DSGVO

Die patentierte Technologie des Gateways ermöglicht es auch, pseudonymisierte Daten außerhalb der Grenzen der Datenresidenz zu verarbeiten, ohne gegen die Gesetze der Datenresidenz zu verstoßen. Das eperi® Gateway: Your solution for compliant data management 

Am 16. Juli 2020 veröffentlichte der Europäische Gerichtshof (EuGH) seine Entscheidung in der bahnbrechenden Rechtssache C-311/18, die als Schrems II-Urteil bekannt wurde. Mit diesem Urteil wurde das EU-US Privacy Shield, das bis dahin den Datentransfer zwischen Europa und den USA regelte, außer Kraft gesetzt.

Die Rechtsunsicherheit nach dem Schrems II Urteil hat weitreichende Folgen für den weltweiten Datentransfer. Leitlinien und Unterstützung bei der Umsetzung der neuen Regelungen wird zunächst vergeblich gesucht. Doch immer mehr Datenschützer machen auf den Mangel an Richtlinien aufmerksam und stellen klare Forderungen für eine DSGVO-konforme Nutzung weit verbreiteter Anwendungen wie Microsoft 365.

Folgen des Schrems II Urteils

Um zu verstehen, welche Auswirkungen Schrems II auf den Datentransfer außerhalb der EU hat, ist es notwendig, einen Blick auf die Gründe für dieses Urteil zu werfen. Der Europäische Gerichtshof hat entschieden, dass das Schutzniveau für personenbezogene Daten in den USA nicht dem europäischen Schutzniveau gemäß der Datenschutz Grundverordnung entspricht. Somit gelten die USA als unsicheres Drittland im Sinne der DSGVO. Die Übermittlung personenbezogener Daten von EU-Bürgern ohne angemessene Maßnahmen zum Datenschutz kann zu einer Aussetzung oder einem Verbot der Datenübermittlung durch die Aufsichtsbehörden sowie zu hohen Bußgeldern für den Datenexporteur führen.

Nutzung von US Cloud-Anwendungen  

Vorkehrungen, die zur Speicherung und Verarbeitung personenbezogener Daten in einer Cloud-Umgebung getroffen werden, müssen ein angemessenes Schutzniveau bieten. Ohne angemessene technische und organisatorische Maßnahmen (TOMS) wird diese Anforderung nicht gewährleistet.

Native Lösungen von Cloud-Anbietern 

Datenexporteure sind nach Schrems II verstärkt verpflichtet, die Sicherheitslösungen ihres Cloud-Anbieters im Hinblick auf sensible Daten zu prüfen. Standardvertragsklauseln sind nicht mehr ausreichend, um die Einhaltung der DSGVO zu gewährleisten.

Internationaler Datentransfer 

Der DSGVO-konforme Umgang mit Daten erfordert eine Überarbeitung aller Datenverwaltungs- und Speicherrichtlinien. Der Schwerpunkt liegt auf dem Transfer personenbezogener Daten, nicht nur auf ihrer Speicherung. Es muss sichergestellt werden, dass US-Administratoren bei einem Zugriff sensible Daten nur verschlüsselt sehen können.

EU-Tochtergesellschaften

Unternehmen, die im Rahmen ihrer Tätigkeit mit ihren US-Hauptfirmensitz personenbezogene Daten verarbeiten, sind an Anweisungen und Auflagen aus den USA gebunden. Daher kann unbefugter Zugriff auf diese sensiblen Daten nicht verhindert werden.

Interview 

Was bedeutet das Schrems II Urteil für Unternehmen in der Praxis?

Erfahren Sie im Netzpalaver-Interview mit unserem CEO Elmar Eperiesi-Beck und Günter Esch, Managing Director bei SEPPmail, wie gesetzeskonformes Arbeiten in der Cloud auch ohne US-Privacy Shield möglich ist.

YouTube

By loading the video, you agree to YouTube's privacy policy.
Mehr erfahren

Load video

Empfehlungen und Leitlinien

Empfehlungen für Maßnahmen und Leitfäden gegen Geldbußen des Europäischen Datenschutzausschusses 

Mit seinen finalen Handlungsempfehlungen im Juni 2021 hat der EDPB klare und verlässliche Richtlinien der DSGVO für Unternehmen geschaffen. Mit dem einheitlichen Bußgeldkatalog für Verstöße gegen die DSGVO gibt es seit Mai 2022 eine europaweit verbindliche Regelung für Bußgelder. Für die Einhaltung dieser Richtlinien sind die Datenschutzbehörden des Bundes und der Länder zuständig. Die Landesdatenschutzbehörden haben die Aufgabe, Verwarnungen, Sanktionen und Bußgelder auszusprechen sowie datenschutzrechtlich unzulässige Handlungen zu untersagen.

