Das EU-U.S. Date Privacy Framework  

Was lange währt, wird endlich gut. Dieses Motto gilt hoffentlich für das EU-U.S. Data Privacy Framework. Sie kennen dieses Stichwort noch gar nicht?

Date Privacy Framework

Es geht um eine neue Rechtsgrundlage für Datenübermittlungen in die USA. Dabei gilt es einige Fallstricke zu beachten.

EU-U.S. Data Privacy Framework - Neues Datenschutzabkommen mit den USA - Ende der Hängepartie? 

"Aller guten Dinge sind Drei!" Nachdem die vorherigen Datenschutzabkommen "Safe Harbor" und "Privacy Shield" scheiterten, wurde nun mit dem "EU-U.S. Data Privacy Framework" ein neues Abkommen zwischen der EU und den USA verabschiedet. 

EU.U.S Data Privacy Framework

Privacy Shield II – noch ist Geduld angesagt!

Das „Privacy Shield“ war als Rechtsgrundlage für Datenübermittlungen in die USA sehr beliebt. Der Europäische Gerichtshof hat ihn im Juli 2020 für unwirksam erklärt. Eine verbesserte Neufassung soll möglichst bald kommen. 
 

Privacy Shield II

Die Erkenntnis, dass mindestens seit Dezember letzten Jahres Schwachstellen in den lokalen Microsoft Exchange Servern in bis dato undenkbarem Umfang von Hackern ausgenutzt wurden, hat viele Unternehmen tief getroffen. Nicht nur die großen, professionellen Hackergruppen waren hier tätig, sondern Kriminelle jeder Art, vom Profiteam bis zum Skript-Kiddy. Und sie alle waren erfolgreich. Überall! Bei großen Konzernen und kleinen Mittelständlern.

In der Cloud ist alles besser? Eine Geschichte über E-Mail-Server nach dem HAFNIUM-Angriff

Internationale Datentransfers - Das How-To

In den vergangenen Wochen haben wir uns am Datenschutz-Dienstag immer wieder mit internationalen Datentransfers befasst - was das ist, wer betroffen ist und was die betroffenen Unternehmen nun tun sollten. Erläutert an bekannten und weit verbreiteten Beispielen wie Microsoft365 und Mailchimp. Heute wollen wir etwas genereller an die Sache herangehen - in Form eines How-To's. Schritt für Schritt erklären wir Ihnen, wie Sie internationale Datentransfers im Unternehmen finden, analysieren und dokumentieren.

Internationale Datentransfers

Internationale Datentransfers - Dokumentieren statt abschaffen! Am Beispiel Mailchimp

Bereits am Datenschutz-Dienstag letzte Woche haben wir  über die derzeit laufende bundesweite Überprüfung internationaler Datentransfers am Beispiel Microsoft 365 berichtet. Heute möchten wir nochmal darauf eingehen, dass das radikale Abschaffen aller internationalen Dienste weder praktikabel noch notwendig ist. In vielen Fällen kann die Zusammenarbeit mit dem bewährten Partner fortgeführt werden - wenn die Datenverarbeitungsprozesse rechtskonform gestaltet und vollständig dokumentiert sind.

Werbeversprechen: "Mit Mailchimp ist DSGVO‑Konformität einfach" - Laut BayLDA eher nein?!

Seit dem Fall des "Privacy Shield" im vergangenen Sommer geistern viele Gerüchte durch die Datenschutzwelt: Die Einen behaupten, eine Zusammenarbeit mit US-Anbietern wie z.B. Microsoft sei jetzt komplett rechtswidrig und müsse sofort gestoppt werden. Die Anderen sagen, es gäbe überhaupt kein Problem. Man könne ja nicht einfach den Betrieb einstellen". Was ist wirklich Sache? Was müssen gerade mittelständische Unternehmen tun, um weiter Microsoft 365 einsetzen zu können?

