Posts mit dem Label Privacy Shield werden angezeigt. Alle Posts anzeigen
Posts mit dem Label Privacy Shield werden angezeigt. Alle Posts anzeigen

Dienstag, 27. Februar 2024

Das EU-U.S. Date Privacy Framework  

Was lange währt, wird endlich gut. Dieses Motto gilt hoffentlich für das EU-U.S. Data Privacy Framework. Sie kennen dieses Stichwort noch gar nicht?

Date Privacy Framework


Es geht um eine neue Rechtsgrundlage für Datenübermittlungen in die USA. Dabei gilt es einige Fallstricke zu beachten.

Dienstag, 25. Juli 2023

EU-U.S. Data Privacy Framework - Neues Datenschutzabkommen mit den USA - Ende der Hängepartie?

EU-U.S. Data Privacy Framework - Neues Datenschutzabkommen mit den USA - Ende der Hängepartie? 

"Aller guten Dinge sind Drei!" Nachdem die vorherigen Datenschutzabkommen "Safe Harbor" und "Privacy Shield" scheiterten, wurde nun mit dem "EU-U.S. Data Privacy Framework" ein neues Abkommen zwischen der EU und den USA verabschiedet. 

EU.U.S Data Privacy Framework



Ein Schritt, der für einen wahren Paukenschlag sorgt und die Diskussionen um den Datentransfer in die USA erneut entfacht.

Dienstag, 28. Juni 2022

Privacy Shield II – noch ist Geduld angesagt!

Privacy Shield II – noch ist Geduld angesagt!

Das „Privacy Shield“ war als Rechtsgrundlage für Datenübermittlungen in die USA sehr beliebt. Der Europäische Gerichtshof hat ihn im Juli 2020 für unwirksam erklärt. Eine verbesserte Neufassung soll möglichst bald kommen. 
 

Privacy Shield II
Privacy Shield II

Vor Ende des Jahres 2022 sollte man darauf aber lieber nicht hoffen. 

Dienstag, 13. Juli 2021

In der Cloud ist alles besser? Eine Geschichte über E-Mail-Server nach dem HAFNIUM-Angriff

Die Erkenntnis, dass mindestens seit Dezember letzten Jahres Schwachstellen in den lokalen Microsoft Exchange Servern in bis dato undenkbarem Umfang von Hackern ausgenutzt wurden, hat viele Unternehmen tief getroffen. Nicht nur die großen, professionellen Hackergruppen waren hier tätig, sondern Kriminelle jeder Art, vom Profiteam bis zum Skript-Kiddy. Und sie alle waren erfolgreich. Überall! Bei großen Konzernen und kleinen Mittelständlern.

In der Cloud ist alles besser? Eine Geschichte über E-Mail-Server nach dem HAFNIUM-Angriff
In der Cloud ist alles besser? Eine Geschichte über E-Mail-Server nach dem HAFNIUM-Angriff

Dienstag, 6. Juli 2021

Internationale Datentransfers - Das How-To

Internationale Datentransfers - Das How-To

In den vergangenen Wochen haben wir uns am Datenschutz-Dienstag immer wieder mit internationalen Datentransfers befasst - was das ist, wer betroffen ist und was die betroffenen Unternehmen nun tun sollten. Erläutert an bekannten und weit verbreiteten Beispielen wie Microsoft365 und Mailchimp. Heute wollen wir etwas genereller an die Sache herangehen - in Form eines How-To's. Schritt für Schritt erklären wir Ihnen, wie Sie internationale Datentransfers im Unternehmen finden, analysieren und dokumentieren.

Internationale Datentransfers- Aber wie
Internationale Datentransfers

Und was es auf dem Weg alles zu beachten und zu entscheiden gibt.

Dienstag, 29. Juni 2021

Internationale Datentransfers - Dokumentieren statt abschaffen! Am Beispiel Mailchimp

Internationale Datentransfers - Dokumentieren statt abschaffen! Am Beispiel Mailchimp

Bereits am Datenschutz-Dienstag letzte Woche haben wir  über die derzeit laufende bundesweite Überprüfung internationaler Datentransfers am Beispiel Microsoft 365 berichtet. Heute möchten wir nochmal darauf eingehen, dass das radikale Abschaffen aller internationalen Dienste weder praktikabel noch notwendig ist. In vielen Fällen kann die Zusammenarbeit mit dem bewährten Partner fortgeführt werden - wenn die Datenverarbeitungsprozesse rechtskonform gestaltet und vollständig dokumentiert sind.


