:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c4/46/c446ebd001ec134deacbecbc6c51fe45/0115211957.jpeg "Die Versorgungssicherheit von Haushalten und der Wirtschaft ist ein hohes Gut, welches es zu schützen gilt. Die aktuelle Bedrohungslage durch Cyberangriffe erschwert dieses Vorhaben jedoch. (Bild: OSORIOartist - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/64/0364674fa2ee58d04060445081ce3037/0115211734.jpeg "Mit aktuellen KI-Tools und Sicherheitsplattformen lassen sich shcon heute bis zu 70 Prozent aller Security-Vorfälle automatisiert abwickeln. Bleiben noch 30 Prozent der wirklich schwierigen Fälle, bei denen der Mensch nach wie vor selbst Hand anlegen muss. (Bild: Kaikoro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/24/772400bfb4a54a4d354988011ec4a914/0115198224.jpeg "Der Bericht nach dem Scannen zeigt die Verwundbarkeiten jedes einzelnen Kubernetes-Clusters. (Bild: Aqua Security)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
EU-US-Datentransfers: Nachfolger für Privacy Shield Was leistet das neue Data Privacy Framework?
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Die Europäische Kommission hat entschieden, dass das Datenschutzniveau in den USA als gleichwertig mit dem EU-Datenschutz eingestuft wird. Damit gibt es einen Nachfolger für Privacy Shield als mögliche Rechtsgrundlage für die Übermittlung personenbezogener Daten in die USA, ohne dass zusätzliche Datenschutzvorkehrungen getroffen werden müssen. Die Frage ist nur, wie lange das neue Data Privacy Framework Bestand haben wird.
Die Europäische Kommission hat ihren Angemessenheitsbeschluss für den Datenschutzrahmen EU-USA angenommen. Darin wird festgelegt, dass die Vereinigten Staaten ein angemessenes Schutzniveau – vergleichbar mit dem der Europäischen Union – für personenbezogene Daten gewährleisten, die innerhalb des neuen Rahmens aus der EU an US-Unternehmen übermittelt werden.
„Der neue EU-US-Datenschutzrahmen wird sichere Datenströme für Europäer gewährleisten und Rechtssicherheit für Unternehmen auf beiden Seiten des Atlantiks bringen“, erklärte EU-Kommissionspräsidentin Ursula von der Leyen. „Im Anschluss an die grundsätzliche Vereinbarung, die ich letztes Jahr mit Präsident Biden getroffen habe, haben die USA beispiellose Verpflichtungen zur Schaffung des neuen Rahmens umgesetzt. Heute unternehmen wir einen wichtigen Schritt, um den Bürgern das Vertrauen zu geben, dass ihre Daten sicher sind, um unsere Wirtschaftsbeziehungen zwischen der EU und den USA zu vertiefen und gleichzeitig unsere gemeinsamen Werte zu bekräftigen. Es zeigt, dass wir durch Zusammenarbeit die komplexesten Probleme lösen können.“
Konkret soll das neue Data Privacy Framework neue verbindliche Garantien einführen, um alle vom Europäischen Gerichtshof geäußerten Bedenken auszuräumen, einschließlich der Beschränkung des Zugriffs auf EU-Daten durch US-Geheimdienste auf das Notwendige und Verhältnismäßige und die Einrichtung eines Datenschutzüberprüfungsgerichts (Data Protection Review Court, DPRC).
Die EU-Kommission sieht im neuen Rahmenwerk DPF erhebliche Verbesserungen im Vergleich zu dem unter dem Privacy Shield bestehenden Mechanismus. Wenn das DPRC beispielsweise feststellt, dass Daten unter Verstoß gegen die neuen Garantien erhoben wurden, kann sie die Löschung der Daten anordnen, erklärte die EU-Kommission. Die neuen Schutzmaßnahmen im Bereich des Datenzugriffs der Regierung werden die Verpflichtungen ergänzen, denen sich US-Unternehmen unterwerfen müssen, die Daten aus der EU importieren.
Was jetzt möglich ist
US-Unternehmen können nun dem EU-US-Abkommen DPF beitreten. Damit garantieren sie, eine Reihe detaillierter Datenschutzverpflichtungen einzuhalten, beispielsweise die Anforderung, personenbezogene Daten zu löschen, wenn sie für den Zweck, für den sie erfasst wurden, nicht mehr erforderlich sind, und die Kontinuität des Schutzes sicherzustellen, wenn personenbezogene Daten mit anderen geteilt werden.
Darüber hinaus sieht der neue Rechtsrahmen eine Reihe von Schutzmaßnahmen für den Zugriff auf Daten vor, die im Rahmen des Data Privacy Frameworks von US-amerikanischen Behörden übermittelt werden, insbesondere für Zwecke der Strafverfolgung und der nationalen Sicherheit. Der Zugriff auf Daten ist auf das zum Schutz der nationalen Sicherheit erforderliche und verhältnismäßige Maß beschränkt, betont die EU-Kommission.
