zu monitoren, da sie jederzeit Aussagen dazu treffen können müssen, wo personenbezogene Daten verarbeitet und gespeichert werden.
  • sämtliche Verträge mit US-Cloud-Providern und mit Providern, die ein signifikantes US-Geschäft haben, zu überprüfen. Im Zweifelsfall dürfen dem/den Providern nur verschlüsselte Daten anvertraut werden und die Schlüssel ausschließlich in den Händen Ihres Unternehmens sein.

 

VOICE fordert schnell ein neues Abkommen und mehr digitale Souveränität

Von der Bundesregierung und der EU-Kommission fordert VOICE ein verbindliches Datenschutzabkommen mit den USA zu schließen, das ein ausreichendes Datenschutzniveau garantiert, damit Unternehmen wieder legal personenbezogene Daten in die USA übermitteln können. Ansonsten befürchten wir, dass die wirtschaftlichen Beziehungen zwischen den USA und Europa schweren Schaden nehmen.

Gleichzeitig fordert VOICE die Bundesregierung und die EU auf, den jetzt eingeschlagenen Weg zu größerer digitaler Souveränität mit höherem Nachdruck weiterzuverfolgen Insbesondere wünschen wir uns:

  • den Aufbau einer europäischen Cloud-Infrastruktur, die die Interessen der IT-Anwenderunternehmen berücksichtigt und deren Beteiligte eindeutig auf die Einhaltung der GDPR verpflichtet sind;
  • dass europäische und nationale Behörden und Einrichtungen der öffentlichen Hand in Europa ausschließlich europäische Cloud-Provider nutzen, die die GDPR einhalten
  • die nachhaltige Förderung insbesondere mittelständischer Software- und Servicehäuser sowie App-Anbietern, damit mittelfristig europäische Alternativen zu den amerikanischen Anbietern entstehen.

Patrick Breyer zum Schrems II-Urteil: Massenüberwachung ächten!

 

Der Europaabgeordnete Patrick Breyer von der Piratenpartei begrüßt das heutige Urteil des Europäischen Gerichtshofs gegen die Verschiebung persönlicher Daten in die USA:

 

»Das heutige Urteil ist ein Sieg für den Schutz unserer Privatsphäre und die Vertraulichkeit unserer Kommunikation und Internetnutzung. Die US-Massenüberwachungsprogramme, die Edward Snowden enthüllt hat, sind als unverhältnismäßig weitgehende Eingriffe in unsere Grundrechte verworfen worden, weil betroffene Bürger aus Europa rechtlos gestellt werden. Das bedeutet, dass es ohne unsere Einwilligung keine Weiterleitung unserer Daten in die USA mehr geben darf, auch nicht aufgrund der sogenannten Standardvertragsklauseln, die an der Massenüberwachung nichts ändern. Den Stopp der Datenabflüsse müssen jetzt die Datenschutzbehörden durchsetzen.

Nach dem Ende des untauglichen ‚Privacy Shield‘ darf die EU-Kommission nicht wieder europäische Grundwerte verraten und vor den USA und der Wirtschaftslobby buckeln. Sie ist aufgefordert, endlich ein No-Spy-Abkommen zur Ächtung von Massenüberwachung mit den USA einzufordern und dafür zu sorgen, dass Menschen, die sich nichts zu Schulden kommen lassen haben, auch nicht ohne Anlass permanent protokolliert und beobachtet werden. Denn unter ständiger Überwachung gibt es keine freie Gesellschaft mehr.«

Breyer erinnert daran, wie sensibel die von Facebook und anderen Internetkonzernen täglich gesammelten Persönlichkeitsdaten sind:

»Unsere täglichen Online-Aktivitäten gewähren sehr tiefe Einblicke in unsere Persönlichkeit und ermöglichen es uns zu manipulieren. Ganz unabhängig vom Speicherort muss das im digitalen Überwachungskapitalismus übliche Geschäftsmodell der totalen Nutzerüberwachung gestoppt werden. Das geplante Digitale-Dienste-Gesetz der EU bietet die Chance dazu.«