Microsoft 365 rechtskonform einsetzen - Auf die Konfiguration kommt es an

Auf diese Fragen soll unser Blogbeitrag knappe und verständliche Antworten geben. Nicht theoretisch, sondern ganz praktisch anhand der Fragen, die uns unsere vielen Kunden aus dem Mittelstand in den letzten Wochen und Monaten gestellt haben. Eben Datenschutz von Praktikern für Praktiker.

Die EU-DSGVO gilt seit nunmehr drei Jahren. Ihr wesentlicher Zweck besteht darin, Rechtssicherheit im Datenschutz zu bewirken. Für Datentransfers in die USA ist dies bisher nicht gelungen. Hier liegt aktuell große Herausforderung für deutsche Unternehmen.

Anfang Juni 2021 haben die Datenschutzaufsichtsbehörden länderübergreifend koordiniert mit der Kontrolle der internationalen Datentransfers bei deutschen Unternehmen begonnen. Überprüft werden Datenübermittlungen durch Unternehmen in sogenannte "Drittstaaten" außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums. Es drohen Untersagungsverfügungen und Bußgelder.

Achtung Kontrolle - Landesdatenschutzbeauftragte verschicken Fragebögen zu internationalen Datentransfers

Um unsere Empfehlung an unsere Leser aus unserem Post vom 18.07.2020, erstmal vorbereitet zu sein und Aktivität zu zeigen, zu unterstreichen, haben wir uns für Sie die bisherigen Reaktionen des Bundesdatenschutzbeauftragten und der Landesdatenschutzbeauftragten überprüft.

Ergänzung zum Post vom 18.07.2020: Unternehmer-Tipps nach dem Aus für das "Privacy Shield" zwischen der EU und den USA.

Das EuGH-Urteil hebt zwar nur den EU-US Privacy Shield auf, aber auch Standardvertragsklauseln sind bei Transfers an Stellen in den USA kritisch, und es muss überprüft werden, ob der Datenimporteur die Auflagen des Vertragswerks einhalten kann.

Hier ein Überblick. Zwei Wochen nach dem Aus für das Privacy Shield am 16.07.2020 gibt es von Seiten der Bundes- und Landesdatenschutzbeauftragten noch nicht viel Anwendbares für die Verantwortlichen der Unternehmen in Deutschland und uns Datenschutzbeauftragte.

Schlimmer noch: Die Aufsichtsbehörden vertreten zur Zeit noch uneinheitliche Auffassungen zur Prüfpflicht der Verantwortlichen. So sieht Rheinland-Pfalz eine Prüfpflicht der Verantwortlichen, Hamburg hingegen sieht die Prüfpflicht eher bei den Aufsichtsbehörden. Thüringen sieht die Prüfpflicht sowohl bei den Verantwortlichen als auch bei den Aufsichtsbehörden.

Was sagen die Aufsichtsbehörden zum Aus für das Privacy Shield?

Der Bundesdatenschutzbeauftragte BfDI Dr. Kelber

Der Europäische Gerichtshof (EuGH) hat am Donnerstag 16.07.2020 im sogenannten "Schrems II"-Urteil entschieden: Für uns als Beobachter der Datenschutz-Rechtsprechung wenig überraschend wurde das „Privacy Shield“-Abkommen zwischen der EU und den USA für ungültig erklärt. Im Ergebnis sind nun Übertragungen von personenbezogen Daten im unternehmerischen Kontext zwischen der EU und den USA größerer Rechtsunsicherheit unterworfen. Lesen Sie hier, wie Sie mit der aktuellen Situation am besten umgehen.

Hintergründe für das Aus für das "Privacy Shield"

Um zu verstehen, wie Datenübertragungen in Nicht- EU-Länder funktionieren, sollte man sich das Konzept des Angemessenheitsbeschlusses und die Standarddatenschutzklauseln (auch als Standardvertragsklauseln bekannt) anschauen.

