<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=2038511469714819&amp;ev=PageView&amp;noscript=1">

eperi Blog

Neues US-EU Privacy Shield Abkommen rückt in weite Ferne

23. März 2022

Mit seinem aktuellen Urteil zum Thema Überwachung macht der Supreme Court klar, dass es kein neues EU-US Privacy Shield Abkommen geben wird.

Europäischer_DatenschutztagDie Ausgangssituation

Bereits seit Jahren erschweren die grundsätzlich unterschiedlichen Datenschutzauffassungen der USA und Europas den internationalen Datentransfer zwischen Unternehmen. Sowohl das Safe Harbor Abkommen als auch das EU-US Privacy Shield wurden durch den Europäischen Gerichtshof für ungültig erklärt. Grund war - vereinfacht ausgedrückt - in beiden Fällen der juristisch mögliche Zugriff auf personenbezogene Daten von Europäern durch US-Behörden. Dies kann nicht in Einklang mit den Vorgaben der DSGVO gebracht werden.

 

Der aktuelle Stand

Nach dem Fall des EU-US Privacy Shields aufgrund des sogenannten Schrems II Urteils herrschte eine weitreichende Unsicherheit in Bezug auf die Nutzung amerikanischer Anwendungen. Diese wurde erst durch die "finalen Empfehlungen zum Transfer personenbezogener Daten nach dem Schrems II Urteil" des Europäischen Datenschutzausschusses (EDSA) aufgelöst. Diese Empfehlung schafft klare und verlässliche Richtlinien, an welchen sich Unternehmen orientieren müssen. Drei zentrale Punkte sind dabei für Unternehmen, die amerikanische Cloud-Anwendungen nutzen, maßgeblich:

  • Die Nutzung amerikanischer Cloud-Dienste ohne weitere Maßnahmen ist nicht DSGVO-konform (auch wenn die Server in Europa stehen).
  • Standardvertragsklauseln sind nicht mehr ausreichend, um DSGVO-Konformität zu erreichen.
  • Die von Cloud-Anbietern angebotenen Sicherheitslösungen (wie bspw. Microsoft E5 Lizenz) sind nicht ausreichend, um DSGVO-Konformität zu erreichen.

 

Grafik_DurchgriffUSADie Hoffnung auf eine juristische Lösung

Gerade amerikanische Unternehmen mit starkem Europa-Geschäft hoffen seither auf eine juristische Lösung der Thematik. Entsprechend stehen die Verhandlungen über ein neues EU-US Privacy Shield im Fokus der Betrachtungen. Die Frage, die sich jedoch eigentlich stellt, ist, ob es eine juristische Lösung für ein technisches Problem geben kann. Solange Daten physisch bspw. in Cloud-Anwendungen transferiert werden, besteht immer die Möglichkeit, dass unberechtigte Dritte - seien es Behörden oder Kriminelle - Zugriff erlangen. Selbst wenn in Zukunft ein neues Privacy Shield die juristischen Rahmenbedingungen regeln sollte, ist das eigentliche Problem - nämlich das Risiko des Verlusts personenbezogener Daten - nicht gelöst.

 

Neue Entwicklungen

Ein kürzlich am Supreme Court ergangenes Urteil stellt nun alle Bemühungen auf eine juristische Lösung zwischen Europa und den USA in Frage. So wurde im Fall "FBI vs. Fazaga" der Regierung mehr Spielraum gewährt, um sich in Spionagefällen auf "Staatsgeheimnisse" zu berufen. Dies erschwert es Bürgern erheblich, sich gegen vermeintlich unberechtigte staatliche Überwachung zur Wehr zu setzen. Ganz nebenbei torpediert dieses Urteil die Bemühungen Bidens, das amerikanische Datenschutzniveau als ausreichend für ein neues Privacy Shield Abkommen darzustellen.

Auch die EU-Kommission rechnet nicht mit einer schnellen Einigung auf ein neues Abkommen mit den USA. So lässt sich Margrete Vestager (Kommissions-Vizepräsidentin) wie folgt zitieren: "Wir streben mit hoher Priorität an, eine solche Vereinbarung mit den Amerikanern zu treffen ... doch das ist nicht einfach, um es wirklich untertrieben zu sagen."

