:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/21/e3/21e39515f189be19af1e1c124c7af34b/0114233258.jpeg "Wer erkennt den Betrug besser: Mensch oder KI? (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5b/22/5b22bde70a798882fd87b424b08db454/0114239498.jpeg "(Bild: Alexander – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9d/ab/9dab51056cf30c7d100f1bd2daa971f7/0114174544.jpeg "Welche realistische Rolle wird künstliche Intelligenz in der Cybersicherheit übernehmen können und wo liegen aktuell noch die Herausforderungen? (Bild: Shuo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/bd/dc/bddc5a178cdf1e50a1c97407178aacc2/0113981618.jpeg "Eine Lösung für Cloud Security Posture Management (CSPM) der nächsten Generation von Aqua Security soll die Angriffsfläche um 99 Prozent reduzieren und es der IT-Sicherheit ermöglichen, sich in Echtzeit auf die kritischsten Bedrohungen zu konzentrieren. (Bild: ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/04/c904bf7dc0be07350005f7dba734f6ff/0113097994.jpeg "Die kostenlose Open-Source-Lösung Matomo bietet ähnlichen Funktionsumfang wie Google Analytics. (Bild: T.Joos)")
:quality(80)/p7i.vogel.de/wcms/e9/99/e99974b8c8a989906f6ae3a16662902a/0114174522.jpeg "Der neue BSI-Standard 200-4 bietet eine praxisnahe Anleitung, um ein BCMS (Business Continuity Management System) im eigenen Unternehmen aufzubauen und zu etablieren. (Bild: PX Media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
EuGH muss klären: Sind die USA ein Rechtsstaat? Standardvertragsklauseln vor dem Aus - gibt es Alternativen?
Wieder einmal ist der Datentransfer zwischen der EU und dem Rest der Welt, insbesondere den USA, Gegenstand einer gerichtlichen Auseinandersetzung – wie so oft in den vergangenen Jahren. Diesmal liegt es am obersten rechtsprechenden Organ der EU, dem Europäische Gerichtshof (EuGH) mit Sitz in Luxemburg, ob das „Privacy Shield“-Verfahren und die viel genutzten Standardvertragsklauseln weiterhin gültig sind – oder durch ein neues Verfahren ersetzt werden müssen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Das „Privacy Shield“-Verfahren hat 2016 das sogenannte „Safe Harbor“-Abkommen abgelöst und sorgt dafür, dass der Datentransfer zwischen der EU und dem Rest der Welt rechtssicher abgewickelt wird. Genau das bezweifelt aber die irische Datenschutzbehörde, die im aktuellen Fall als Kläger auftritt.
Sie war zuvor vor das irische High Court gezogen, der hatte die Klage im Oktober 2017 an den Europäischen Gerichtshof (EuGH) weiterverwiesen. Die irischen Richter äußerten Zweifel daran, dass das Grundrecht auf gerichtlichen Rechtsschutz für europäische Bürger in den USA gewahrt ist.
Das passierte bislang vor dem EuGH
Nun also liegt das Verfahren beim EuGH. Der österreichische Jurist Max Schrems hatte das Verfahren 2011 als Student ins Rollen gebracht, als er in Irland, dem Rechtssitz von Facebook, gegen den Transfer seiner Nutzerdaten durch Facebook in die USA klagte. Das bezeichnet der EuGH als Fall „Schrems I“. Der Weiterdreh und die aktuelle Frage, ob die USA europäischen Bürgern Rechtsschutz zusichern können, wird vom Gericht als „Schrems II“ tituliert.
Wie die Süddeutsche Zeitung berichtet, argumentiert Schrems Anwalt Eoin McCullough während der aktuellen Verhandlung, dass die US-Behörden den Datenschutz mit den Gesetzen zur nationalen Sicherheit umgehen würden. Wie nicht zuletzt durch den Fall Snowden bekannt sei, zapften die Vereinigten Staaten das Untersee- IP-Kabel an, um staatsgefährdende oder terroristische Aktionen aus den Konversationen herauszufiltern. Insbesondere der Rechtsvertreter der irischen Datenschutzbehörde wertete dies als klaren Beweis dafür, dass es in den USA keinen echten Datenschutz gebe.
