EU-US Privacy Shield – was nun?



  • Das Safe Harbor-Abkommen zwischen den USA und Europa sollte der große Wurf in Sachen Datenschutz werden, bis der EuGH das Abkommen 2015 für ungültig erklärte. Das danach ersonnene EU-US-Privacy-Shield hielt dann nur noch fünf Jahre durch, bevor auch dieses – wieder durch Klagendes Datenschutzaktivisten Max Schrems vor dem EuGH – für ungültig erklärt wurde. Jetzt frag sich viele Unternehmen, wie es jetzt weiter gehen soll.

    Klicken sie hier um den Artikel zu lesen



  • @admin Das Thema dürfte sich noch verschärfen, wenn China et al ähnliche Regeln wie die USA "offizialisiert". Es bedeute schlussendlich lokale Datenhaltung (D.h. US Daten in USA, chinesische Daten in China, europäsiche Daten in Europa, ..... ), was bei den US Cloud-Provider angesichts Cloud Act nicht wirklich hilft oder konsequente Verschlüsselung mit lokaler Kontrolle der Schlüssel. Das bräuchte verschlüsselnde, nicht cloud-gestützte CASB Lösungen. Von den Providern nicht gerne gesehen, weil sie die verschlüsselten Daten nicht mehr "lesen" können. Aber nur so, kann ein Unternehmen den Schutz nachweisen und nachhaltig Ruhe in diese Situation bringen. Ist zudem auch ein guter zusätzlicher Schutz gegen Cyber-Crime.



  • Soweit ich die Schrems II Entscheidung verstehe, bin ich gezwungen, vor Abschluss von SCCs zu prüfen, ob der Vertragspartner die vertraglichen Zusagen überhaupt einhalten kann. Im Lichte der US-Gesetze werde ich diese Frage regelmäßig verneinen müssen, weil sich der Vertragspartner kaum gegen geltendes US Recht stellen will. Abgesehen davon würde er rechtlich Unmögliches versprechen, was meinem Verständnis nach den Vertrag überhaupt mit Nichtigkeit bedrohen würde (sodass auch bei zusätzlichen Garantien, wie zB Schad- und Klagloshaltungserklärung eine Durchsetzbarkeit höchst fraglich ist).

    Insgesamt betrachte ich die Nummer allerdings als zu groß, als dass es hier keine politische Einigung geben würde, wobei ein Entgegenkommen der Trump-Administration nicht zu erwarten ist.



  • Es wird insgesamt spannend werden zu sehen, wie die bei Cloud-Anbietern verarbeitete Daten gesichert werden können. Die angesprochenen CASB-Lösungen helfen m. E. nur bei reinen Storage-Lösungen (reine Datenhaltung), jedoch nicht bei (komplexen) serviceorientierten Ansätzen, bei denen Aufgaben und Funktionen durch andere Systeme in der Cloud stattfinden sollen.

    Auch sind SCC nicht die Lösung, da durch Unternehmen zu prüfen ist, ob es dem Vertragspartner im Drittland überhaupt möglich ist, die Daten gem. der DSGVO zu schützen. Eine rechtliche Prüfung bezogen auf die USA müsste grundsätzlich immer dazu führen, dass der Vertragspartner den Schutz der Daten z. B. auf Grund des CLOUD-Acts, eben nicht gewährleisten kann. Ein Abschluss eines SCC rein formal wird nicht reichen und damit stünde man wieder vor demselben Dilemma.

    Auch die BCR helfen nicht weiter, wenn es um Dienstleistungen Dritter geht. Die BCR sind hauptsächlich dafür gedacht, den innerbetrieblichen Datenaustausch zu erleichtern, nicht jedoch zwischen rechtlich vollkommen unterschiedlichen Unternehmen.

    Es bleibt spannend...



  • Bleibt denn nicht noch die Möglichkeit nach Art.49 DS-GVO:

    (1) Falls weder ein Angemessenheitsbeschluss nach Artikel 45 Absatz 3 vorliegt noch geeignete Garantien nach Artikel 46, einschließlich verbindlicher interner Datenschutzvorschriften, bestehen, ist eine Übermittlung oder eine Reihe von Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation nur unter einer der folgenden Bedingungen zulässig:
    a) die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde,
    usw.


Log in to reply