Neues US-EU Privacy Shield Abkommen rückt in weite Ferne
DIE AUSGANGSSITUATION
Bereits seit Jahren erschweren die grundsätzlich unterschiedlichen Datenschutzauffassungen der USA und Europas den internationalen Datentransfer zwischen Unternehmen. Sowohl das Safe Harbor Abkommen als auch das EU-US Privacy Shield wurden durch den Europäischen Gerichtshof für ungültig erklärt. Grund war - vereinfacht ausgedrückt - in beiden Fällen der juristisch mögliche Zugriff auf personenbezogene Daten von Europäern durch US-Behörden. Dies kann nicht in Einklang mit den Vorgaben der DSGVO gebracht werden.
DER AKTUELLE STAND
Nach dem Fall des EU-US Privacy Shields aufgrund des sogenannten Schrems II Urteils herrschte eine weitreichende Unsicherheit in Bezug auf die Nutzung amerikanischer Anwendungen. Diese wurde erst durch die "finalen Empfehlungen zum Transfer personenbezogener Daten nach dem Schrems II Urteil" des Europäischen Datenschutzausschusses (EDSA) aufgelöst. Diese Empfehlung schafft klare und verlässliche Richtlinien, an welchen sich Unternehmen orientieren müssen. Drei zentrale Punkte sind dabei für Unternehmen, die amerikanische Cloud-Anwendungen nutzen, maßgeblich:
- Die Nutzung amerikanischer Cloud-Dienste ohne weitere Maßnahmen ist nicht DSGVO-konform (auch wenn die Server in Europa stehen).
- Standardvertragsklauseln sind nicht mehr ausreichend, um DSGVO-Konformität zu erreichen.
- Die von Cloud-Anbietern angebotenen Sicherheitslösungen (wie bspw. Microsoft E5 Lizenz) sind nicht ausreichend, um DSGVO-Konformität zu erreichen.
DIE HOFFNUNG AUF EINE JURISTISCHE LÖSUNG
Gerade amerikanische Unternehmen mit starkem Europa-Geschäft hoffen seither auf eine juristische Lösung der Thematik. Entsprechend stehen die Verhandlungen über ein neues EU-US Privacy Shield im Fokus der Betrachtungen. Die Frage, die sich jedoch eigentlich stellt, ist, ob es eine juristische Lösung für ein technisches Problem geben kann. Solange Daten physisch bspw. in Cloud-Anwendungen transferiert werden, besteht immer die Möglichkeit, dass unberechtigte Dritte - seien es Behörden oder Kriminelle - Zugriff erlangen. Selbst wenn in Zukunft ein neues Privacy Shield die juristischen Rahmenbedingungen regeln sollte, ist das eigentliche Problem - nämlich das Risiko des Verlusts personenbezogener Daten - nicht gelöst.
NEUE ENTWICKLUNGEN
Ein kürzlich am Supreme Court ergangenes Urteil stellt nun alle Bemühungen auf eine juristische Lösung zwischen Europa und den USA in Frage. So wurde im Fall "FBI vs. Fazaga" der Regierung mehr Spielraum gewährt, um sich in Spionagefällen auf "Staatsgeheimnisse" zu berufen. Dies erschwert es Bürgern erheblich, sich gegen vermeintlich unberechtigte staatliche Überwachung zur Wehr zu setzen. Ganz nebenbei torpediert dieses Urteil die Bemühungen Bidens, das amerikanische Datenschutzniveau als ausreichend für ein neues Privacy Shield Abkommen darzustellen.
Auch die EU-Kommission rechnet nicht mit einer schnellen Einigung auf ein neues Abkommen mit den USA. So lässt sich Margrete Vestager (Kommissions-Vizepräsidentin) wie folgt zitieren: "Wir streben mit hoher Priorität an, eine solche Vereinbarung mit den Amerikanern zu treffen ... doch das ist nicht einfach, um es wirklich untertrieben zu sagen."
