{"id":2453,"date":"2020-12-02T12:06:00","date_gmt":"2020-12-02T11:06:00","guid":{"rendered":"https:\/\/frachtwerk.fw-web.space\/?p=2453"},"modified":"2024-09-10T13:53:53","modified_gmt":"2024-09-10T13:53:53","slug":"was-das-ende-des-privacy-shields-fuer-unternehmen-bedeutet","status":"publish","type":"post","link":"https:\/\/frachtwerk.fw-web.space\/was-das-ende-des-privacy-shields-fuer-unternehmen-bedeutet\/","title":{"rendered":"Was das Ende des Privacy Shields f\u00fcr Unternehmen bedeutet"},"content":{"rendered":"\n
Doch die wirkliche Macht der DSGVO zeigt sich momentan an ganz anderer Stelle: Durch den Datenschutz wird mal wieder deutlich, dass sich das Internet selten an die Grenzen von Staaten und Staatenb\u00fcndnissen halten m\u00f6chte. Und so ist es nicht verwunderlich, dass sich Anwender in Europa an einer Vielzahl sch\u00f6ner, digitaler Dienste aus den USA erfreut. F\u00fcr viele Privatanwender, aber auch f\u00fcr viele Firmen ist eine Welt ohne Google, Microsoft, Apple & Co. gar nicht mehr vorstellbar.<\/p>\n\n\n\n
Aber was bedeutet das f\u00fcr den Datenschutz? Durch die DSGVO wurde in Europa ein einheitlicher, sehr hoher Standard f\u00fcr die Erhebung, Verarbeitung und Weitergabe personenbezogener Daten geschaffen, der auch im Blick hat, diese Daten nicht nur vor einer all zu gro\u00dfen Neugierde gro\u00dfer Konzerne zu sch\u00fctzen, sondern z.B. auch vor Regierungen. Traditionell wird das in den USA z.B. allerdings ganz anders gelebt \u2013 insbesondere, was die Daten von Nicht-US-B\u00fcrgern betrifft. Hier hat die USA beispielsweise mit der NSA den m\u00e4chtigsten Datensammler geschaffen, den diese Welt je gesehen hat.<\/p>\n\n\n\n
Und so war es nicht verwunderlich, dass die Feststellung des EuGH im sogenannten \u201cSchrems-II-Urteil\u201d am 16.07.2020 lauten musste, dass das Schutzniveau f\u00fcr personenbezogene Daten von EU-B\u00fcrgern in den USA nicht ausreicht, um eine \u00dcbertragung auf Basis des sog. \u201cPrivacy Shields\u201d zu erm\u00f6glichen. Doch das hat weitreichende Folgen, die wir im folgenden einmal genauer betrachten m\u00f6chten!<\/p>\n\n\n\n
\nExkurs: Was war noch gleich das Privacy Shield?<\/h3>\n\n\n\n
Der Gesetzgeber schreibt mit der DSGVO vor, dass eine \u00dcbertragung personenbezogener Daten in L\u00e4nderau\u00dferhalb der EU nur erfolgen kann, wenn gew\u00e4hrleistet wird, dass diese dort angemessen gesch\u00fctzt werden. Das kann auf zwei Wege passieren: Entweder, das Land gilt auf Basis eines \u201cAngemessenheitsbeschlusses\u201d durch die Europ\u00e4ische Kommission als sog. \u201csicheres Drittland\u201d oder es wird individuell auf Basis geeigneter Vertr\u00e4ge sichergestellt, dass ein ausreichender Schutz der \u00fcbertragenen Daten erfolgt.<\/p>\n\n\n\n
Im Fall der USA wurde durch das \u201cEU-US Privacy Shield\u201d-Abkommen zwischen EU und USA ein Rahmen geschaffen, der durch eine Reihe von Zusicherungen durch die US-Regierung ein einheitliches Schutzniveau f\u00fcr personenbezogene Daten schaffen sollte, wodurch die USA zum sicheren Drittland wurden. Auf Basis des Privacy Shield war somit eine \u00dcbertragung personenbezogener Daten in die USA zul\u00e4ssig, da die betroffenen Personen davon ausgehen konnte, dass ihre Daten auch in den USA zureichend gesch\u00fctzt werden.<\/p>\n<\/blockquote>\n\n\n\n