Tipps vom yourIT-Datenschutz-Team nach dem Aus für das "Privacy-Shield"

Aus Sicht eines Nicht-EU-Landes ist ein Angemessenheitsbeschluss ein gute Sache, da in ihm die EU-Kommission dem Land bescheinigt, eine Datenschutzrechtssystem mindestens auf dem Niveau der EU-DSGVO zu haben. Damit können viele Rechtsinstrumente der EU-DSGVO angewandt werden, insbesondere auch die Auftragsverarbeitung gemäß Artikel 28 EU-DSGVO.

US-Präsident Donald Trump war kaum im Amt, als er am 25. Januar 2017 direkt den Datenschutz für Europäer in Frage gestellt. Datenschutz-Experten aus der EU raten daher Unternehmen aus der EU, Cloud-Produkte nur noch von Europäischen Anbietern zu nutzen.

Deutsche und alle übrigen Europäer sind für den US-Präsidenten ganz offensichtlich Internetnutzer zweiter Klasse. Per Dekret vom 25. Januar erklärte er, dass Nicht-US-Bürger vom US-amerikanischen Datenschutzrecht auszuschließen oder zumindest ihre Rechte diesbezüglich einzuschränken sind, "soweit dies mit geltendem Recht vereinbar ist".

Der Datentransfer zwischen der EU und der USA auf Basis des Privacy Shield steht seither unter europäischem Beschuss. Das Privacy Shield ist als Nachfolger des Vorgängers Safe Harbor seit dem 12. Juli 2016 in Kraft und war von Anfang an umstritten. Es sollte eigentlich den EU-US-Datenaustausch für europäische Unternehmen mit US-Dienstleistern vereinfachen, die sich zu den darin notierten Prinzipien und organisatorischen Vorgaben bekennen. Ob sich damit aber tatsächlich ein "angemessenes Datenschutzniveau" sicherstellen lässt, das die Grundvoraussetzung für einen Datenaustausch mit anderen Unternehmen darstellt, gilt als unsicher.

EU-Datenschutz-Experten empfehlen: Raus aus den US-Clouds!

EU-Datenschützer befürchten nun , dass der Privacy Shield unter Trump von den USA gekündigt oder zumindest nicht ernst genommen werden könnte. Wieder einmal steht der Datenaustausch europäischer Unternehmen mit Dienstleistern aus den USA unter Kritik.

Wie die Deutsche IT-Branche von diesem Streit profitieren wird

Viele deutsche Unternehmen stehen derzeit vor der Entscheidung, ob sie die nächste Server-Generation noch im eigenen Serverraum betreiben wollen oder direkt in die Cloud wechseln. Zur Zeit-Überbrückung sollen aus dem Service laufende Server länger betrieben werden. Dies zeigen z.B. die seit November 2014 stark gestiegenen Zugriffsraten auf den Blogbeitrag zum Thema "Lebensdauer Server" des IT-Dienstleister yourIT aus Hechingen.

Zusätzlich sind deutsche Unternehmen derzeit dabei, die Vorbereitung für die EU-Datenschutzgrundverordnung zu treffen, die ab dem 25. Mai 2018 gelten wird.

Unternehmen, die künftigen Ärger mit dem Datenschutz vermeiden möchte, tun gut daran, sich jetzt ausschließlich auf europäische oder noch besser deutsche Cloud-Dienstleister einzulassen, die direkt der EU-DSGVO unterliegen. Mit diesen ist relativ einfach eine Vereinbarung zur Auftragsverarbeitung machbar. Außerdem setzt die EU-DSGVO auf eine Zertifizierung der Auftragsverarbeiter.

Für Online-Backup, Cloud-Speicher, E-Mail, Kalender, Messaging und viele andere Dienste gibt es inzwischen gute Alternativen europäischer Dienstleister zu Dropbox, Google & Co. Sprechen Sie mit den Cloud- und Datenschutz-Experten von yourIT. Wir empfehlen Ihnen gerne datenschutzkonforme Produkte deutscher und europäischer Anbieter.

