Fragen zum EuGH - Urteil und der Orientierungshilfe des LfDI
Data Privacy von Ioannis Dimas (Kommentare: 0)
Der Hintergrund dieses Blogposts ist erneut die Thematik „EuGH Urteil zum Privacy-Shield“.
Wir hatten am 17. Juli bereits die Hintergründe erläutert.
Am 27. August haben wir auf die Ausführungen des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg verwiesen. Darin wurde auf die Orientierungshilfe: "Was jetzt in Sachen internationaler Datentransfer?" verwiesen.
Seit dem erreichten uns mehrere Zuschriften von besorgten Kunden. Die Frage lautet aber immer ähnlich:
„Wird es bald ein neues Abkommen mit den USA geben, damit wir die Softwareprodukte von Microsoft und Co. weiter einsetzen können?“.
Die Hauptproblematik mit dem Datenaustausch zwischen Europa und den USA ist, dass durch den Patriot Act von 2001, weiterer danach erlassener Gesetze und der Erweiterung der Befugnisse von Strafverfolgungsbehörden, die DS-GVO für US-Amerikanische Unternehmen nicht einhaltbar ist. Die Gesetze und Regelungen stellen sicher, dass es keine Rolle mehr spielt, ob Daten „in der Cloud“ oder in einem bestimmten Datenzentrum gespeichert sind – ob im In- oder Ausland. Die Bestimmung verlangt die Herausgabe von Daten unabhängig davon, ob sie sich in den USA oder anderswo befinden. Firmen wie Microsoft hatten z.B. Ihren Service Office 365 aus Datenschutzgründen in Rechenzentren der T-Systems in Deutschland ausgelagert um selber keinen Zugriff mehr auf die Daten zu haben. Mit dem CLOUD Act und weiterer Regelungen kann auch diese Lösung nicht vor Zugriffen der US Regierung schützen, Microsoft ist verpflichtet auf Anfrage die Daten herauszugeben und darf nicht darüber sprechen.
Aus diesem Grund wurden inzwischen zwei Verträge zwischen der EU und den USA durch das Europäische Gericht gekippt.
Auch ein dritter Versuch, hier eine verbindliche Grundlage für den Datenaustausch mit den USA zu finden, wird über kurz oder lang mit dem gleichen Urteil enden.
Aufgrund der Aussagen des Landesdatenschutzbeauftragten gehen wir davon aus, dass die Aufsichtsbehörde nun verstärkt überprüfen wird, wie und vor allen Dingen wo Unternehmen Ihre Daten verarbeiten.
Es macht aus unserer Sicht spätestens jetzt Sinn, sich über eine IT-Strategie Gedanken zu machen, um die Vorgaben und Pflichten aus der DS-GVO einhalten zu können. Auch sollte die Nutzung von Cloudservices, welche von US-Unternehmen betrieben werden, eingestellt werden. Die Orientierungshilfe des LfDI ist aus unserer Sicht nicht nur als Empfehlung der Aufsichtsbehörden zu betrachten sondern als Aufforderung zum Handeln.
Gerne beraten wir Sie, welche Alternativen es gibt. Darüber hinaus sind wir auch gerne behilflich, sollte die Umsetzung der DS-GVO in Ihrem Unternehmen noch nicht abgeschlossen sein.