Die Wirksamkeit des EU-US-Datenschutzrahmens wird regelmäßigen Überprüfungen unterzogen, die von der Europäischen Kommission zusammen mit Vertretern europäischer Datenschutzbehörden und zuständiger US-Behörden durchgeführt werden. Die erste Überprüfung wird innerhalb eines Jahres nach Inkrafttreten des Angemessenheitsbeschlusses, also in 2024, stattfinden, um zu überprüfen, ob alle relevanten Elemente vollständig im US-Rechtsrahmen umgesetzt wurden und in der Praxis wirksam funktionieren.
Wirtschaftsverbände reagieren erleichtert
„Mit der heutigen Veröffentlichung des Data Privacy Frameworks geht eine dreijährige Hängepartie zu Ende“, kommentierte der neue Bitkom-Präsident Dr. Ralf Wintergerst. „Unternehmen erhalten damit grundsätzlich wieder Rechtssicherheit, wenn sie personenbezogene Daten zwischen der EU und den USA transferieren müssen. Vor allem kleine und mittelständische Unternehmen profitieren davon, dass künftig keine Einzelfallprüfungen mehr notwendig sind. Die mühsamen transatlantischen Verhandlungen haben sich gelohnt und waren auch deshalb erfolgreich, weil die aktuelle US-Regierung mit einer Executive Order im vergangenen Jahr auf die europäischen Bedenken reagiert hat und auf die EU zugegangen ist.“
Digitaleurope-Generaldirektorin Cecilia Bonefeld-Dahl sieht dies ähnlich: „Die heutige Entscheidung ist eine gute Nachricht für die vielen tausend großen und kleinen Unternehmen, die täglich Daten über den Atlantik übertragen. Der Datenfluss ist die Grundlage für die jährlichen Dienstleistungsexporte der EU in die USA in Höhe von 1 Billion Euro. Diese Entscheidung wird den Unternehmen mehr Vertrauen in die Geschäftsabwicklung geben und zum Wachstum unserer Volkswirtschaften beitragen“.
Cecilia Bonefeld-Dahl ergänzte: „Wir sind zuversichtlich, dass sowohl die Europäische Kommission als auch die US-Regierung alles Notwendige getan haben, um sicherzustellen, dass dieses Abkommen allen rechtlichen Prüfungen gerecht wird.“
Das aber wird sich zeigen müssen.
Datenschützer haben bereits Kritik geäußert, Abkommen landet wieder vor Gericht
Im Vorfeld hatten sich bereits die Datenschutzaufsichtsbehörden zu dem neuen Abkommen zu Wort gemeldet. So sagte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Professor Ulrich Kelber: „Wir sehen den Willen, ein angemessenes Schutzniveau für Betroffene, deren personenbezogenen Daten an Unternehmen in die USA übermittelt werden, zu schaffen. Deutliche Fortschritte gibt es insbesondere im Bereich des Government Access für Zwecke der nationalen Sicherheit. Bedenken haben wir, ob die neuen Regelungen in allen Punkten ein Schutzniveau gewährleisten, das den EU-Datenschutzstandards der Sache nach gleichwertig ist.“
Bitkom-Präsident Wintergerst erwartet, dass auch das neue DPF vor Gericht landen wird: „Sicher ist aber auch, dass die nun gefundene Neuregelung erneut von den Gerichten überprüft werden wird. Dort wird sich zeigen, ob der EU-Gesetzgeber mit dem Data Privacy Framework eine rechtlich belastbare Regelung gefunden hat.“
Damit dürfte der Bitkom-Präsident richtig liegen. Noyb, die Non-Profit-Organisation, in der Max Schrems aktiv ist, hat sich bereits zu DPF geäußert: „Der dritte Versuch der Europäischen Kommission, ein stabiles Abkommen zu den Datentransfers zwischen der EU und den USA zu erreichen, wird in wenigen Monaten wieder vor dem Europäischen Gerichtshof (EuGH) landen“.
Das Datenschutzabkommen sei weitgehend eine Kopie des gescheiterten „Privacy Shield“-Abkommens. Anders als von der Europäischen Kommission behauptet, ändere sich am US-Recht wenig, so die Position von noyb.
Wer also gedacht hat, mit dem neuen Angemessenheitsbeschluss DPF wären nun die Übermittlungen personenbezogener Daten in die USA langfristig auf eine neue Rechtsgrundlage gestellt, könnte in nicht zu ferner Zukunft wieder da stehen, wo man nach dem EuGH-Urteil zur Ungültigkeit von Privacy Shield stand. Man sollte also lieber nicht alle anderen möglichen Rechtsgrundlagen und Schutzverfahren für Datentransfers in die USA vergessen und ganz auf DPF setzen.
Wir werden über die weitere Entwicklung berichten.
(ID:49611352)
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/c4/23c4b282ac9a8c1b7596dcb93030d3b6/0112821610.jpeg "Nur die USA sind mit dem neuen Datenschutzabkommen zufrieden. (Bild: peterschreiber.media - stock.adobe.com)")