Schrems II Urteil: Einsatz von Microsoft 365 nicht DSGVO konform!

Verunsicherung nach Kippen des US-Privacy Shield durch den europäischen Gerichtshof

Am 16. Juli 2020 erließ der europäische Gerichtshof das sogenannte Schrems II Urteil und kippte damit das US-Privacy Shield. Dies regelte – als Nachfolgevereinbarung des Safe-Harbor Abkommens – den Schutz personenbezogener Daten, die aus Europa in die USA übertragen wurden.

Seit diesem Urteil herrscht eine weitreichende Unsicherheit in Bezug auf die Nutzung amerikanischer Cloud-Dienste. Klare Vorgaben und Richtlinien suchte man anfangs vergebens. Immer mehr Datenschützer wagen sich jedoch aus der Deckung und stellen klare Forderungen zur DSGVO konformen Nutzung weit verbreiteter Anwendungen wie bspw. Microsoft 365 oder Salesforce.

Interview

Folgen des Schrems II Urteils

Was bedeutet das Schrems II Urteil für Unternehmen in der Praxis?

Erfahren Sie im Netzpalaver-Interview mit unserem CEO Elmar Eperiesi-Beck und Günter Esch, Managing Director bei SEPPmail, wie gesetzeskonformes Arbeiten in der Cloud auch ohne US-Privacy Shield einfach möglich ist.

YouTube

By loading the video, you agree to YouTube's privacy policy.
Erfahren Sie mehr

Load video

Informationen

Datenschützer empfehlen Pseudonymisierung

Eine der Forderungen der Datenschützer ist die Pseudonymisierung personenbezogener Daten. Werden nur unleserliche Daten in der Cloud gespeichert, können unberechtigte Dritte keinen Personenbezug herstellen und somit mit den Daten nichts anfangen.

Bereits heute existieren einfache und pragmatische Lösungen zur Pseudonymisierung und (quasi) Anonymisierung von Daten. Die wichtigen Funktionalitäten der Cloud-Anwendungen werden nicht eingeschränkt, die Performance der Systeme bleibt erhalten. Dies stellt auch der TeleTrust in seiner Handreichung zum Stand der Technik in der IT-Sicherheit fest.

Wichtige Stellungnahmen und Empfehlungen zur Datenübertragung in die USA:

Pseudonymisierung und Anonymisierung sind als zusätzliche Schutzmaßnahmen notwendig (gerade bei Standardvertragsklauseln).

Europe

Anforderungen:

  • Prüfung des Schutzniveaus im Drittland (Einzelfallprüfung)
  • ggfs. zusätzliche Maßnahmen zur Sicherung eines gleichwertigen Schutzniveaus wie in der EU

Handlungsbedarf:

  • Pseudonymisierung
  • Eine auch gegen den Empfänger wirksame Verschlüsselung oder
  • Wahl eines Empfängers, der durch das Recht des Ziellandes vor Zugriffen geschützt ist

Links:

Anforderungen:

  • SCCs (Standardvertragsklauseln) als mögliche Grundlage des Datentransfers
  • Verantwortlichkeit der Datenexporteure und der europäischen Datenschutzbehörden

Handlungsbedarf:

  • Prüfung des Schutzniveaus im Drittland (Einzelfallprüfung)
  • Für zukünftige Datenübermittlungen von EU-Institutionen rät der EDPS stark von Übermittlungen in die USA ab

Links:

Anforderungen:

  • USA: Zusätzliche Schutzmaßnahmen notwendig

Handlungsbedarf:

  • Der Datenexporteur muss zusätzliche Schutzmaßnahmen prüfen

Links:

Anforderungen:

  • Auch das Swiss-U.S. Privacy Shield bietet kein ausreichendes Datenschutzniveau. Ein Datentransfer in die USA kann daher nicht mehr auf dieses gestützt werden
  • Die Risiken müssen unter der DSGVO im Einzelfall abgewägt werden

Handlungsbedarf:

  • Ergänzung der SCCs erwägenswert
  • Zusätzliche Schutzmaßnahmen sind erforderlich, wenn andernfalls das angemessene Datenschutzniveau nicht gewahrt werden könne (z.B. Verschlüsselung)

Links:

Deutschland

Anforderungen:

  • SCCs (Standardvertragsklauseln) als mögliche Grundlage des Datentransfers
  • Ausnahme USA: Zusätzliche Schutzmaßnahmen notwendig

Handlungsbedarf:

  • Prüfung, welche zusätzlichen Schutzmaßnahmen möglich sind

Links:

Anforderungen:

  • SCCs (Standardvertragsklauseln) als mögliche Grundlage des Datentransfers

Handlungsbedarf:

  • Internationaler Datentransfer weiterhin möglich
  • Ausnahme USA: Zusätzliche Schutzmaßnahmen notwendig
  • In Betracht kommen: Pseudonymisierung und Verschlüsselung

Links:

Anforderungen:

  • SCCs (Standardvertragsklauseln) als mögliche Grundlage des Datentransfers
  • Ausnahme USA: Kein US-amerikanisches Unternehmen kann glaubhaft garantieren, dass es vom Zugriff der Geheimdienste verschont bleiben wird

Handlungsbedarf:

  • Datenexporte auf Basis des Privacy Shield sofort einstellen
  • Einführung zusätzlicher Schutzmaßnahmen: Nutzung von Verschlüsselungsmechanismen bei welchen lediglich der Datenexporteur Zugriff auf den Schlüssel hat

Links:

Anforderungen:

  • SCCs sind nicht ausreichend
  • Prüfung des Schutzniveaus im Drittland (Einzelfallprüfung)

Handlungsbedarf:

  • Zusätzliche Schutzmaßnahmen nicht nur für die USA sonder auch für Länder wie China, Russland oder Indien

Links:

Anforderungen:

  • Prüfung des Schutzniveaus im Drittland (Einzelfallprüfung)
  • USA: Zusätzliche Schutzmaßnahmen notwendig

Handlungsbedarf:

  • Datenübermittlungen in die USA, die allein auf das Privacy Shield gestützt werden, müssen sofort eingestellt werden
  • Zusätzliche Schutzmaßnahmen können rechtlicher, technischer oder organisatorischer Art sein

Links:

Anforderungen:

  • SCCs (Standardvertragsklauseln) als mögliche Grundlage des Datentransfers

Handlungsbedarf:

  • Prüfung des Schutzniveaus im Drittland (Einzelfallprüfung)
  • Zusätzliche Schutzmaßnahmen erforderlich

Links:

Presse

IT-Security made in Germany

China als Datenschutzvorreiter: Unglaublich? Unglaublich!

Unsere Privatsphäre liegt uns allen am Herzen, und im Grunde gehen wir davon aus, dass Unternehmen und Behörden unsere sensiblen Daten entsprechend behandeln. Sorgen müssen wir uns ja keine machen, da die DSGVO Unternehmen und Behörden dazu verpflichtet, unsere sensiblen Daten auf beste Art und Weise zu schützen, oder?

Lesen Sie in unserem Presseartikel zu "IT-Security Made in Germany" mehr über das gekippe US-Privacy Shield, den europäischen Umgang mit der DSGVO und was wir in Bezug auf Datenschutz von China lernen können.

Lösungen

Volle Datenkontrolle - klar, mit eperi!

Erfahren Sie mehr

eperi e-Books & Online Seminare

eBook

Global Compliance

e-Book

Was die Vorstandsebene über Compliance-Vorschriften bei der Umstellung auf Cloud-Dienste wissen sollte.

Mehr lesen
eBook

Microsoft Office 365 - Microsoft 365 Security

e-Book

Wie Sie zusätzliche Schutzebenen zur Sicherheit von Microsoft Office 365 hinzufügen können.

Mehr lesen
volle Kontrolle Fernsteuerung

Wie sicher sind meine Daten in der Cloud?

Online Seminar

Cloud Act, Privacy Shield, Schrems II - Welche Auswirkungen haben die aktuellen Entwicklungen auf Cloud-Anwendungen? Erfahren Sie in diesem Online Seminar, was das Schrems II Urteil für die tägliche Arbeit mit CIoud-Anwendungen bedeutet. Anhand beispielhafter Aussagen von Microsoft, erklärt unser Referent Alex Kurz inwieweit Microsoft für die Sicherheit Ihrer Daten garantieren kann und warum die Nutzung amerikanischer Cloud-Anwendungen seit dem Kippen des Privacy Shield nicht mehr DSGVO konform ist.

Mehr lesen
volle Kontrolle Fernsteuerung

Daten gesetzeskonform schützen – in jeder Cloud Anwendung

Online Seminar

Speichern Sie personenbezogene Daten sicher in der Cloud und verwenden Sie Cloud-Anwendungen gesetzeskonform. In diesem Online Seminar zeigt Ihnen eperi, wie Sie die Kontrolle über Ihre Daten behalten, während Sie die eperi Cloud Data Protection-Lösung für jede Cloud-Anwendung und sogar für benutzerdefinierte Workloads verwenden.

Mehr lesen
volle Kontrolle Fernsteuerung

Cloud-Datenschutz für E-Mails, Kalender und Dateien in Microsoft 365

Online Seminar

Stellen Sie sich vor, es gibt eine Lösung, die alle Ihre E-Mails, Dateien, Chats und Kalendereinträge in der Cloud schützt und in die verschiedenen Microsoft 365-Anwendungen wie OneDrive, SharePoint und Outlook / Exchange integriert. Der eperi Cloud Data Protection for Microsoft 365 ist Ihr Weg!
In unserer Online Seminar-Aufzeichnung zeigen wir, wie eperi Ihre Daten in Microsoft 365 schützt.

Mehr lesen
volle Kontrolle Fernsteuerung

DSGVO-konformer Datenschutz in Microsoft Teams - in Echtzeit

Online Seminar

Sichern Sie Ihre Daten und Chats von Microsoft Teams DSGVO-konform mit eperi! Die eperi-Lösung ermöglicht eine transparente Verschlüsselung von Chats, Dateien, Gruppen, E-Mails, Kalendern und Kanälen in Microsoft Teams sowie die sichere Integration in andere Microsoft 365 Anwendungen. Und das in Echtzeit!
Schauen Sie sich unser Online Seminar an und erfahren Sie mehr über eperi Cloud Data Protection for Microsoft Teams.

Mehr lesen