 

Die Lösung

Die offensichtlichste Lösung aller Datenschutzherausforderungen in Bezug auf amerikanische Unternehmen wäre deren komplette Verbannung aus dem europäischen Markt. Dieses Szenario ist jedoch weder wirtschaftlich sinnvoll noch realistisch. Auch der Einsatz von nativen Sicherheitslösungen der Cloud-Anbieter entfällt als Lösung. Am Beispiel Datenverschlüsselung wird die Herausforderung deutlich: Wer die Verschlüsselung kontrolliert, kontrolliert die Daten. Sobald der Cloud-Anbieter Daten verschlüsselt, muss zwangsläufig Zugriff auf die unverschlüsselten Daten bestehen. Und somit besteht weiterhin die Möglichkeit des Datenzugriffs durch Behörden. Verhindert werden kann dies lediglich durch eine Verschlüsselung, die komplett unter der Kontrolle des Unternehmens erfolgt und dem Cloud-Anbieter zu keinem Zeitpunkt Zugriff auf unverschlüsselte Daten gewährt. Der Cloud-Anbieter kann guten Gewissens dem Herausgabeverlangen der Behörden nachkommen, denn diese erhalten nur verschlüsselte, unlesbare Daten ohne jeglichen Personenbezug. Gleichzeitig hat das Unternehmen die Gewissheit, nicht nur DSGVO-konform zu arbeiten, sondern selbst zu kontrollieren wer Zugriff auf kritische Daten erhält. Somit werden personenbezogene Daten, Geschäftsgeheimnisse und IP gleichermaßen geschützt. Ein Verzicht auf die Nutzung amerikanischer State-of-the-Art Technologie ist nicht notwendig - davon profitieren nicht nur europäische, sondern schlussendlich auch amerikanische Unternehmen.

 

eperi-Grafik_Gateway_Allgemein

 

Fazit

Eine juristisch undurchsichtige Situation muss im konkreten Fall für Unternehmen nicht zum unüberwindbaren Hindernis werden. Dank der sehr deutlich formulierten Handlungsempfehlungen des EDSA zum Schrems II Urteil ist klar, welche Anforderungen eine Lösung erfüllen muss, um DSGVO-Konformität herzustellen:

  • Daten müssen verschlüsselt werden, bevor sie an die Cloud übertragen werden.
  • Dem Cloud-Anbieter darf zu keinem Zeitpunkt Zugriff auf Schlüssel und Verschlüsselung gewährt werden.
  • Eine geeignete Lösung muss dem Stand der Technik entsprechen.

Der patentierte Multi-Cloud Ansatz des eperi Gateway deckt all diese Punkte ab. Eine geeignete Lösung muss jedoch nicht nur rechtliche Voraussetzungen erfüllen. Die gewohnte Effizienz muss beibehalten und der Arbeitsablauf der Anwender darf nicht unterbrochen werden. Neben DSGVO-Konformität bietet das eperi Gateway:

  • Eine für den Anwender transparente Lösung.
  • Die Beibehaltung gewohnter und effizienter Arbeitsabläufe.
  • Den Erhalt der wichtigen Anwendungsfunktionen.

Zusammengefasst kann festgestellt werden, dass jedes Unternehmen die wirtschaftlichen sowie prozessseitigen Vorteile der Cloud nutzen kann - mit der richtigen Sicherheitslösung im Hintergrund.

Laden Sie jetzt kostenfrei das Whitepaper herunter oder besuchen Sie unsere Website zum Thema DSGVO-konforme Cloud Nutzung und erfahren Sie noch heute, wie Sie auch in Zukunft von allen Vorteilen der Cloud profitieren können.

Haben Sie weitere Fragen? Wir stehen Ihnen gerne für ein persönliches Gespräch zur Verfügung. Kontaktieren Sie uns jetzt!

 

 

Zurück zur Übersicht

Quellen: 

https://thehill.com/opinion/judiciary/598899-the-supreme-court-just-made-a-us-eu-privacy-shield-agreement-even-harder

https://www.golem.de/news/privacy-shield-vestager-daempft-erwartungen-an-schnelle-einigung-mit-usa-2202-163428.html

Disclaimer:
Soweit dieses Dokument juristische Erläuterungen und Ratgeber enthält, so stellen diese unverbindliche Informationen ohne jede Gewähr für Vollständigkeit und Richtigkeit dar. Es handelt sich insoweit nicht um Rechtsberatung und die Eperi GmbH erhebt auch keinesfalls den Anspruch eine solche darzustellen oder gar zu ersetzen.

 
Share Button: LinkedIn Share Button: XING

© 2023 Eperi GmbH. Alle Rechte vorbehalten.