DIE LÖSUNG
Die offensichtlichste Lösung aller Datenschutzherausforderungen in Bezug auf amerikanische Unternehmen wäre deren komplette Verbannung aus dem europäischen Markt. Dieses Szenario ist jedoch weder wirtschaftlich sinnvoll noch realistisch. Auch der Einsatz von nativen Sicherheitslösungen der Cloud-Anbieter entfällt als Lösung. Am Beispiel Datenverschlüsselung wird die Herausforderung deutlich: Wer die Verschlüsselung kontrolliert, kontrolliert die Daten. Sobald der Cloud-Anbieter Daten verschlüsselt, muss zwangsläufig Zugriff auf die unverschlüsselten Daten bestehen. Und somit besteht weiterhin die Möglichkeit des Datenzugriffs durch Behörden. Verhindert werden kann dies lediglich durch eine Verschlüsselung, die komplett unter der Kontrolle des Unternehmens erfolgt und dem Cloud-Anbieter zu keinem Zeitpunkt Zugriff auf unverschlüsselte Daten gewährt. Der Cloud-Anbieter kann guten Gewissens dem Herausgabeverlangen der Behörden nachkommen, denn diese erhalten nur verschlüsselte, unlesbare Daten ohne jeglichen Personenbezug. Gleichzeitig hat das Unternehmen die Gewissheit, nicht nur DSGVO-konform zu arbeiten, sondern selbst zu kontrollieren wer Zugriff auf kritische Daten erhält. Somit werden personenbezogene Daten, Geschäftsgeheimnisse und IP gleichermaßen geschützt. Ein Verzicht auf die Nutzung amerikanischer State-of-the-Art Technologie ist nicht notwendig - davon profitieren nicht nur europäische, sondern schlussendlich auch amerikanische Unternehmen.
FAZIT
Eine juristisch undurchsichtige Situation muss im konkreten Fall für Unternehmen nicht zum unüberwindbaren Hindernis werden. Dank der sehr deutlich formulierten Handlungsempfehlungen des EDSA zum Schrems II Urteil ist klar, welche Anforderungen eine Lösung erfüllen muss, um DSGVO-Konformität herzustellen:
- Daten müssen verschlüsselt werden, bevor sie an die Cloud übertragen werden.
- Dem Cloud-Anbieter darf zu keinem Zeitpunkt Zugriff auf Schlüssel und Verschlüsselung gewährt werden.
- Eine geeignete Lösung muss dem Stand der Technik entsprechen.
Der patentierte Multi-Cloud Ansatz des eperi Gateway deckt all diese Punkte ab. Eine geeignete Lösung muss jedoch nicht nur rechtliche Voraussetzungen erfüllen. Die gewohnte Effizienz muss beibehalten und der Arbeitsablauf der Anwender darf nicht unterbrochen werden. Neben DSGVO-Konformität bietet das eperi Gateway:
- Eine für den Anwender transparente Lösung.
- Die Beibehaltung gewohnter und effizienter Arbeitsabläufe.
- Den Erhalt der wichtigen Anwendungsfunktionen.
Zusammengefasst kann festgestellt werden, dass jedes Unternehmen die wirtschaftlichen sowie prozessseitigen Vorteile der Cloud nutzen kann - mit der richtigen Sicherheitslösung im Hintergrund.
Haben Sie weitere Fragen? Wir stehen Ihnen gerne für ein persönliches Gespräch zur Verfügung. Kontaktieren Sie uns jetzt!
Disclaimer:
Soweit dieses Dokument juristische Erläuterungen und Ratgeber enthält, so stellen diese unverbindliche Informationen ohne jede Gewähr für Vollständigkeit und Richtigkeit dar. Es handelt sich insoweit nicht um Rechtsberatung und die Eperi GmbH erhebt auch keinesfalls den Anspruch eine solche darzustellen oder gar zu ersetzen.
Immer einen Schritt voraus mit eperiNews
Verpassen Sie keine wichtigen Updates mehr und sichern Sie sich Ihren Wissensvorsprung. Abonnieren Sie jetzt!