Nachdem am 06. Oktober 2015 das Safe-Harbor-Abkommen für ungültig erklärt wurde, folgt nun das „EU-US Privacy Shield“. Der Europäische Gerichtshof hat den transatlantischen Datenpakt für ungültig erklärt. Dieses Urteil wird drastische Auswirkungen auf viele Unternehmen haben und den gesamten Markt kräftig aufrütteln.
Doch was ist genau passiert und was bedeutet das?
Nach dem lang erwarteten Urteil des EuGH ist eine der wichtigsten Rechtsgrundlagen für den Transfer personenbezogener Daten europäischer Bürger in die USA für nichtig erklärt worden. Dies geht zurück auf einen Rechtsstreit zwischen dem österreichischen Juristen Max Schrems und Facebook. Schrems hat in den letzten 5 Jahren einen Kampf gegen Facebook Irland geführt. Insbesondere, das Facebook Irland seine Daten an den Mutterkonzern in die USA weiterleitet, obwohl diese personenbezogene Daten nicht angemessen gegen US-Überwachungsprogramme gesichert sind. Facebook ist in den USA dazu verpflichtet, an US-Behörden wie der NSA und FBI Zugang zu Daten zu gewähren – ohne dass Betroffene dagegen vorgehen können.
Das Urteil liest sich im ersten Moment wie ein revolutionärer Schritt in Richtung EU-Datenschutz und -Sicherung für personenbezogene Daten. Doch mit einem Blick auf weitere Details wird es noch spannender:
Der Gerichtshof entscheidet über Schutzniveaus
Auch wenn das EuGH das „EU-US Privacy Shield“-Abkommen für ungültig erklärt hat, so sind die Grundlagen sogenannter „Standardvertragsklauseln“ unberührt, welche Garantien bieten, dass es bei der Übermittlung ins Ausland angemessenen Schutz für EU-Bürger gibt. Das Gericht betont jedoch, dass Behörden die Übertragung verbieten müssten, wenn der Datenschutz in dem anderen Land nicht gewährleistet sei.
Unser Head of Security Kevin „Kenny“ Niehage sieht diese Lücke wie folgt: „Mit dem Kippen des EU-US Privacy Shield zeigt der Europäische Gerichtshof erneut, dass die Geheimdienstaktivitäten der USA einem effektiven, rechtskonformen Datenschutz entgegenstehen. Obwohl der EuGH die Standardvertragsklauseln als gültig anerkannt hat, führt er doch an, dass jeweils vorab geprüft werden müsse, ob das erforderliche Schutzniveau im betreffenden Drittland eingehalten wird. In nächster Zeit wird sich vor allem die Frage stellen, ob es überhaupt möglich ist, in einem privatrechtlichen Vertrag zwischen Unternehmen die rechtlichen Datenschutzgarantien zu gewährleisten, deren Fehlen den EU-US Privacy Shield zu Fall gebracht hat. Die Entscheidung des EuGH zum Ende des EU-US Privacy Shield könnte auch das Ende der Standardvertragsklauseln zwischen EU- und US-Unternehmen einläuten.“
Im Falle von Facebook und einigen anderen Anbietern, wie Microsoft, Amazon, AWS, Google, Apple, ist die irische Datenschutzbehörde zuständig. Der irischen Datenschutzbehörde war immer wieder vorgeworfen worden, nichts gegen den problematischen Datenschutz zu tun.
Was jetzt kommt: Unsicherheit
Alexander Rabe, Geschäftsführer des eco Verbands, hat bereits gestern über die Tragweite dieser Entscheidung gesprochen „Zahlreiche transatlantische Transfers personenbezogener Daten würden über Nacht unzulässig“. Ohne den Schild gibt es praktisch keine Alternativen, Daten legal aus der EU in die USA zu übertragen.
Meine Antwort darauf
Unternehmen müssen sicherstellen, dass personenbezogene Daten der Kunden, Mitarbeiter und Dienstleister das höchste Schutzbedürfnis aufweisen, innerhalb der Landesgrenzen und vor allen außerhalb des EU-Auslands.
Das Kippen des „EU-US Privacy Shields“ ist aus meiner Sicht ein wichtiger Schritt für die EU-ansäßigen Unternehmen und gegen die Übermacht der US-Konzerne. Als europäischer Cloud- und Kubernetes-Service-Provider aus Berlin setzen wir uns intensiv mit Compliance-Richtlinien und den strengen Auflagen der DSGVO auseinander. Als angehendes Mitglied des GAIA-X-Initiative arbeiten wir mit vielen EU-Providern an einer europäischen Alternative, die mit unserem Kubernetes-as-a-Service-Angebot namens MetaKube bereits heute schon zur Verfügung steht.
Wir bei SysEleven beobachten aufmerksam die Entscheidungen des EuGH und stellen sicher, dass unsere Kunden vor Änderungen des „EU-US Privacy Shields“ geschützt sind. Wir haben daher unsere Kubernetes-Lösung als Multi-Cloud Ansatz konzipiert. So können Ihre personenbezogenen Daten sicher in unserer OpenStack-Cloud, mit Rechenzentren in Deutschland, verarbeitet werden. Sollten Sie Applikationen besitzen, die unkritische Daten verwenden und kein hohes Schutzbedürfnis haben, können Sie diese via MetaKube auch bei amerikanischen und kanadischen Rechenzentren auf der Azure- oder AWS-Infrastruktur betreiben. Damit bieten wir „Best of Both worlds“ ohne den Datenschutz zu beugen.
Für Sie haben wir nachfolgend die wichtigsten Quellen zusammengestellt:
- Pressemitteilung des EuGH https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091de.pdf
- Einschätzung von NOYB (Organisation von Max Schrems) https://noyb.eu/en/cjeu
- Urteilsspruch veröffentlicht von NOYB (Organisation von Max Schrems) https://noyb.eu/files/CJEU/judgment.pdf
Außerdem haben wir für Sie eine Datenschutz-Checkliste erstellt, welche Ihnen zeigt, worauf Sie nach dem Urteil bei der Wahl Ihres Kubernetes Providers achten müssen:
Ich freue mich über einen Austausch. Lassen Sie uns reden.