Bei Verstößen gegen die Datenschutzvorschriften drohen schwere Strafen. Die Datenschutzbeauftragten können gegen Unternehmen mit einem Jahresumsatz von weniger als 500 Millionen Euro Geldbußen bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes verhängen. Daher ist es ratsam konkrete proaktive Maßnahmen zum Schutz personenbezogener Daten zu treffen. Außerdem ist es von entscheidender Bedeutung, dass alle getroffenen Vorkehrungen dem aktuellen Stand der Technik entsprechen.

Voraussetzungen für den Datentransfer zu US-Cloud-Diensten 

DSGVO-Maßnahmen für Datenexporteure, die Cloud-Dienste aus unsicheren Drittländern einsetzen

Vor der Übermittlung der Daten in die Cloud sollte eine starke Verschlüsselung erfolgen 

Die Verschlüsselung muss unter der alleinigen Kontrolle des Datenexporteurs stehen

Der Cloud-Anbieter sollte zu keinem Zeitpunkt Zugang zu den Schlüsseln und der Verschlüsselung haben

Die Verschlüsselung muss dem Stand der Technik entsprechenden durchgeführt werden

Privacy Shield 2.0

Webseite_EU_US_Privacy_Shield

Am 7. Oktober 2022 unterzeichnete US-Präsident Joe Biden eine Executive Order (Durchführungsverordnung) zur Einführung eines neuen Rahmens für den Schutz personenbezogener Daten beim Datentransfer zwischen den USA und der EU. Ziel ist es, das Datenschutzniveau der USA an den europäischen Standard anzugleichen, um ein nachhaltiges Abkommen für transatlantische Datenübertragungen zu erreichen. Das neue Privacy Shield ist erheblich kritisiert worden, da es nicht eindeutig auf die europäischen Bedenken eingeht.

Mehr erfahren

eperi® e-Books & Online Seminars

O365 Solution Flyer

DSGVO-konform in die Cloud nach Schrems II

Factsheet

Nach dem Schrems II Urteil herrschte eine weitreichende Unsicherheit in Bezug auf die Nutzung amerikanischer Cloud-Dienste. Im Juni 2021 schließlich veröffentlichte der Europäische Datenschutzausschuss (EDSA) seine finalen Empfehlungen zum Transfer personenbezogener Daten nach dem Schrems II Urteil. In diesem Dokument erfahren Sie, was sich nun für Unternehmen ändert und welche Möglichkeiten es gibt, Cloud-Anwendungen DSGVO-konform zu nutzen.

Mehr lesen
eBook

Microsoft Office 365 - Microsoft 365 Security

e-Book

Lesen Sie in unserem eBook, wie Sie zusätzliche Schutzebenen zur Sicherheit von Microsoft Office 365 hinzufügen können.

Mehr lesen
volle Kontrolle Fernsteuerung

Schrems II Urteil: Ist eine DSGVO konforme Nutzung von Microsoft 365 weiterhin möglich?

Online Seminar

Das US-Privacy Shield wurde durch das sogenannte Schrems II Urteil gekippt. Seitdem herrscht eine weitreichende Unsicherheit in Bezug auf die Nutzung amerikanischer Cloud-Dienste. Klare Vorgaben und Richtlinien suchte man anfangs vergebens. Immer mehr Datenschützer wagen sich jedoch aus der Deckung und stellen klare Forderungen zur DSGVO-konformen Nutzung weit verbreiteter Anwendungen wie bspw. Microsoft 365.
Erfahren Sie in unserem Online Seminar mehr über:
- Die Auswirkungen des Schrems II Urteils auf die tägliche Arbeit in Unternehmen
- Die konkreten Forderungen der europäischen Datenschützer
- Die durch Microsoft angebotenen Schutzmaßnahmen
- Praktische Lösungen zur DSGVO-konformen Nutzung von Microsoft 365 (inkl. Live-Demo)

Mehr lesen