Was bleibt nun?<\/h2>\n\n\n\n
Existiert f\u00fcr ein Land, in das personenbezogene Daten \u00fcbertragen werden soll kein Angemessenheitsbeschluss, handelt es sich also nicht um ein sicheres Drittland, bedeutet das nicht unbedingt, dass eine \u00dcbertragung generell unzul\u00e4ssig ist. Es bedeutet aber, dass die f\u00fcr die \u00dcbertragung verantwortliche Stelle nun selbst aktiv werden muss, um die \u00dcbertragung zu legitimieren, indem ein entsprechendes Schutzniveau geschaffen wird. Daf\u00fcr sieht der Gesetzgeber mehrere Werkzeuge vor:<\/p>\n\n\n\n
Standardvertragsklauseln<\/h2>\n\n\n\n
Die EU-Kommission hat durch die sog. \u201cStandardvertragsklauseln f\u00fcr die \u00dcbermittlung personenbezogener Daten in Drittl\u00e4nder\u201d eine Vertragsvorlage geschaffen, die ein Datenexporteur in der EU mit einem Datenimporteur au\u00dferhalb der EU abschlie\u00dfen kann. Hier werden bestimmte Rechte des Exporteurs und Pflichten des Importeurs definiert, um zu garantieren, dass die Daten seitens des Importeurs im Sinne der DSGVO behandelt werden. Die verantwortliche Stelle muss nun ggf. nur noch die betroffenen Personen \u00fcber die Weitergabe bzw. Auftragsverarbeitung informieren.<\/p>\n\n\n\n
Binding Cooperate Rules<\/h2>\n\n\n\n
F\u00fcr den Fall, dass ein Konzern mit Sitz in der EU Daten an eine Niederlassung au\u00dferhalb der EU \u00fcbertragen m\u00f6chte, kann er sich selbst sog. \u201cBinding Cooperate Rules\u201d geben, um innerhalb eine Datenverarbeitung auf Niveau der DSGVO zu gew\u00e4hrleisten. Diese Regeln m\u00fcssen jedoch extern zertifiziert bzw. gepr\u00fcft werden, die Daten d\u00fcrfen den Konzern dann jedoch auch nicht verlassen.<\/p>\n\n\n\n
Pers\u00f6nliche Einwilligung<\/h2>\n\n\n\n
Als letztes Mittel (abgesehen von einigen Ausnahmen des Art. 49 DSGVO und von einem erkennbar notwendigen Datentransfer, z.B. bei der Buchung eines Flugtickets in die USA) bleibt einer verantwortlichen Stelle immer das Mittel einer pers\u00f6nlichen Einwilligung bei der betroffenen Person. <\/p>\n\n\n\n
Das kann je nach Situation komplex sein, da die betroffene Person einwilligunsf\u00e4hig (d.h. min. 16 Jahre alt) sein und diese Einwilligung freiwillig erteilen muss. Zudem muss f\u00fcr die betroffene Person transparent sein, welche Daten an wen und zu welchem Zweck \u00fcbertragen werden.<\/p>\n\n\n\n
Aber war da nicht der US Cloud Act?<\/h2>\n\n\n\n
Als letztes Mittel (abgesehen von einigen Ausnahmen des Art. 49 DSGVO und von einem erkennbar notwendigen Datentransfer, z.B. bei der Buchung eines Flugtickets in die USA) bleibt einer verantwortlichen Stelle immer das Mittel einer pers\u00f6nlichen Einwilligung bei der betroffenen Person. Das kann je nach Situation komplex sein, da die betroffene Person einwilligunsf\u00e4hig (d.h. min. 16 Jahre alt) sein und diese Einwilligung freiwillig erteilen muss. Zudem muss f\u00fcr die betroffene Person transparent sein, welche Daten an wen und zu welchem Zweck \u00fcbertragen werden.<\/p>\n\n\n\n
