365 Tage im Jahr: Solutions, Knowledge und Networking.
Finden und bieten Sie innovative IT-Security-Lösungen, nehmen Sie an unserem vielfältigen Action-Programm teil und knüpfen & pflegen Sie Kontakte.
Werden Sie Teil der it-sa 365 Community!
Damit Sie einen Termin vereinbaren können, wird der Kalender auf dem persönlichen Profil Ihres Ansprechpartners in einem neuen Tab geöffnet.
Damit Sie einen Vor-Ort-Termin vereinbaren können, wird die Terminanfrage in einem neuen Tab geöffnet.
Schon während des Studiums war mir die Bedeutung der Thematik bewusst, deshalb wurde dies schon damals zu meinem Schwerpunkt. Später habe ich im Datenschutzreferat des Innenministeriums gearbeitet. Das war genau zu der Zeit, als die europäische Datenschutz-Grundverordnung (DSGVO) in die heiße Phase kam, also kurz vor ihrer Verabschiedung stand. Anschließend konnte ich mein Wissen durch ein Master-Zusatzstudium zu Urheberrecht, E-Commerce und Intellectual Property in Glasgow vertiefen. Dieser Studiengang war stark auf das EU-Recht ausgeprägt. Eine weitere Station führte mich zu Ebay, wo ich den praktischen Blick schärfen konnte. Inzwischen bewege ich mich schon zehn Jahre im Datenschutzumfeld.
Nicht zuletzt durch das Masterstudium bekam ich einen politischen Bezug und die Arbeit in einem Verband war eine logische Konsequenz. Da ich im Digitalisierungsbereich etwas bewegen wollte, musste es der Bitkom sein. Ich habe mich deswegen direkt auf drei Stellen hier beworben. Derzeit arbeite ich überwiegend im Homeoffice, wie die meisten anderen auch.
Je nachdem, wie gut das Unternehmen vorher schon aufgestellt war, entstanden mehr oder weniger Komplikationen. Viele haben in der Eile zunächst auf wichtige Verträge verzichtet, zum Beispiel auf die Vereinbarung zur Auftragsdatenverarbeitung. Die ist immer notwendig, wenn ein Unternehmen Dritten Daten zur Speicherung oder Weiterbearbeitung überlässt. Das musste später nachgearbeitet werden. Wer Juristen im Haus hatte, war zumeist besser aufgestellt. Demzufolge sind derartige Probleme weniger bei großen Unternehmen aufgetreten. Vor besonderen Herausforderungen standen alle, die sich noch gar nicht mit Digitalisierung befasst hatten. Darüber hinaus gab es häufig viel Unsicherheit, welche Cloud-Dienste für welche Prozesse verwendet werden können und auf welche man besser verzichten sollte.
Jedes dritte Unternehmen verwendet bereits Cloud-Dienste, Tendenz steigend. Cloud-Nutzung ist für Unternehmen ein wichtiger Baustein, muss aber juristisch abgesichert werden. Aus Datenschutzsicht ist bei jeder Cloud-Anwendung der schon erwähnte Vertrag zur Auftragsdatenverarbeitung notwendig. Darin müssen die Verarbeitungsprozesse genau beschrieben werden. Notwendige Sicherheitsmaßnahmen sollten ebenfalls enthalten sein. Dafür existieren Musterverträge, die müssen aber angepasst werden. Wenn ich einen Anbieter aussuche, der Daten außerhalb der EU speichert, muss ich die entsprechenden Vorschriften beachten. Beispielsweise könnte man sich bei einem Transfer in die USA auf den Privacy Shield stützen oder auf sogenannte Standardvertragsklauseln.
Beide haben unterschiedliche Grundlagen, Standardvertragsklauseln kann ich für alle Drittstaaten verwenden. Privacy Shield ist ein Abkommen mit den USA, mit dem die EU sicherstellen will, dass das US-amerikanische Datenschutzniveau dem europäischen entspricht. Daneben existiert noch die Adäquenzentscheidung, in der garantiert wird, dass der Datenschutz eines Landes dem der DSGVO entspricht. Die EU-Kommission entscheidet das für jedes Land einzeln. Beispielsweise sind die Schweiz, Japan, Kanada und Uruguay darüber der EU gleichgestellt. Nach einem „Nodeal-Brexit“ wäre demzufolge die Datenspeicherung in Uruguay einfacher als in Großbritannien.
Die Standardvertragsklauseln sind von der EU vorgegeben. Die Absicherung, die man darüber erreicht, gilt nur, wenn sie unverändert übernommen werden. Hinzu kommen Anhänge, die für jeden Einzelfall angepasst werden müssen.
