Anzeige

Privacy-Shield

Der Europäische Gerichtshof hat das Privacy-Shield Abkommen mit den USA in dem sog. Schrems II Urteil für ungültig erklärt. Auch die Anwendung der EU-Standardvertragsklauseln oder von verbindlichen Unternehmensregeln hält das european data protecion board nicht für ausreichend.

Die Aufsichtsbehörden gehen jetzt den nächsten Schritt und erwarten, dass auch Auftragsverarbeitungen durch Tochterfirmen von US-Unternehmen kritisch zu betrachten sind. Unternehmen müssen jetzt handen um Bußgelder zu vermeiden.

Ausgangssituation

Die meisten US-Cloud-Anbieter bieten daher Lösungen an, bei denen eine Verarbeitung aus-schließlich in der EU zugesichert wird. So kann durch Abschluss geeigneter Verträge eine weitere Nutzung der Dienste von Google, Microsoft, Amazon, Salesforce, usw. zumindest formell auf eine rechtlich gültige Basis gestellt werden.

Schrems II – 2. Akt

Nun kann es durchaus vorkommen, dass z.B. im Rahmen von Wartungsarbeiten personen-bezogene Daten von der EU-Niederlassung in die USA übertragen werden. Auch Vertrags- oder Kundendaten könnten mit der US-Mutter ausgetauscht werden. Dazu ist zu befürchten, dass US-Behörden auf Daten zugreifen können, auch wenn diese in der EU gespeichert wer-den.

Die Datenschutzbehörden sind daher, nach eigener Kommunikation mit diesen, der Ansicht, dass verantwortliche Stellen ihre Auftragnehmer zu den Risiken befragen müssen, die sich aus der geschilderten Situation ergeben. Anderenfalls verstoßen sie gegen Ihre Pflichten Auftragnehmer angemessen zu prüfen (Art. 28 Abs. 1 DSGVO).

Sofern Sie Auftragsverarbeiter mit US-Mutterfirmen haben oder wenn die relevante Liste der Unterauftragnehmer solche Firmen enthält, sollten Sie diesen daher folgende Fragen stellen:

  1. Ist es möglich, dass im Rahmen der Beauftragung personenbezogene Daten in Län-der außerhalb der EU übertragen werden, für die keine Angemessenheitsbeschlusses nach Art. 45 DSGVO vorliegt (z.B. USA)?
     
  2. Bestehen für Ihr Unternehmen Zusammenarbeitsverpflichtungen nach US Gesetzen wie Section 702 FISA oder Executive Order 12.333?
     
  3. Falls eine solche Verpflichtung besteht, gab es in der Vergangenheit Anfragen von US Behörden auf Offenlegung personenbezogener Daten von EU Bürgern. Falls ja, wie häufig sind diese in der Vergangenheit erfolgt?
     
  4. Haben Sie Sicherheitsmaßnahmen implementiert, mit deren Risiken für Betroffene re-duziert werden? Dies kann sowohl Maßnahmen beinhalten, die einen unbemerkten Zugriff durch US-Behörden verhindern als auch Maßnahmen, die einen Zugriff gänzlich verhindern, wie z.B. End-to-End-Verschlüsselung oder Maßnahmen, die geeignet sind anderweitig das Risiko für Betroffene zu reduzieren.

Was nun?

Auf Grundlage der Antworten Ihrer Auftragnehmer oder Geschäftspartner müssen Sie dann die Risiken für Betroffene aufgrund des möglichen Zugriffs durch US-Behörden bewerten. Falls Sie die Aufsichtsbehörde fragt, wie und auf welcher Grundlage sie diese Risiken bewertet haben sollten dazu plausible Antworten vorliegen. Spätestens im kommenden Jahr ist zu erwarten, dass die Behörden ausgewählte Unternehmen dazu befragen werden.

www.sued-it.de
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Privacy-Shield
Okt 29, 2020

Schrems II - Das Aus für die Datenübermittlung in die USA?

Der Europäische Gerichtshof das Privacy-Shield Abkommen mit den USA für ungültig erklärt.…
EU US
Sep 02, 2020

EU-US Privacy Shield – was nun?

Bereits im Jahr 2000 hatte sich die Europäische Kommission beraten und entschieden, dass…
DSGVO
Mai 11, 2020

Zwei Jahre EU-DSGVO - eine Zwischenbilanz

Vor zwei Jahren trat die europäische Datenschutzgrundverordnung (EU-DSGVO) in Kraft.…

Weitere Artikel

Clubhouse

Audio-Chat App Clubhouse mit deutlichen Datenschutzmängeln

Der Name klingt so exklusiv wie das Produkt derzeit ist: Als „drop-in audio chat“ ist „Clubhouse“ im App-Store von Apple zu finden. Und nur dort. Es gibt keine Version fürs weitaus mehr verbreitete Betriebssystem Android.
Social Media

Deutsche sehen Messenger- und Social-Media-Apps kritisch

Die neuen Nutzungsbestimmungen von WhatsApp sorgen derzeit für Zündstoff in Bezug auf Datenschutz. Bis Anfang Februar sollten Nutzer den neuen Datenschutzregeln der Facebook-Tochter WhatsApp zustimmen.
VPN

Datenschutz im Unternehmen umsetzen – die wichtigsten Tipps

Spätestens seit Einführung der Datenschutzgrundverordnung (DSGVO) müssen sich Unternehmen beim Datenschutz so richtig ins Zeug legen. Das betrifft zwei Ebenen: Auf der einen Seite müssen sie sicherstellen, dass die Daten ihrer Kunden und Nutzer bestmöglich…

Datenschutzverletzungen 2020: Über 22 Milliarden offengelegte Datensätze

Das Security Response Team (SRT) von Tenable hat Datensicherheitsverletzungen analysiert und für den Zeitraum von Januar bis Oktober 2020 insgesamt 730 öffentlich bekannt gewordene Vorfälle festgestellt.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!