Der Einsatz von Google Analytics durch deutsche Unternehmen befindet sich derzeit erneut im Focus des Hamburgischen Beauftragten für Datenschutz und Informationssicherheit (HmbBfDI) und anderer Landesdatenschutzbeauftragter. Das kostenlose Analyse-Produkt des amerikanischen Software-Herstellers Google findet sich massenhaft im Einsatz - auch auf den Websites und Blogs vieler deutscher Unternehmen.

Wieso ist Google Analytics im Datenschutz-Focus?

Da IP-Adressen in Deutschland als personenbezogene Daten gelten und Google beim Einsatz von Google Analytics auf den Websites und Blogs Ihres Unternehmens mit den IP-Adressen der Besucher eben dieser Seiten in Kontakt kommt und diese verarbeitet, handelt es sich hierbei um eine Auftragsdatenverarbeitung im Sinne von § 11 BDSG.

Der Hamburgische Datenschutzbeauftragte war bereits bisher federführend in Bezug auf erforderliche Regelungen bei Verwendung von Google Analytics. Dieser sah es nun als erforderlich an, sich erneut mit der Prüfung von Google Analytics zu befassen.

Als Ergebnis wurde ein neues Hinweisblatt zur Verwendung von Google Analytics erarbeitet. Dieses kann bei yourIT jetzt kostenlos bezogen werden. Schreiben Sie uns hierzu einfach eine kurze Nachricht mit dem Stichwort "Datenschutz Google Analytics".

Die Überarbeitung bezieht sich in erster Linie auf eine Klausel im bisherigen Vertrag zur Auftragsdatenverarbeitung, die auf das Safe-Harbor-Abkommen verwies, welches bekanntlicherweise bereits am 06.10.2015 durch eine Entscheidung des EuGH außer Kraft gesetzt worden war.

Google hat sich zwischenzeitlich nach dem Privacy Shield zertifizieren lassen und seinen Vertrag zur Auftragsdatenverarbeitung entsprechend angepasst.

Auch andere Landesdatenschutzbeauftragte stellen Anforderungen zu Google Analytics

Briefkopf Der Beauftragte für den Datenschutz Baden-Württemberg

Wie wir aus sicherer Quelle wissen, stellt auch der Landesbeauftragte für den Datenschutz Baden-Württemberg derzeit Unternehmen Fragen zum Einsatz zu Google-Analytics. Wir zitieren aus einem uns vorliegenden Anschreiben:

"[...] Aus der Datenschutzerklärung geht bezüglich der Verwendung von Google Analytics nicht hervor, ob ein Vertrag mit Google nach § 11 BDSG im Sinne der Auftragsdatenverarbeitung besteht und in welcher Art und Weise die IP-Adresse übermittelt wird. Ist dies der Fall und werden die hinteren Ziffern der IP-Adresse anonymisiert? [...]"

Auszug Anschreiben Beauftragte für den Datenschutz Baden-Württemberg zu Google Analytics

Die EU-DSGVO wird vermutlich noch eins drauf setzen...

Es ist zu erwarten, dass sich bei In-Kraft-Treten der EU-Datenschutzgrundverordnung (EU-DSGVO) zum 25.05.2018 erneut Änderungen hinsichtlich der Verwendung von Google Analytics ergeben werden.

Unternehmen, die Google Analytics auf ihren Websites und Blogs einsetzen, sollten

1. jetzt eine Vereinbarung zur Auftragsdatenverarbeitung mit Google abschließen und 
2. die Änderungen durch die kommende EU-DSGVO im Auge behalten.