Hintergrund: Der Europäische Gerichtshof hat am 16. Juli 2020 die Verschiebung persönlicher Daten in die USA auf Grundlage der Datenschutzvereinbarung »Privacy Shield« gestoppt. Das Urteil ist die Folge eines Rechtsstreits des österreichischen Juristen und Datenschutzaktivisten Max Schrems gegen den Mediariesen Facebook. Das Urteil beinhaltet ebenfalls, dass Nutzerdaten von EU-Bürgern nur dann auf Basis sogenannter Standardvertragsklauseln in die USA und andere Staaten übertragen werden können, wenn die Schutzbestimmungen eingehalten werden können. Da Facebook den Zugriff amerikanischer Geheimdienste nicht wirksam verhindern kann, muss die Datenauslieferung in die USA gestoppt werden.

Die Datenschutzbehörden sind verpflichtet, die Wirksamkeit der Vertragsklauseln zu prüfen und ggf. die Datenweitergabe zu unterbinden.

Bereits 2015 hatte das Gericht das Vorgängerabkommen zur Datenübermittlung in die USA – das sogenannte Safe Harbor-Abkommen – für ungültig erklärt.

Dr. Patrick Breyer

Europaabgeordneter der Piratenpartei


1446 Artikel zu „Cloud Act“

Liefert unsere Schüler nicht dem Cloud Act aus

Von Tobias Gerlinger, CEO bei ownCloud in Nürnberg Der Bund stellt 500 Millionen Euro für den Heimunterricht während der Corona-Krise zur Verfügung. Bedürftige Schüler sollen einen Zuschuss für die Anschaffung von Endgeräten erhalten, zudem ist geplant, die Ausstattung der Schulen zur Erstellung professioneller Online-Lehrangebote zu fördern. Das ist eine äußert erfreuliche Nachricht, denn der Lehrbetrieb…

Der Cloud Act ist eine ganz reale Gefahr

US-Anbieter lassen verlauten, der US Cloud Act sei nur eine »hypothetische Möglichkeit«. Wer’s glaubt, wird selig. Ein Kommentar von Christian Schmitz, Chief Strategy & Innovation Officer bei ownCloud in Nürnberg   Der US Cloud Act ist eine immense Bedrohung für unseren gesamteuropäischen Wirtschaftsraum. Auf seiner Grundlage können US-amerikanische Behörden von Cloud-Providern aus den USA die…

Schatten über der DSGVO: Welche Fragen der CLOUD Act für europäische Unternehmen aufwirft

Nahezu zeitgleich mit der DSGVO ist der US-amerikanische CLOUD Act in Kraft getreten. In der Praxis geraten damit zwei Rechtsauffassungen unvereinbar miteinander in Konflikt. Nicht nur für Cloudanbieter, sondern auch für Unternehmen, die Cloudanwendungen nutzen, könnte dies rechtliche Schwierigkeiten mit sich bringen. Anliegen des »Clarifying Lawful Overseas Use of Data« (CLOUD) Act ist es, die…

CLOUD Act hebelt DSGVO aus

Die europäische Daten­schutz­grundverordnung hat für einigen Aufwand bei den Unternehmen und Organisationen innerhalb Europas gesorgt und sorgt noch immer dafür, denn erst ein Viertel ist mit der vollständigen Umsetzung bisher fertig geworden. Dennoch wird die DSGVO weithin als Errungenschaft in Sachen Schutz der persönlichen Daten angesehen.  Alles in bester Ordnung? Nicht ganz. Denn in den…

US-Cloud Act vs. EU-DSGVO – Steht unser Datenschutz auf dem Spiel?

  Seit dem Inkrafttreten der DSGVO vor knapp vier Wochen könnte man meinen, wir befänden uns datenschutzrechtlich auf der Insel der Glückseligen. Nach jahrelangem Hin und Her hat die Europäische Union klar geregelt, ob, wann und wie personenbezogene Daten künftig erhoben, gespeichert und verarbeitet werden dürfen. Im Tagesgeschäft höchst bürokratisch, aber ein notwendiger Schritt in…

