DSGVO – Teil-3: Stopp Privacy Shield Datentransfer in USA: 5000 Firmen betroffen, was beachten

Das Ende der Privacy Shield-Vereinbarung könnte zu einer Katastrophe für Cloud-Anbieter führen

Obwohl die Vereinbarung über den Privatsphären-Schutz gekündigt wurde, wurden Standard-Vertragsklauseln (SLAs) nicht für nichtig erklärt. Cloud-Infrastruktur versucht in jüngster Vergangenheit, Kunden zu halten und zu befriedigen, indem irreführende Aussagen ausgegeben werden, die nur Benutzer verwirren. Die Nichteinhaltung von Überwachungsgesetzen kann für die Schuldigen sehr kostspielig sein. Die Reform der US-Überwachungsgesetze ist zwar optimistisch, aber die einzige plausible Lösung, um die Menschen vor hohen Geldstrafen zu schützen und eine allgemeine Unsicherheit hintanzuhalten.

 

 

DSGVO – Teil 2: Keine Daten mehr in die USA – Der EuGH hat das „Privacy Shield“ für nichtig erklärt

Hier ein Rückblick zum vorherigen Beitrag mit den ersten Informationen zum Thema:

https://datenschutzbeauftragter-dsgvo.com/dsgvo-teil-2-keine-daten-mehr-in-die-usa-der-eugh-hat-das-privacy-shield-fuer-nichtig-erklaert/

 

Womit haben Unternehmen zu rechnen?

Laut der neuen Cloud Adoption vom 16. Juli 2020 von O’Reilly Media hat die Abhängigkeit vom Cloud Computing deutlich zugenommen. Während dies normalerweise eine gute Nachricht für große Cloud-Anbieter wäre, könnte das jüngste Ende der Privacy Shield-Vereinbarung durch den Europäischen Gerichtshof (EuGH) in Brüssel nur ein Spielverderber sein, mit dem niemand gerechnet hat. Datenschützer prognostizieren, dass der Niedergang der Privatsphären-Vereinbarung schwerwiegende Auswirkungen haben kann, was große Cloud-Infrastrukturanbieter wie Amazon Web Services, Microsoft und Google enorm unter Druck setzen kann. Seriösen Schätzungen zufolge, sind derzeit 5000 Unternehmen betroffen. Datenschutzaktivist Max Schrems konnte mit seiner Klage vor dem Europäischen Gerichtshof (EuGH) das transnationale Privacy Shield-Abkommen zwischen der EU und den USA beenden, was als Zeichen für einen verstärkten Schutz der Grundrechte in er EU gilt. Nach einigem Überlegen formulierte Max Schrems 2015 seine Beschwerde und machte darin geltend, dass Facebook Inc. nach amerikanischem Recht verpflichtet ist, die ihr übermittelten personenbezogenen Daten amerikanischer Facebook-Nutzer Behörden wie dem Federal Bureau of Investigation (FBI) zur Verfügung zu stellen.

 

Was kann die Lösung sein?

Das Privacy Shield Framework war ein Abkommen zwischen der EU-Kommission und den USA, das darauf abzielte, „Unternehmen auf beiden Seiten des Atlantiks einen Mechanismus zur Einhaltung der Datenschutzanforderungen zur Unterstützung des transatlantischen Handels“ zur Verfügung zu stellen, wie es in der Erklärung auf der Website des Rahmens heißt. Mit anderen Worten, der Rahmen war ein anerkannter Mechanismus zur Einhaltung der EU-Datenschutzanforderungen, wenn personenbezogene Daten aus dem Europäischen Wirtschaftsraum (ETA) in die Vereinigten Staaten übermittelt werden. Als Ratschlag für Unternehmen kann man nur sagen, dass sie gut daran tun personenbezogene Daten in einer Weise zu verarbeiten oder zu übertragen, die mit dem Datenaustausch-Modell im Einklang steht. Die Parteien sind auch voll rechenschaftspflichtig und verpflichtet, alle erforderlichen Maßnahmen zu ergreifen, um personenbezogene Daten vor unbefugtem Zugriff zu schützen.

 

Hier eine Liste der sechs Prinzipien des Privatsphären Schutzes:

Prinzip 1: Hinweis:

Organisationen müssen Datenschutzhinweise veröffentlichen, die spezifische Informationen über ihre Teilnahme am Privatsphärenschutz enthalten. Dazu gehören Datenschutzpraktiken, die Datennutzung von EU-Ansässigen sowie die Datenerhebung und -weitergabe an Dritte.