Wie wir von yourIT Sie als Google-Analytics-Anwender unterstützen können

Unser gefördertes Beratungspaket "Datenschutzkonzept" enthält neben einigen anderen Dingen auch die Erhebung der Liste der Auftragsdatenverarbeiter und die Überprüfung der bisherigen Vertragsstände.

yourIT Beratungspaket Datenschutzkonzept für Sie als Auftraggeber

Vorteil für mittelständische Unternehmen: Unser Beratungspaket "Datenschutzkonzept" wird gefördert mit Mitteln aus dem Europäischen Sozialfonds. Sie erhalten bis zu 1.500 EUR Fördermittel.

Worauf warten Sie noch? Vereinbaren Sie jetzt einen kostenlosen Kennenlerntermin.

Ich freue mich auf Ihre Anfragen. Fordern Sie uns! Wir beraten Sie gerne.

Ihr Thomas Ströbele, Telefon 07471/930100

Sie möchten bei neuen Entwicklungen im Bereich Datenschutz & IT-Sicherheit informiert werden?

Dann tragen Sie sich einfach hier in unseren Newsletter ein.

Wer in einem Unternehmen arbeitet, das Daten in die USA übermittelt, muss ihn kennen. Aber auch jeder Normalbürger sollte zumindest einmal davon gehört haben. Die Rede ist vom Privacy Shield, auf Deutsch etwa „Schutzschild für das Persönlichkeitsrecht“. Er kann seit dem 1. August 2016 genutzt werden. Viele Unternehmen hatten dringend darauf gewartet. Lesen Sie hier, weshalb...

Eine Herausforderung: Datenübermittlungen in die USA

Will ein Unternehmen Daten von Kunden oder auch Daten von Mitarbeitern an ein US-Unternehmen übermitteln, geht das nicht „leicht und locker“. Und zwar auch dann nicht, wenn es sich bei dem US-Unternehmen beispielsweise um die „US-Mutter“ handelt.

Bekanntlich gehören die USA nicht zur EU. Deshalb erlauben die EU-Regelungen zum Datenschutz den Transfer von Daten in die USA nur dann, wenn dort ein angemessenes Datenschutzniveau herrscht. Was als angemessen anzusehen ist, bestimmt sich dabei natürlich nach den Vorstellungen der EU.

Datenschutz, yourit, Privacy Shield

Datenschutz in den USA: durchaus, aber ...

Damit beginnen in der Praxis die Probleme. Zwar gibt es in den USA sehr wohl Datenschutzvorschriften. Deshalb sollte man gegenüber Kollegen aus den USA auch nie zu überheblich davon sprechen, die USA würden sowieso keinen Datenschutz kennen.

Nur zu schnell kann es einem sonst passieren, dass diese Kollegen etwa auf Regelungen hinweisen, die die Daten von Kindern ganz besonders schützen. Die Abkürzung hierfür heißt COPPA (Children's Online Privacy Protection Rule) und ist auch den meisten Durchschnitts-Amerikanern bekannt.

Die US-Regelungen setzen die Schwerpunkte aber ganz anders als die Vorschriften der EU. Manche Aspekte des Datenschutzes, die in Europa ganz hoch gehalten werden, gelten in den USA kaum etwas.

Langer Rede kurzer Sinn: Ein Datenschutzniveau, das nach den Vorstellungen der EU generell als angemessen anzusehen wäre, existiert in den USA nicht.

Individuelle Einwilligungen: nur theoretisch denkbar

Wie soll ein Unternehmen damit umgehen? Nun, es könnte beispielsweise jeden einzelnen Betroffenen um seine Einwilligung bitten und seine Daten erst dann übermitteln. Theoretisch wäre das denkbar. In der Praxis funktioniert das aber schon wegen des Aufwands nicht. Deshalb wählt der neue Privacy Shield einen anderen Ansatz.