Werbeversprechen: "Mit Mailchimp ist DSGVO‑Konformität einfach" - Laut BayLDA eher nein?!

Werbeversprechen: "Mit Mailchimp ist DSGVO‑Konformität einfach" - Laut BayLDA eher nein?!

Im Folgenden erläutern wir nochmals, worauf es bei der Gestaltung und Dokumentation internationaler Datentransfers ankommt:

Dienstag, 22. Juni 2021

Microsoft 365 rechtskonform einsetzen - Auf die Konfiguration kommt es an!

Seit dem Fall des "Privacy Shield" im vergangenen Sommer geistern viele Gerüchte durch die Datenschutzwelt: Die Einen behaupten, eine Zusammenarbeit mit US-Anbietern wie z.B. Microsoft sei jetzt komplett rechtswidrig und müsse sofort gestoppt werden. Die Anderen sagen, es gäbe überhaupt kein Problem. Man könne ja nicht einfach den Betrieb einstellen". Was ist wirklich Sache? Was müssen gerade mittelständische Unternehmen tun, um weiter Microsoft 365 einsetzen zu können?


Microsoft 365 rechtskonform einsetzen
Microsoft 365 rechtskonform einsetzen - Auf die Konfiguration kommt es an

Auf diese Fragen soll unser Blogbeitrag knappe und verständliche Antworten geben. Nicht theoretisch, sondern ganz praktisch anhand der Fragen, die uns unsere vielen Kunden aus dem Mittelstand in den letzten Wochen und Monaten gestellt haben. Eben Datenschutz von Praktikern für Praktiker.

Dienstag, 15. Juni 2021

Datentransfer in die USA – Eine Dauerbaustelle? Oder ein akuter Flächenbrand?!

Die EU-DSGVO gilt seit nunmehr drei Jahren. Ihr wesentlicher Zweck besteht darin, Rechtssicherheit im Datenschutz zu bewirken. Für Datentransfers in die USA ist dies bisher nicht gelungen. Hier liegt aktuell große Herausforderung für deutsche Unternehmen.


Datenschutz-Aufsichtsbehörden kontrollieren den Datentransfer in die USA
Datenschutz-Aufsichtsbehörden kontrollieren den Datentransfer in die USA

Ohne Übermittlungen in die USA geht kaum etwas

Die meisten Unternehmen können gar nicht anders, als personenbezogene Daten in die USA zu übermitteln. Manche gehören zu einem Konzern mit einer Konzernmutter in den USA und müssen deshalb dorthin berichten...

Freitag, 4. Juni 2021

Achtung Kontrolle - Landesdatenschutzbeauftragte verschicken Fragebögen zu internationalen Datentransfers

Anfang Juni 2021 haben die Datenschutzaufsichtsbehörden länderübergreifend koordiniert mit der Kontrolle der internationalen Datentransfers bei deutschen Unternehmen begonnen. Überprüft werden Datenübermittlungen durch Unternehmen in sogenannte "Drittstaaten" außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums. Es drohen Untersagungsverfügungen und Bußgelder.

Ziel dieser koordinierten Prüfung ist die breite Durchsetzung der Anforderungen des Europäischen Gerichtshofs EuGH in dessen Schrems-II-Entscheidung vom 16. Juli 2020. Darin hatte das Gericht festgestellt, dass Übermittlungen in die USA nicht länger auf Basis des sogenannten "Privacy Shields" erfolgen können (Wir berichteten hier).

Achtung Kontrolle - Landesdatenschutzbeauftragte verschicken Fragebögen zu internationalen Datentransfers
Achtung Kontrolle - Landesdatenschutzbeauftragte verschicken Fragebögen zu internationalen Datentransfers

Montag, 3. August 2020

Was sagen die Aufsichtsbehörden zum Aus für das Privacy Shield? Ein erster Überblick...