Prinzip 2: Auswahl:

Organisationen müssen über einen Mechanismus verfügen, der es Einzelpersonen ermöglicht, die Weitergabe personenbezogener Daten an Dritte oder die Verwendung ihrer Daten für andere als die angegebenen Zwecke zu deaktivieren.

Prinzip 3: Verantwortung für die Weiterleitung:

Wie Tim Wybitul, ein Datenschutzanwalt im Interview ausführte, müssen Organisationen Verträge mit Dritten oder Agenten abschließen, die personenbezogene Daten für und im Namen der Organisation verarbeiten. Sie sollten auch mit den Grundsätzen des Datenschutzschilds im Einklang stehen.

Prinzip 4: Sicherheit:

Organisationen müssen angemessene und angemessene Maßnahmen ergreifen, um personenbezogene Daten vor Verlust, Missbrauch, unbefugtem Zugriff, Offenlegung, Änderung und Zerstörung zu schützen. Da diesbezügliche Gespräche seit Wochen andauern, sind Politik, Wirtschaft und Unternehmen aufgerufen, sich noch etwas zu gedulden.

Prinzip 5: Datenintegrität und Zweckbindung:

Organisationen müssen angemessene Schritte unternehmen, um die ursprünglichen Zwecke für die Datenerhebung und -verarbeitung einzuschränken. Die Kanzlei Latham & Watkins soll diese Entwicklung gewährleisten. Wer ein komplettes Interview zum Nachlesen möchte, kann dies auf der Website von Latham & Watkins problemlos tun.

Prinzip 6: Zugriff:

Organisationen müssen eine Methode bereitstellen, um einen Zugriff auf die gesammelten Daten zu erhalten, den Zugriff zu korrigieren, zu ändern oder zu löschen.

 

Aufzeichnungen, Durchsetzung und Haftung:

Organisationen müssen die Konsequenzen für die Nichteinhaltung tragen. Dieser Grundsatz betrifft auch den Regress für betroffene Personen und die Compliance-Überprüfung. Die Idee hier war, schnellstmöglich eine stärkere Überwachung und Durchsetzung der Strafverfolgungsmaßnahmen durch die US-Regierungsorganisationen zu gewährleisten und in Zusammenarbeit mit den beteiligten Parteien auf eine rechtliche Basis zu stellen, welche keine Beschwerde zulässt. Es war besonders vorteilhaft für die EWR-Bürger, da es ihnen neue Datenschutz- und Sicherheitsschutzmaßnahmen bot, um kritische Datenschutzverletzungen zu verhindern und die Beilegung von Beschwerden zu beschleunigen.

 

Warum wurden Privacy Shields annulliert und was bedeutet dies konkret?

Kürzlich kam der Europäische Gerichtshof zu dem Schluss, dass Privacy Shields versagt habe – es hat es versäumt, die Privatsphäre der Personen zu schützen, deren Daten in die USA übertragen wurden. Die Organisation stellte fest, dass sich die US-Überwachungsprogramme nicht auf das Notwendige beschränkten und dass betroffene Personen im Falle von Beschwerden keinen Rechtsbeistand in den USA hatten. Am Ende hob der Europäische Gerichtshof das Privacy Shield-Abkommen auf, welches Datenübertragungen zwischen der EU und den USA in einem rechtlichen Grauzustand beließ, wodurch für die Zukunft lediglich enge Grenzen zu erwarten sind.

Obwohl die im Kern richtige Entscheidung des Europäischen Gerichtshofes zum EU-Datenschutzschild nach Einschätzung von Stephan Wernicke, Chefjustiziar des Deutschen Industrie- und Handelskammertages DIHK dennoch die von vielen deutschen Unternehmen angeprangerte Rechtsunsicherheit im Datenschutzrecht der Europäischen Union verdeutlicht. Als Europäischer Datenausschuss EDSA hat die Organisation diesbezüglich ebenfalls eine Entscheidungsbefugnis und kann ebenfalls die Behebung von Missständen im Datenschutzrecht veranlassen.