Der besondere Ansatz von Privacy Shield:

•  Ein US-Unternehmen, das personenbezogene Daten aus der EU erhalten soll, verpflichtet sich dazu, umfangreiche Spielregeln für den Datenschutz einzuhalten. Sie sind unter dem Begriff „Privacy Shield“ zusammengefasst.
• Diese Verpflichtung erfolgt gegenüber den zuständigen US-Behörden. Das ist meist die Federal Trade Commission (FTC), eine Verbraucherschutzbehörde.
• Der Inhalt der Spielregeln ist zwischen dem US-Handelsministerium (Depart-ment of Commerce) und der Europäischen Kommission abgestimmt.
• Ist ein US-Unternehmen eine solche Verpflichtung eingegangen, gilt das Datenschutzniveau in diesem Unternehmen auch seitens der EU als angemessen.
• Die positive Folge für die europäischen Geschäftspartner solcher US-Unternehmen: Sie dürfen personenbezogene Daten an dieses Unternehmen unter denselben Voraussetzungen übermitteln, unter denen dies auch innerhalb der Europäischen Union zulässig wäre.

Keine Einwilligung der Betroffenen nötig

Die Betroffenen müssen nicht gefragt werden, ob sie damit einverstanden sind. Sie müssen aber in geeigneter Weise informiert werden. Dabei sind viele Einzelheiten zu beachten, um die sich die Spezialisten in den Unternehmen kümmern. In Deutschland sind dies die Datenschutzbeauftragten der Unternehmen.

Erinnern Sie sich noch an Safe Harbor? 

Manchem wird dieses Vorgehen irgendwie bekannt vorkommen. Völlig zu Recht! Ziemlich ähnlich lief dies auch schon bei den Safe-Harbor-Regelungen ab. Sie hatten sich über zehn Jahre lang beim Transfer von Daten aus der EU in die USA bewährt, jedenfalls aus der Sicht der meisten Unternehmen.

Allerdings hatte der Europäische Gerichtshof diese Regelungen im Oktober 2015 aus verschiedenen Gründen gekippt. Das geschah gewissermaßen über Nacht, also ohne jede Übergangsfrist. Deshalb waren neue Regelungen, wie sie der Privacy Shield nun vorsieht, dringend erforderlich.
Etwas vereinfacht lässt sich sagen: Der Inhalt des Privacy Shield ist neu und wesentlich ausgefeilter, als es die Regelungen von Safe Harbor waren. Der Verfahrensablauf ist aber ziemlich ähnlich.

Gegen die Spielregeln verstoßen? Lieber nicht!

Wie sieht es übrigens damit aus, dass sich die Unternehmen auch wirklich an die Spielregeln halten, zu denen sie sich verpflichtet haben? Die Chancen dafür stehen gut. Jeder weiß, wie kräftig US-Behörden bei Rechtsverstößen zupacken können. Und das gilt nicht nur, wenn es um Verstöße gegen Abgasregelungen geht. Auch Datenschutzverstöße von US-Unternehmen haben die amerikanischen Behörden schon schwer geahndet. Gehen Sie also davon aus: Privacy Shield ist ernst gemeint!

Als Experten im Bereich Datenschutz & Informationssicherheit unterstützen wir Sie gerne bei der Überprüfung Ihrer Dienstleister.

Wie personenbezogene Daten aus den Mitgliedsstaaten der EU an die USA weitergegeben werden dürfen, regelte die als "Safe Harbor" bezeichnete Übereinkunft der EU und der USA. Nun wurde dieses Abkommen vom Europäischen Gerichtshof (EuGH) aber als ungültig erklärt, mit direkten Auswirkungen auf den Datenschutz. Jeder, der Google Analytics oder Social-Media-Dienste in die eigene Website einbindet, kann nun abgemahnt werden. 

Sind Online-Unternehmen betroffen und was ist jetzt zu tun?

Was ist Safe Harbor und wofür steht das Abkommen?

Safe Harbor durch EuGH-Urteil gestürzt

Warum das Abkommen durch den Europäischen Gerichtshof aberkannt wurde

Folgen für Unternehmen

Was nun zu tun ist