29 Artikel zu „Cloud Act Privacy Shield“

Privacy Shield: EuGH-Urteil ein Sieg für den Datenschutz

Spezialisten für Datenschutz begrüßen ausdrücklich die Entscheidung des Europäischen Gerichtshofs in Bezug auf den EU-US Privacy Shield, die den Transfer jedweder persönlicher Daten in amerikanische Public-Cloud-Dienste wie Microsoft OneDrive, Google Drive, Dropbox oder Box.com für unrechtmäßig erklärt. Mit dem Urteil rücken europäische Alternativen wie das Cloud-Projekt Gaia-X und auf Open-Source-basierende Content-Collaboration-, Enterprise-Filesync- und Fileshare-Lösungen wie…

Schatten über der DSGVO: Welche Fragen der CLOUD Act für europäische Unternehmen aufwirft

Nahezu zeitgleich mit der DSGVO ist der US-amerikanische CLOUD Act in Kraft getreten. In der Praxis geraten damit zwei Rechtsauffassungen unvereinbar miteinander in Konflikt. Nicht nur für Cloudanbieter, sondern auch für Unternehmen, die Cloudanwendungen nutzen, könnte dies rechtliche Schwierigkeiten mit sich bringen. Anliegen des »Clarifying Lawful Overseas Use of Data« (CLOUD) Act ist es, die…

Das Ende der Microsoft Cloud Deutschland – ein Abgesang und eine sichere Alternative

In puncto Sicherheit auf einen Public Cloud Provider zu vertrauen, kann problematisch sein. Das wird am Beispiel von Microsoft deutlich. Ab 2019 bietet der Softwaregigant die Microsoft Cloud Deutschland nicht mehr an. Unternehmen, die den Service bereits einsetzen, können ihn zwar auch weiterhin nutzen und erhalten die nötigen Sicherheitsupdates. Es wird künftig jedoch keine neuen…

Wo sich EU- und US-Recht widersprechen – Die Cloud muss Grenzen kennen

Seit Mai 2018 gibt es einen Konflikt zwischen der Europäischen DSGVO und dem US-amerikanischen CLOUD Act. Was hinter der Regelung steckt und wie Mittelständler dem Konflikt aus dem Weg gehen können.   Seit dem Frühjahr befinden sich das US-amerikanische und das europäische Datenschutzrecht auf Kollisionskurs. Viele mittelständische Unternehmen in Deutschland sollten sich der weitreichenden Auswirkungen…

DSGVO erschwert Durchsetzung von Cloud Computing

37 Prozent der deutschen Unternehmen erwägen, ihre Investitionen in Public-Cloud-Services zurückzufahren. Mehr als ein Fünftel der deutschen IT-Entscheider ist nicht sicher, wo die Datenzentren der Service-Provider und ihre Datenbestände liegen. Fast zwei Drittel sehen die Verantwortung für die Datenkonformität bei der Firma, die die Daten produziert.   Ob Infrastructure as a Service (IaaS), Platform as…

US-Cloud Act vs. EU-DSGVO – Steht unser Datenschutz auf dem Spiel?

  Seit dem Inkrafttreten der DSGVO vor knapp vier Wochen könnte man meinen, wir befänden uns datenschutzrechtlich auf der Insel der Glückseligen. Nach jahrelangem Hin und Her hat die Europäische Union klar geregelt, ob, wann und wie personenbezogene Daten künftig erhoben, gespeichert und verarbeitet werden dürfen. Im Tagesgeschäft höchst bürokratisch, aber ein notwendiger Schritt in…

Desktop as a Service – Cloud-Arbeitsplätze mit Zonenmodell absichern

Der virtualisierte Arbeitsplatz aus der Public Cloud lockt Unternehmen mit günstigen Preisen und hoher Flexibilität. Unabdingbare Voraussetzungen für den deutschen Mittelstand: Größtmögliche Sicherheit und konfliktfreier Datenschutz. Grundlegende Maßnahmen bieten angemessenen Schutz, um die Vorteile bedenkenlos zu nutzen.

