Ihre Fragen zum EuGH - Urteil und der Orientierungshilfe des LfDI

von (Kommentare: 0)

eugh-urteil-und-konsequenz

Der Hintergrund dieses Blogposts ist erneut die Thematik „EuGH Urteil zum Privacy-Shield“.

Wir hatten am 17. Juli bereits die Hintergründe in diesem Blogpost erläutert.

Am 27. August haben wir in unserem Blogpost auf die Ausführungen des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg verwiesen. Darin wurde auf die Orientierungshilfe: "Was jetzt in Sachen internationaler Datentransfer?" verwiesen. Diese können Sie hier herunterladen.

Seit dem erreichten uns mehrere Zuschriften von besorgten Kunden. Die Frage lautet aber immer ähnlich:

„Wird es bald ein neues Abkommen mit den USA geben, damit wir die Softwareprodukte von Microsoft und Co. weiter einsetzen können?“.

Die Hauptproblematik mit dem Datenaustausch zwischen Europa und den USA ist, dass durch den Patriot Act von 2001, weiterer danach erlassener Gesetze und der Erweiterung der Befugnisse von Strafverfolgungsbehörden, die DS-GVO für US-Amerikanische Unternehmen nicht einhaltbar ist. Die Gesetze und Regelungen stellen sicher, dass es keine Rolle mehr spielt, ob Daten „in der Cloud“ oder in einem bestimmten Datenzentrum gespeichert sind – ob im In- oder Ausland. Die Bestimmung verlangt die Herausgabe von Daten unabhängig davon, ob sie sich in den USA oder anderswo befinden. Firmen wie Microsoft hatten z.B. Ihren Service Office 365 aus Datenschutzgründen in Rechenzentren der T-Systems in Deutschland ausgelagert um selber keinen Zugriff mehr auf die Daten zu haben. Mit dem CLOUD Act und weiterer Regelungen kann auch diese Lösung nicht vor Zugriffen der US Regierung schützen, Microsoft ist verpflichtet auf Anfrage die Daten herauszugeben und darf nicht darüber sprechen.

Aus diesem Grund wurden inzwischen zwei Verträge zwischen der EU und den USA durch das Europäische Gericht gekippt.

Auch ein dritter Versuch, hier eine verbindliche Grundlage für den Datenaustausch mit den USA zu finden, wird über kurz oder lang mit dem gleichen Urteil enden.

Aufgrund der Aussagen des Landesdatenschutzbeauftragten gehen wir davon aus, dass die Aufsichtsbehörde nun verstärkt überprüfen wird, wie und vor allen Dingen wo Unternehmen Ihre Daten verarbeiten. Ein Hinweis auf die möglichen Strafen gemäß DS-GVO können hier nachgelesen werden.

Es macht aus unserer Sicht spätestens jetzt Sinn, sich über eine IT-Strategie Gedanken zu machen, um die Vorgaben und Pflichten aus der DS-GVO einhalten zu können. Auch sollte die Nutzung von Cloudservices, welche von US-Unternehmen betrieben werden, eingestellt werden. Die Orientierungshilfe des LfDI ist aus unserer Sicht nicht nur als Empfehlung der Aufsichtsbehörden zu betrachten sondern als Aufforderung zum Handeln.

Gerne beraten wir Sie, welche Alternativen es gibt. Darüber hinaus sind wir auch gerne behilflich, sollte die Umsetzung der DS-GVO in Ihrem Unternehmen noch nicht abgeschlossen sein.

eteslogo4
Autoren
Markus Espenhain

Unser Geschäfts­führer und Gründer ist für die Strategie und den Kontakt zu Kunden & Partnern verantwortlich. Im Blog stellt er Ihnen neue Partnerschaften und Unternehmens-News vor.

markus.espenhain
Ioannis Dimas

Datenschutz und Informationssicherheit sind seine Herzensangelegenheit. Er berät Unternehmen zu diesen Themen und kann viel dazu berichten.

ioannis.dimas
Marco Welter

 

marco_welter