Anzeige

Privacy-Shield

Der Europäische Gerichtshof hat das Privacy-Shield Abkommen mit den USA in dem sog. Schrems II Urteil für ungültig erklärt. Auch die Anwendung der EU-Standardvertragsklauseln oder von verbindlichen Unternehmensregeln hält das european data protecion board nicht für ausreichend.

Die Aufsichtsbehörden gehen jetzt den nächsten Schritt und erwarten, dass auch Auftragsverarbeitungen durch Tochterfirmen von US-Unternehmen kritisch zu betrachten sind. Unternehmen müssen jetzt handen um Bußgelder zu vermeiden.

Ausgangssituation

Die meisten US-Cloud-Anbieter bieten daher Lösungen an, bei denen eine Verarbeitung aus-schließlich in der EU zugesichert wird. So kann durch Abschluss geeigneter Verträge eine weitere Nutzung der Dienste von Google, Microsoft, Amazon, Salesforce, usw. zumindest formell auf eine rechtlich gültige Basis gestellt werden.

Schrems II – 2. Akt

Nun kann es durchaus vorkommen, dass z.B. im Rahmen von Wartungsarbeiten personen-bezogene Daten von der EU-Niederlassung in die USA übertragen werden. Auch Vertrags- oder Kundendaten könnten mit der US-Mutter ausgetauscht werden. Dazu ist zu befürchten, dass US-Behörden auf Daten zugreifen können, auch wenn diese in der EU gespeichert wer-den.

Die Datenschutzbehörden sind daher, nach eigener Kommunikation mit diesen, der Ansicht, dass verantwortliche Stellen ihre Auftragnehmer zu den Risiken befragen müssen, die sich aus der geschilderten Situation ergeben. Anderenfalls verstoßen sie gegen Ihre Pflichten Auftragnehmer angemessen zu prüfen (Art. 28 Abs. 1 DSGVO).

Sofern Sie Auftragsverarbeiter mit US-Mutterfirmen haben oder wenn die relevante Liste der Unterauftragnehmer solche Firmen enthält, sollten Sie diesen daher folgende Fragen stellen:

  1. Ist es möglich, dass im Rahmen der Beauftragung personenbezogene Daten in Län-der außerhalb der EU übertragen werden, für die keine Angemessenheitsbeschlusses nach Art. 45 DSGVO vorliegt (z.B. USA)?
     
  2. Bestehen für Ihr Unternehmen Zusammenarbeitsverpflichtungen nach US Gesetzen wie Section 702 FISA oder Executive Order 12.333?
     
  3. Falls eine solche Verpflichtung besteht, gab es in der Vergangenheit Anfragen von US Behörden auf Offenlegung personenbezogener Daten von EU Bürgern. Falls ja, wie häufig sind diese in der Vergangenheit erfolgt?
     
  4. Haben Sie Sicherheitsmaßnahmen implementiert, mit deren Risiken für Betroffene re-duziert werden? Dies kann sowohl Maßnahmen beinhalten, die einen unbemerkten Zugriff durch US-Behörden verhindern als auch Maßnahmen, die einen Zugriff gänzlich verhindern, wie z.B. End-to-End-Verschlüsselung oder Maßnahmen, die geeignet sind anderweitig das Risiko für Betroffene zu reduzieren.

Was nun?

Auf Grundlage der Antworten Ihrer Auftragnehmer oder Geschäftspartner müssen Sie dann die Risiken für Betroffene aufgrund des möglichen Zugriffs durch US-Behörden bewerten. Falls Sie die Aufsichtsbehörde fragt, wie und auf welcher Grundlage sie diese Risiken bewertet haben sollten dazu plausible Antworten vorliegen. Spätestens im kommenden Jahr ist zu erwarten, dass die Behörden ausgewählte Unternehmen dazu befragen werden.

www.sued-it.de
 


Artikel zu diesem Thema

Privacy-Shield
Okt 29, 2020

Schrems II - Das Aus für die Datenübermittlung in die USA?

Der Europäische Gerichtshof das Privacy-Shield Abkommen mit den USA für ungültig erklärt.…
EU US
Sep 02, 2020

EU-US Privacy Shield – was nun?

Bereits im Jahr 2000 hatte sich die Europäische Kommission beraten und entschieden, dass…
DSGVO
Mai 11, 2020

Zwei Jahre EU-DSGVO - eine Zwischenbilanz

Vor zwei Jahren trat die europäische Datenschutzgrundverordnung (EU-DSGVO) in Kraft.…

Weitere Artikel

Cloud Computing

Eine Frage der Prioritäten: Datenschutz in Cloud-Umgebungen

In Folge der Pandemiebestimmungen scheint sich der Homeoffice-Betrieb zu einer festen organisatorischen Säule in Unternehmen zu etablieren.
Datensicherheit

Immer mehr Meetings: Deshalb ist Datensicherheit wichtig

Zoom, Teams, Skype und Co. – Videokonferenzen sind spätestens seit 2020 integraler Bestandteil des Berufsalltags geworden. Doch bereits vor Ausbruch der Pandemie waren virtuelle Meetings beliebt.
EMail

BIMI-Standard: Entrust kündigt Verfügbarkeit von Verified Mark-Zertifikaten an

Entrust, Anbieter im Bereich vertrauenswürdige Identitäten, Zahlungen und Datenschutz, gibt die allgemeine Verfügbarkeit seiner Verified Mark Zertifikate (VMCs) zur Unterstützung des „Brand Indicators for Message Identification (BIMI)“-Standards für starke…

Privacy by Design einmal ganz konkret

Die DSGVO schreibt Privacy by Design für die Software-Entwicklung vor. Sie ist jedoch bei der Konkretisierung dessen, was Privacy by Design denn nun genau bedeutet, sehr vage.
Datenschutz

Ein Jahr Ende des Privacy Shields – Wie geht es jetzt weiter?

Ein Jahr ist es her, dass der Europäische Gerichtshof den sogenannten EU-US-Privacy Shield (auch EU-US-Datenschutzschild) für ungültig erklärte. Die Absprache war 2016 ausgehandelt worden und diente als Grundlage für den kommerziellen Datenaustausch…
Microsoft Office

Microsoft Office datenschutzkonform nutzen

Es ist kein Geheimnis: Bei der Nutzung von Microsoft Office werden die Daten in der Cloud gespeichert. Das ist wegen US Cloud Act und Schrems-II-Urteil datenschutzrechtlich problematisch. ownCloud erläutert, wie es eingesetzt werden kann, ohne gegen…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.