Cloud-Arbeitsplätze mit Zonenmodell absichern

Der virtualisierte Arbeitsplatz aus der Public Cloud lockt Unternehmen mit günstigen Preisen und hoher Flexibilität. Unabdingbare Voraussetzungen für den deutschen Mittelstand: Größtmögliche Sicherheit und konfliktfreier Datenschutz. Grundlegende Maßnahmen bieten angemessenen Schutz, um die Vorteile bedenkenlos zu nutzen. Produkte wie Amazon WorkSpaces oder Microsoft Azure RemoteApp steigern das Interesse am Desktop as a Service (DaaS) aus…

Digitale Erfindungen schützen: Mit der DIN 77006 Wettbewerbsvorteile ausschöpfen

»Ein Auto sichere ich gegen Diebstahl, indem ich es in die Garage stelle«, so Dr. Christian Stauf, der an der TU Kaiserslautern im Bereich Intellectual Property (IP) Management forscht. »Ein immaterielles Produkt wie eine App oder eine Software kann ich nicht so einfach schützen.« Angesichts der fortschreitenden Digitalisierung ist es aus Sicht des Wirtschaftsingenieurs entscheidend,…

Tipps: IT-Sicherheit im Home Office und beim Homeschooling

Die Corona-Pandemie sorgt dafür, dass viele Arbeitnehmer im Home Office sind und auch zahlreiche Lehrer und Schüler das sogenannte Homeschooling betreiben: Gearbeitet oder gelernt wird am heimischen Rechner. Rasch wurden neue Lösungen für das Arbeiten miteinander gebraucht, die allerdings nicht immer sicher sind. »Überlegungen zur IT-Sicherheit im Home Office oder Homeschooling kamen häufig zu kurz,…

Ransomware: Gestern, heute und morgen

Gezielte Ransomware-Angriffe nehmen weiter zu und sie werden noch schlimmer. Ein einziger Ransomware-Angriff kann ein Unternehmen komplett lahmlegen. Bei Ransomware ist nach wie vor der menschliche Faktor das größte Problem.   Fortinet brachte drei Mitglieder seines FortiGuard Labs-Teams – Derek Manky, Aamir Lakhani und Douglas Santos – zu einem digitalen Interview über Ransomware zusammen. Zu dritt diskutierten…

Cyberresilienz: Ein Synonym für Cybersicherheit?

Angesichts der wachsenden Zahl an Schwachstellen und der zunehmenden Komplexität von Cyberattacken lautet die Frage nicht mehr, ob ein Unternehmen attackiert wird, sondern wann – und ob die angegriffene Organisation in der Lage sein wird, ihre Aktivitäten unbeschadet fortzusetzen. Genau das bezeichnet die Cyberresilienz. Von Stormshield gibt es vier gute Vorsätze zu deren Gewährleistung.  …

10 Tipps für den Check »KI-Support im Kundenservice«

Inwiefern optimiert KI das Kundenerlebnis? Unternehmen, die darüber nachdenken, ihren Kundenservice durch KI zu optimieren, soll bei der Entscheidungsfindung geholfen werden. Mit Antworten auf zehn entscheidende Fragen aus Sicht der KI-Experten gibt parlamind, das Berliner Startup für künstliche Intelligenz im Kundenservice, jetzt KMUs und Konzernen einen kleinen Ratgeber für »KI-Support im Kundenservice« an die Hand.…

Sicherheit (managen) ist keine One-Man-Show

Die Lösung: Ein kooperativer Ansatz, um Sicherheit in Organisationen zu verwirklichen. Vertrauen gehört zu den erfolgskritischsten Faktoren für Organisationen in der heutigen Zeit. Das Vertrauen von Kunden, Mitarbeitern und Partnern will gewonnen und behalten werden. Neben professionellen Services ergibt es sich zumeist aus nicht-eintretenden Sicherheitsvorfällen und einem umfassenden Schutz der Organisations- und Kundeninformationen. Letzterer wird…

84 Prozent halten EU-DSGVO nicht für eine Verbesserung

Verbraucher sorgen sich dennoch um ihre persönlichen Daten. Unternehmen müssen für sichere und datenschutzkonforme Speicherung sorgen. SUSE, Anbieter von Enterprise Open Source-Lösungen, führte im April 2019 eine Google-Umfrage unter 2.000 erwachsenen Bundesbürgern durch, parallel dazu wurden auch Teilnehmer in Frankreich und dem Vereinigten Königreich befragt. Dabei zeigte sich, dass nur 16 Prozent der befragten Deutschen…