\nEine \u00dcbertragung personenbezogener Daten in die USA ist durch den US CLOUD Act damit selbst auf Basis von Standardvertragsklauseln oder Cooperate Binding Rules nicht zul\u00e4ssig!<\/p>\n<\/blockquote>\n\n\n\n
Was bedeutet das nun?<\/h2>\n\n\n\n
Diese Rechtslage hat nat\u00fcrlich weitreichende Folgen! Ohne die komplexe pers\u00f6nliche Einwilligung der betroffenen Personen ist es Firmen in der EU damit \u2013 momentan \u2013 nicht mehr m\u00f6glich, Daten an US-Unternehmen zu \u00fcbertragen, selbst wenn diese die Daten innerhalb der EU speichern!<\/p>\n\n\n\n
Unter anderem aus diesem Grund ist die Konferenz der unabh\u00e4ngigen Datenschutzaufsichtsbeh\u00f6rden des Bundes und der L\u00e4nder am 15.07.2020 zum Schluss gekommen, dass der Einsatz von Microsoft Office 365 in Unternehmen aus Sicht des Datenschutzes nicht rechtskonform ist. Die Rechtslage ist dabei nat\u00fcrlich komplex \u2013 sobald ein Konzern mit Hauptsitz in den USA IT-Dienstleistungen erbringt, f\u00e4llt er unter den CLOUD Act und kann somit gar kein ausreichendes Schutzniveau im Sinne der DSGVO leisten! <\/p>\n\n\n\n
Erbringt der Konzern seine Dienstleistung trotzdem auch in der EU, kann er sich somit faktisch aussuchen, ob er lieber gegen geltendes Recht in der EU oder in den USA versto\u00dfen m\u00f6chte. Im Falle von Microsoft hat man sich daf\u00fcr entschieden, Strafzahlungen in der EU in Kauf zu nehmen, falls die USA auf personenbezogene Daten zugreifen! <\/p>\n\n\n\n
In einem Statement dazu hei\u00dft es, dass man \u201cdie Nutzer*innen unserer Kunden finanziell entsch\u00e4digen [wird], wenn wir [Microsoft] ihre Daten aufgrund einer Anfrage einer staatlichen Stelle unter Verletzung der EU-Datenschutz-Grundverordnung (EU-DS-GVO) offenlegen m\u00fcssen\u201d.<\/p>\n\n\n\n
Unserer Einsch\u00e4tzung nach ist Microsoft hier der erste Pr\u00e4zedenzfall \u2013 andere US-Konzerne werden vor den gleichen Herausforderungen stehen. Es bleibt zu hoffen, dass hier ein Umdenken stattfindet, personenbezogene Daten nicht gedankenlos an US-Beh\u00f6rden auszuliefern und dass die EU hier ihrem ersten Schritt treu bleibt und das Schutzniveau der DSGVO aufrecht erh\u00e4lt! Bis dahin lautet unsere Empfehlung, den Einsatz US-amerikanischer Dienste umfangreich zu pr\u00fcfen und Betroffene ausreichend zu informieren.<\/p>\n","protected":false},"excerpt":{"rendered":"
Kaum ein Thema beherrscht die digitale Rechtswelt so sehr, wie die DSGVO. F\u00fcr Endanwender zeigt sich das insbesondere durch eine unendliche Flut an Cookie-Boxen, zumeist mit sch\u00f6nen gro\u00dfen, gr\u00fcnen Buttons, um alle Cookies zu akzeptieren und einen alternativen, verwundenen Pfad durch die Untiefen vieler Tabs, um auch ohne diese Wahl leben zu k\u00f6nnen.<\/p>\n","protected":false},"author":1,"featured_media":4049,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[5],"tags":[],"class_list":["post-2453","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-success-stories"],"acf":[],"yoast_head":"\n
Was das Ende des Privacy Shields f\u00fcr Unternehmen bedeutet - Frachtwerk<\/title>\n\n\n\n\n\n\n\n\n\n\n\n\t\n\t\n\t\n\n\n\n\t\n\t\n\t\n