Sie sehen, dass Unternehmen verstärkt Zugang zu personenbezogenen Daten benötigen, um eine bessere Entscheidungsfindung zu ermöglichen, welche letzten Endes das Wachstum und die Entwicklung beschleunigen kann. Dies sollte jedoch nicht auf Kosten des Verlusts der Kontrolle über die Verarbeitung und Übertragung von Daten gehen. Darüber hinaus hat die Komplexität moderner Softwareanwendungen, die sie auf verschiedenen Plattformen und Geräten bereitstellen müssen, Softwaretests zwingend erforderlich gemacht, um zu verhindern, dass nicht autorisierte Behörden Zugang zu personenbezogenen Daten von Unternehmen erhalten. Bis derartige Tests eingeführt werden, stellt die gegenwärtige Situation einen Kompromiss und damit ein Problem für Mittelständler und andere Unternehmen dar.

 

Bedeutung für die Praxis

Wenn man bedenkt, wie fehlerhaft sich die aktuelle Datenschutzlandschaft präsentiert, so ist Datenanonymität immer noch ein ferner Traum – zumindest wenn wir die aktuelle Landschaft berücksichtigen. Dies hat eine immense Bedeutung für die Praxis von Unternehmen mit Privatsphärenschutz.

 

Eine harte Umsetzung für Cloud Infrastrukturanbieter

Unternehmen wie Amazon Web Services, Google und Microsoft waren zunächst froh, dass SCCs nicht annulliert wurden. Aber sie erkannten bald, wie das Privacy Shield-Urteil langfristig weitere negative Folgen für sie haben könnte. Bald gaben alle drei große Erklärungen ab, um den Kunden zu versichern, dass ihre Clouds noch offen waren, wobei Microsoft ihren kommerziellen oder öffentlichen Kunden versicherte, dass sie den Microsoft-Dienst weiterhin nutzen könnten, ohne gegen das europäische Recht zu verstoßen. Einige Befürworter des Datenschutzes haben jedoch schnell darauf hingewiesen, dass nur Unternehmen, die weiterhin SLAs verwenden, weiterhin Zusicherungen über den Datenschutz vor der Überwachung durch Dritte geben können, die sich entweder im Ruhezustand oder auf der Durchreise befinden. Mehrere dieser Aussagen waren somit ziemlich irreführend.

Google beispielsweise ist ein Anbieter elektronischer Kommunikationsdienste, wodurch es in beide Kategorien fällt. Die Plattform kann sehr wohl die größte Suchmaschine sein. Dennoch könnte das zunehmende Bewusstsein für Datensicherheit und Datenschutz Benutzer zwingen, nach anderen zuverlässigen Optionen zu suchen, die den sichereren Online-Austausch privater Informationen gewährleisten. Virtuelle private Netzwerke (VPNs) helfen dabei, indem Sie deine Internetverbindung durch Verschlüsselung sichern und deine Online-Aktivitäten vor Cyberkriminellen sowie Ihrem eigenen Internet Dienstanbieter oder ISP abschirmen. In Bezug auf deine Online-Privatsphäre sind die sichersten VPNs heute transparent über ihre Datenschutzrichtlinien, unternehmen nach genauer Prüfung Schritte, um Lecks zu beheben, und führen keine Protokolle Ihres Browserverlaufs. Eine Gefahr für Mittelständler scheint somit gebannt zu sein.

 

Kenntnis der möglichen Optionen, Daten aus der EU in die USA zu verschieben

Unternehmen, die in der EU tätig sind und Kundendaten in die USA verbringen, müssen drastische Änderungen vornehmen, um den Datenschutz zu gewährleisten. Andernfalls können sie am Ende erhebliche Geldbußen zahlen. Im Folgenden haben wir die fünf verfügbaren Optionen für Unternehmen erörtert, um ununterbrochene Geschäfte zu betreiben, je nach Dem Ausmaß der potenziellen Auswirkungen.

Organisationen, die bis September 2016 eine Selbstzertifizierung durch Privacy Shields beantragen, erhalten eine neunmonatige Nachfrist, um ihre Verträge mit Drittverarbeitern an die neuen Weiterübertragungsanforderungen anzupassen.

Cecilia Bonefeld-Dahl, Generaldirektorin des Industrieverbands Digital Europe mahnte zu Vorsicht und Geduld, was die weitere Entwicklung der Datenschutzschild-Vereinbarungen betrifft.