Die Anwältin der US-Regierung Eileen Barrington hielt dagegen, dass es sich bei dem – ihrer Worte nach mutmaßlichen – Anzapfen des Unterseekabels um keine "zielgerichtete" Datenerhebung handle, vielmehr werde nach bestimmten Schlüsselbegriffen gefahndet und die Konversation gegebenenfalls näher untersucht. Man erhöhe so nicht nur die Sicherheit der US-Bürger, sondern auch die der Europäer. Auch der Anwalt von Facebook, Paul Gallagher, rechtfertigte das Anzapfen mit dem Schutz der Bevölkerung.
Hebelt dies aber die Rechtssicherheit der EU-Bürger aus? Laut dem Privacy Shield-Abkommen von 2016 wacht ein Ombudsmann über die Einhaltung des Datenschutzes. Dieser ist, soweit kam man vor Gericht überein, unabhängig von den amerikanischen Geheimdiensten, untersteht aber der US-Regierung. Schrems forderte vor dem EuGH daher, "Privacy Shield" für ungültig zu erklären.
Standardvertragsklauseln in Gefahr
Nach Informationen des Centrums für Europäische Politik (cep) appellierten während der vergangenen Tage praktisch alle Beteiligten - als da wären Facebook und Max Schrems, die EU-Kommission, die USA in Form von vier Anwälten sowie die EU-Mitgliedstaaten – an die Richter, die Standardvertragsklauseln weiter bestehen zu lassen.
Diese stellen den Datenschutz sicher – ganz wie ursprünglich auch geplant: „Nach der Richtlinie 95/46/EG müssen die Mitgliedstaaten dafür Sorge tragen, dass die Übermittlung personenbezogener Daten in ein Drittland nur dann erfolgen kann, wenn das betreffende Drittland ein angemessenes Schutzniveau gewährleistet (...)“, heißt es gleich zu Anfang im Beschluss der Kommission vom 5. Februar 2010 zu den Standardvertragsklauseln für die Übermittlung personenbezogener Daten.
Seit vielen Jahren leisten sie gute Dienste, so der Bitkom: „Der internationale Datenaustausch ist essenziell für die Wirtschaft. Wenn Unternehmen personenbezogene Daten außerhalb der EU verarbeiten lassen, greifen die allermeisten auf Standardvertragsklauseln zurück“, berichtete Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung Recht und Sicherheit. Sollten diese Klauseln nicht mehr rechtens sein, stünden viele Unternehmen vor einem Daten-Chaos. „Nicht nur der Zusammenarbeit mit ausländischen Unternehmen drohen massive Einschränkungen. Selbst der Datenaustausch zwischen einer Firmenzentrale innerhalb der EU und dem Tochterunternehmen im Ausland wäre dann in Gefahr, wenn Unternehmen nicht schnell genug auf die binding corporate rules umstellen.“
Alternativen händeringend gesucht
Die binding corporate rules wären also eine Alternative zu den Standardvertragsklauseln? Nicht wirklich. Sie können zwar von Unternehmen selbst formuliert werden, haben allerdings ausschließlich (!) beim konzerninternen Datenaustausch Gültigkeit. Auch müssten sie durch eine federführende sowie zwei weitere europäische Datenschutzbehörden datenschutzrechtlich abgesegnet werden. Das tun sie aber im Falle des Transfers in die USA eher nicht – aus den oben genannten Gründen.
Eine weitere Alternative wäre es, wenn die EU-Kommission neue Standardvertragsklauseln entwickelt. Laut Simone Rosenthal, Anwältin bei Schürmann Rosenthal Dreyer, müssten dann aber alle unter den aktuell gültigen Standardvertragsklauseln abgeschlossenen Verträge für ungültig erklärt werden.
Eine weitere Option wäre die in Artikel 7 der DSGVO formulierte sogenannte Einwilligung der Betroffenen. „Die EU-Datenschutzrichtlinie erlaubt die Übermittlung personenbezogener Daten in die USA, wenn die Betroffenen ausdrücklich und zweifelsfrei in die Übermittlung eingewilligt haben. Dies setzt voraus, dass die Betroffenen zuvor über den Zweck der Übermittlung und Verarbeitung, die Weitergabe an Dritte sowie Bedingungen und Reichweite dieser Weitergabe unterrichtet wurden“, erläutert der gemeinnützige Verein Digitale Gesellschaft e. V.