Denn es handelt sich um Einzelvereinbarung zwischen zwei Unternehmen. Es stehen zwar Muster zur Verfügung, aber bestimmte Teile müssen jedes Mal individuell ausgehandelt werden. Zum Beispiel technische oder organisatorische Maßnahmen für die Datensicherheit. So etwas ist auf den jeweiligen Prozess, die konkrete Datenverarbeitung, zugeschnitten und muss daher entsprechend angepasst werden. Denn die zugrundeliegende Datenverarbeitung muss genau beschrieben werden, sie ist aber gewöhnlich projektspezifisch und erfordert bei Veränderungen auch regelmäßige Anpassungen.
Der Privacy Shield funktioniert wie dessen Vorgänger, das Safe-Harbor-Abkommen: Unternehmen können sich listen lassen, wenn sie ihre DSGVO-Konformität bestätigen. Jedoch wird zum Teil dabei nach Datentypen unterschieden. So können beispielsweise Personaldaten ausgeschlossen sein, weil das Unternehmen dafür nicht gelistet ist. Möchte man dann solche Daten verwenden, kann man mit dem Privacy Shield nicht arbeiten. Dann müsste die Firma beispielsweise auf Standardvertragsklauseln umschwenken, die aber mit jedem einzelnen Unternehmen zu vereinbaren wären. Aktuell stehen diese Verfahren gerade im Brennpunkt. Strittig ist, ob eine Absicherung mit Standardvertragsklauseln ein adäquates Schutzniveau zur DSGVO sicherstellen kann. Dazu hat nun der Europäische Gerichtshof (EuGH) am 16. Juli ein Urteil gesprochen.
Das Verfahren wurde von Maximilian Schrems initiiert, mit Facebook auf der Gegenseite. Es wurde bei einem irischen Gericht eingereicht, das hat es jedoch zwecks Klärung von Grundsatzfragen zur DSGVO an den EuGH gegeben. Vereinfacht gesagt gingt es um den Punkt, ob ein DSGVO-konformes Datenschutzniveau in den USA wirklich mit Privacy Shield oder den Standardvertragsklauseln sichergestellt werden kann. Streitpunkt sind mögliche Zugriffe durch US-Behörden auf Daten, die bei US-Unternehmen gespeichert sind. Die Frage war, ob sie das Datenschutzniveau dadurch so gravierend beeinflussen, dass ein DSGVO-konformer Schutz nicht gewährleistet ist.
Das Urteil hat massive Auswirkungen auf den globalen Datenaustausch, da mit sofortiger Wirkung der Privacy Shield für unwirksam erklärt wurde und dieser nun keine Basis mehr für den Datenaustausch mit den USA darstellt. Zusätzlich bringen die Ausführungen des EuGH zu Standardvertragsklauseln auch den darauf basierenden Austausch ins Wanken, denn mit dem Urteil hat der EuGH den Datenschutzaufsichtsbehörden die Aufgabe übertragen, jeweils im Einzelfall zu prüfen, ob die Standardvertragsklauseln eine wirksame Grundlage für die Datenübertragung sein können. Das Gericht hat die Wirksamkeit der Standardvertragsklauseln nicht grundsätzlich infrage gestellt, für internationale Datentransfers können sie daher noch eingesetzt werden. Wir gehen aber nach dem Urteil davon aus, dass die Vertragsklauseln für die Datentransfers in die USA bald von den Aufsichtsbehörden geprüft werden. Je nach Ausgang der Prüfung könnten sie in Zukunft als Basis nicht mehr ausreichen.
Alle Unternehmen die ihre Prozesse auf Privay Shield stützen, müssen direkt umstellen, wenigstens auf Standardvertragsklauseln. Sie müssen außerdem mit der Notwendigkeit zu weiteren Änderungen rechnen. Es werden neue Abstimmungen mit jedem einzelnen Geschäftspartner in den USA erfolgen müssen.
Jedes Unternehmen sollte prüfen ob es Alternativen zu den bisherigen Verfahren hat. Man könnte eine Verarbeitung auf Basis einer Einwilligung des Nutzers starten. Unternehmen könnten auch verstärkt nach Alternativen in anderen Ländern suchen, wie man es schon im Rahmen des Brexit beobachten konnte. Das dürfte aber insbesondere in Bezug auf die USA und deren Cloud-Anbieter unpraktikabel sein. Der Bitkom erhält derzeit dazu verstärkt Anfragen, es gibt großen Beratungsbedarf. Für Interessierte hält der Bitkom einen Leitfaden zur Verarbeitung personenbezogener Daten in Drittländern bereit. Für Beratungen haben wir eine eigene Tochtergesellschaft, die Bitkom-Consult, die gerne weiterhilft.
Autor: Uwe Sievers
