EU-US Privacy Shield -Kein Schutzschild für europäische Daten!
In den vergangenen Jahren wurden mehrere Versuche unternommen, eine datenschutzkonforme Regelung zwischen den USA und der Europäischen Union zu erreichen. Jedes mal wurden diese Regelungen vor dem EUGH als unwirksam erklärt. Dadurch sind bis heute Datenübertragungen in die USA mittels Safe Harbour und US Privacy Shield Regelungen nicht datenschutzkonform.
Wie können Daten trotz US Privacy Shield datenschutzkonform gespeichert werden?
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.
Kann man MS Office oder Microsoft 365 nutzen - trotz US Privacy Shield Problem?
Wer eine lokal installierte Version von Microsoft Office nutzt, sollte die Dokumente auf der lokalen Festplatte speichern. Problematisch ist die Ablage der Daten in Microsoft OneDrive. Das gleiche gilt auch für Google Sheets und G-Drive. Sie können natürlich auf OneDrive und G-Drive Dateien ablegen, so lange die darin befindlichen Daten ihre eigenen Daten sind.
Es scheiden sich die Geister beim Thema der Speicherung von Daten Dritter: Wenn Sie Daten von Kunden (Kundenlisten, Betriebsgeheimnisse, Rezepte), Mitarbeitern (Personalakten, Ausweiskopien, Zeugnisse, Lebensläufe) oder Lieferanten (Manuskripte, Ausweiskopien, etc.) in der Cloud dieser US Konzerne (Microsoft, Adobe, Google, …) ablegen, kann unter Umständen ein Datenschutzverstoß vorliegen.
Ist mein amerikanisches CRM System datenschutzkonform?
Bekanntlich speichert man in einem CRM eine Vielzahl an potentiellen Kundendaten. Besonders kritisch wird es, wenn man das Geburtsdatum oder die Wohnanschrift des Ansprechpartners unseres potentiellen Neukunden speichert. Viele CRM System ermöglichen es nicht auszuwählen, wo die Daten lagern. Hat man einen CRM Anbieter, der auch einen Speicherort in der EU bietet, eine bessere Ausgangslage.
Dennoch muss man bedenken, dass frühere Regelungen der EU mit den USA wegen folgendem Aspekt gekippt: In den USA bestehen mehrere Gesetze, die Behörden berechtigen ohne Zustimmung des betroffenen EU-Bürgers und gegen den Willen des US Betreibers einzusehen. Ein Widerspruchsverfahren besteht bisher in keiner DSGVO konformen Form. Fortfolgernd, ist die Nutzung eines CRM Systems mit einem Datenstandort in der EU trotzdem nicht zulässig.
Daher bemüht sich die EU seit Jahren mit der US Regierung eine Grundlage zu schaffen, die beide Regionen zu einem akzeptablen Datenschutzniveau führen soll. Die üblichen Kläger in der EU haben bereits angekündigt auch die kommende neue Regelung vor Gericht (EUGH) zu bekämpfen.
Wie kann ich das Risiko eines nicht erlaubten Datenübermittlung senken?
Die Realität sieht so aus, dass amerikanische Anbieter die Marktführer im Bereich Cloud Storage und Cloud Applikationen sind. Viele europäische Unternehmen unterschiedlicher Größe nutzen Dienste wie AWS, Azure, Google Cloud, um ihre Business Applikationen und Geschäftsprozesse digital zu betreiben. Anbieter wie Deutsche Telekom und OHV sind im Weltvergleich nur kleine Marktteilnehmer. Viele Konzerne nutzen die performanten Systeme von Amazon und Microsoft.
Wenn man dem Grundprinzip des Datenschutz folgt, sollte man sich stets um Datensparsamkeit bemühen. Nicht mehr personenbezogene Daten als notwendig in diesen Plattformen speichern. Im Prinzip ist schon eine IP Adresse oder E-Mail Adresse ein personenbezogener Datensatz.
Ist es möglich datenschutzkonform Daten nach Großbritannien zu übermitteln?
Aufgrund des an die DSGVO angelehnte Version des britischen Datenschutzgesetzgebung ist im Prinzip eine Übermittlung von Daten in das Vereinigte Königreich datenschutzkonform. Daher ist dort das angemessene Datenschutzniveau verfügbar. Zu Beachten gilt aber, wenn in UK Daten auf amerikanischen Systemen gelagert und verarbeitet werden. Dann können Unternehmen in Konflikt mit dem europäischen Datenschutz geraten.
Ist das Trans-Atlantic Data Privacy Framework ein tragfähiges Abkommen?
Das neue Trans-Atlantic Data Privacy Framework (TADPF) soll das neue Datenschutzabkommen mit dem die EU und die US-Regierung eine rechtssichere Grundlage für den Austausch mit den USA etablieren wollen. Über 60% der deutschen Unternehmen übermitteln Daten in Drittstaaten. Dabei erhält die USA 59% dieser Datentransfers. Dabei nutzen Unternehmen gerade Cloud Dienste von Amazon, Google, IBM und Microsoft. Deshalb waren viele Unternehmen durch die Ablehnung des US Privacy Shield enttäuscht.
Da aber 40% der Hyperscale-Rechenzentren weltweit in den USA beheimatet sind, ist unsere Cloud-Infrastruktur extrem von der US Infrastruktur abhängig. So werden auch gerade Tracking Dienste genutzt, die zwangsläufig eine Datenübermittlung in die USA ermöglichen. Auch im Bereich der Cyber Sicherheit sind deutsche und europäische Unternehmen von amerikanischen Dienstleistern abhängig.
Da in USA die nationale Sicherheit meist über allen anderen Interessen liegt, war bisher der Schutz sensibler Daten von Konsumenten und Bürgern an letzter Stelle. Juristisch war es auch EU-Bürgern verwehrt gegen einen Missbrauch ihrer Daten durch Unternehmen oder Behörden in den USA vorzugehen.
Wird die US-Regierung wirklich europäische Daten schützen?
Der US Präsident hat die Zugriffsmöglichkeiten der Sicherheitsbehörden eingeschränkt. Dadurch soll die Auswertung von personenbezogener Daten von EU-Bürgern nur unter bestimmten Bedingungen möglich sein. So müssen US-Geheimdienste nachweisen, das ihre Vorgehensweise verhältnismäßig und notwendig war. Die USA führen auch einen zweistufigen Beschwerdemechanismus ein. Damit sollen EU-Bürger erstmals gegen die Datensammlung wehren können.
Das Gremium „Privacy and Civil Liberties Oversight“ soll die Datennutzung der Geheimdienste kontrollieren. Als Folge dieser Zugeständnisse, hat die EU nun ein Verfahren zur Annahme eines Angemessenheitsbeschlusses eingeleitet. Es sind bereits weitere Verbesserungspotentiale erkannt worden, an denen man nun arbeite.