Blöd nur, dass es amerikanischen Firmen nach US-Recht untersagt ist, ihre Zusammenarbeit mit den Geheimdiensten offenzulegen. Die Anwaltssozietät WPNO https://www.wpno.com/alternativen-zu-safe-harbor/ zweifelt daher sehr daran, dass Einwilligungen einen neuen Weg zur Rechtssicherheit im Datenverkehr ebnen können. Sie sieht das Verfahren als in der Praxis „wenig verbreitet an“ und glaubt nicht, dass sich dies ändern könnte.
Weitere Alternative: In Ausnahmefällen dürfen personenbezogene Daten übermittelt werden, etwa wenn sie für die Buchung eines Hotelzimmers nötig sind. Das ist laut Bundesdatenschutzgesetz aber nur einmalig erlaubt, die Regelung kann auf den ständigen Datenaustausch in und zwischen Unternehmen nicht angewendet werden. Hier eröffnet sich also doch eher keine Alternative zu den Standardvertragsklauseln.
Aber vielleicht findet sich etwas in der DSGVO? Tatsächlich schlägt diese für den Datentransfer Zertifizierungen durch behördennahe Einrichtungen wie die Deutsche Akkreditierungsstelle GmbH (DAkkS) vor. Ein US-amerikanisches Unternehmen als Empfänger von Daten müsste demnach ISO-Normen wie z.B. die ISO/IEC 17065 folgen. Aktuell arbeitet das Forschungsprojekt AUDITOR im Rahmen des Trusted Cloud Datenschutz-Profils für Cloud-Dienste (https://tcdp.de/index.php/tcdp TCDP) an einem Standard für die Datenschutz-Zertifizierung von Cloud-Diensten nach der DSGVO. Er soll im Oktober vorliegen.
Im Dezember wiederum will sich das EuGH abschließend äußern. Bis dahin bleibt es spannend.
Fazit
Holger Dyroff, Geschäftsführer der ownCloud GmbH, bezeichnete das juristische Hick-Hack als „eine schlechte Gerichts-Soap“. Die große Mehrheit aller Unternehmen transferiert aktuell Daten in die USA mit Standardvertragsklauseln als Rechtsgrundlage, 13 Prozent nutzen Privacy Shield, so der Bitkom. Damit sich Anwender nicht ahnungslos in juristische Schlingen verfangen, hat er einen Leitfaden für internationale Datentransfers veröffentlicht.
Alternativen zu den Klauseln sind, wie gesagt, m.E. vorhanden, die Zertifizierung wäre etwa ein möglicher Weg. Dieser ist aber noch nicht ausformuliert, genauso wenig wie eine neue Regelung, die der EuGH anstoßen könnte. Dies alles wird sich erst im Herbst und Winter dieses Jahres klären.
Sicherheit hat viele Facetten, dies gilt auch und insbesondere beim Cloud Computing. Vielen Unternehmen fehlt es an Vertrauen, wenn es darum geht, Daten, Anwendungen und Teile der eigenen IT-Infrastruktur an einen externen Provider auszulagern. Im Special finden Sie nützliche Informationen rund um Rechtssicherheit, Lösungsansätze, Zertifizierungen, Standards und Initiativen. Zum Special „Rechtssicheres Cloud Computing“
(ID:46052650)
:quality(80)/p7i.vogel.de/wcms/23/c4/23c4b282ac9a8c1b7596dcb93030d3b6/0112821610.jpeg "Nur die USA sind mit dem neuen Datenschutzabkommen zufrieden. (Bild: peterschreiber.media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/c8/87c8340a257c77751542cba25517b136/0112752662.jpeg "Die EU-Kommission hat das Data Privacy Framework veröffentlicht - drei Jahre nach dem für ungültig erklärten Privacy Shield. Es gibt Zweifel, dass die neue Rechtsgrundlage jetzt endlich für Sicherheit bei der Übertragung personenbezogener Daten aus der EU in die USA sorgt. (Bild: mixmagic - stock.adobe.com)")