 

Welche Möglichkeiten bestehen?

  1. Option 1: SLAs definieren

Vereinbarungen, welche die Datenübertragung zwischen Unternehmen oder Unternehmen und Verbrauchern ermöglichen, werden wahrscheinlich eine Ausweichklausel haben – vorausgesetzt, sie sind gut geschrieben. Wenn ja, wird dies automatisch SLAs sanktionieren, um die Datenübertragung im Falle einer zuvor geteilten Nichtigerklärung zu regeln. Grundsätzlich können Unternehmen ihre Verträge überprüfen, um sicherzustellen, dass SLAs vorhanden und aktiviert ist. Ist dies nicht der Fall, können sie die Signatur oder einen Nachtrag unterzeichnen, um SLAs als Teil jeder Kundenvereinbarung zu aktivieren.

 

  1. Option 2: Die Datenübertragung aus der EU in die USA insgesamt stoppen

In Ermangelung von Privacy Shields oder SLAs sollten Unternehmen erwägen, jegliche Übermittlung von Daten aus der EU in die Vereinigten Staaten zu stoppen, wenn sie nicht mit erheblichen Geldbußen rechnen wollen. Unternehmen, welche die Datenübertragung in die USA stoppen können und es schaffen, ausschließlich in der EU tätig zu sein, werden nicht nur Geldbußen vermeiden, sondern sich auch Vertragsüberprüfungen und -Änderungen ersparen. Gleichzeitig kann dies für Unternehmen eine Herausforderung darstellen, insbesondere für diejenigen, die mit EU-Kundendaten auf Unternehmenstools und -dienste zugreifen.

 

  1. Option 3: Öffnen eines legitimen EU-Standorts

Nach wie vor operieren die meisten großen Internet-Verbraucherunternehmen über einen in der EU ansässigen Datenkontrolleur, was ihnen den Vorteil des One-Stop-Shop-Prinzips verschafft. Auf diese Weise können sie das EU-Land auswählen, welches sie in Bezug auf Datenschutzfragen behandeln möchten und die Dienste eines EU-basierten DSB beauftragen sowie über einen Sicherungs-Datenübertragungsmechanismus zu verfügen. Der Haken hier ist, dass dieser Prozess ziemlich teuer ist. Um sich als EU-Verantwortlicher zu qualifizieren, müssen Organisationen ihre Struktur personalisieren, damit das Unternehmen die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmen kann. Mit anderen Worten, die Einstellung eines DSB wird zum Mandat.

 

In der Vergangenheit hat das IIRC, die irische Datenschutzkommission, einige Unternehmen dafür gezüchtigt, dass sie ihre Kontrolleure nicht ausreichend besetzt hatten, was ihnen Probleme bei der Erfüllung der DSGVO Anforderungen bereitete. Die Datenschutzanwälte dieser Unternehmen blieben in der US-Zentrale.

Darüber hinaus erhöht der Standort in der EU auch die Risiken für die Datenschutzgrundverordnung, diese wirksam durchzusetzen.

 

  1. Option 4: Beiläufige Eröffnung einer EU Operation

Die Eröffnung einer EU Operation kann in drei einfachen Schritten erfolgen:
– Vertrag mit einem Unternehmen, das als Controller fungieren kann
– Finden und mieten eines externen Berater, um DSB zu sein
– Unterschreiben von Standardvertragsklauseln

Diese Option hat einen eigenen Anteil an positiven und negativen Komponenten. Der größte Vorteil ist, dass es sicherlich billiger ist. Das Ganze sieht jedoch wie ein Schein aus, da der Controller nicht gerade als Controller fungiert. Diese Person hat kein Mitspracherecht bei der Verwendung personenbezogener Daten durch das Unternehmen.

Der andere Nachteil ist, dass Sie nicht aus dem Schneider sind, wenn es um Bußgelder geht, dank einer Controller-Entschädigung an Ort und Stelle. Wir dürfen nicht vergessen, dass es nicht schwierig sein wird, lukrative Geldbußen gegen Unternehmen durch die Brüsseler Exekutive auszustellen, da der Controller in der EU direkt vor Ort sein wird.

 

  1. Option 5: Datenübermittlung einstellen zwischen den USA und der EU

So skurril es auch klingen mag – es ist tatsächlich eine mögliche Lösung des Problems.