Um unsere Empfehlung an unsere Leser aus unserem Post vom 18.07.2020, erstmal vorbereitet zu sein und Aktivität zu zeigen, zu unterstreichen, haben wir uns für Sie die bisherigen Reaktionen des Bundesdatenschutzbeauftragten und der Landesdatenschutzbeauftragten überprüft.

Ergänzung zum Post vom 18.07.2020: Unternehmer-Tipps nach dem Aus für das "Privacy Shield" zwischen der EU und den USA.

Das EuGH-Urteil hebt zwar nur den EU-US Privacy Shield auf, aber auch Standardvertragsklauseln sind bei Transfers an Stellen in den USA kritisch, und es muss überprüft werden, ob der Datenimporteur die Auflagen des Vertragswerks einhalten kann.

Hier ein Überblick. Zwei Wochen nach dem Aus für das Privacy Shield am 16.07.2020 gibt es von Seiten der Bundes- und Landesdatenschutzbeauftragten noch nicht viel Anwendbares für die Verantwortlichen der Unternehmen in Deutschland und uns Datenschutzbeauftragte.

Schlimmer noch: Die Aufsichtsbehörden vertreten zur Zeit noch uneinheitliche Auffassungen zur Prüfpflicht der Verantwortlichen. So sieht Rheinland-Pfalz eine Prüfpflicht der Verantwortlichen, Hamburg hingegen sieht die Prüfpflicht eher bei den Aufsichtsbehörden. Thüringen sieht die Prüfpflicht sowohl bei den Verantwortlichen als auch bei den Aufsichtsbehörden.

Was sagen die Aufsichtsbehörden zum Aus für das Privacy Shield?

Der Bundesdatenschutzbeauftragte BfDI Dr. Kelber

Samstag, 18. Juli 2020

Unternehmer-Tipps nach dem Aus für das "Privacy Shield" zwischen der EU und den USA

Der Europäische Gerichtshof (EuGH) hat am Donnerstag 16.07.2020 im sogenannten "Schrems II"-Urteil entschieden: Für uns als Beobachter der Datenschutz-Rechtsprechung wenig überraschend wurde das „Privacy Shield“-Abkommen zwischen der EU und den USA für ungültig erklärt. Im Ergebnis sind nun Übertragungen von personenbezogen Daten im unternehmerischen Kontext zwischen der EU und den USA größerer Rechtsunsicherheit unterworfen. Lesen Sie hier, wie Sie mit der aktuellen Situation am besten umgehen.


Hintergründe für das Aus für das "Privacy Shield"


Um zu verstehen, wie Datenübertragungen in Nicht- EU-Länder funktionieren, sollte man sich das Konzept des Angemessenheitsbeschlusses und die Standarddatenschutzklauseln (auch als Standardvertragsklauseln bekannt) anschauen.

Tipps vom yourIT-Datenschutz-Team nach dem Aus für das "Privacy-Shield"
Tipps vom yourIT-Datenschutz-Team nach dem Aus für das "Privacy-Shield"

Aus Sicht eines Nicht-EU-Landes ist ein Angemessenheitsbeschluss ein gute Sache, da in ihm die EU-Kommission dem Land bescheinigt, eine Datenschutzrechtssystem mindestens auf dem Niveau der EU-DSGVO zu haben. Damit können viele Rechtsinstrumente der EU-DSGVO angewandt werden, insbesondere auch die Auftragsverarbeitung gemäß Artikel 28 EU-DSGVO.


Montag, 22. Mai 2017

EU-Datenschutz-Experten empfehlen: Raus aus den US-Clouds!

US-Präsident Donald Trump war kaum im Amt, als er am 25. Januar 2017 direkt den Datenschutz für Europäer in Frage gestellt. Datenschutz-Experten aus der EU raten daher Unternehmen aus der EU, Cloud-Produkte nur noch von Europäischen Anbietern zu nutzen.


Deutsche und alle übrigen Europäer sind für den US-Präsidenten ganz offensichtlich Internetnutzer zweiter Klasse. Per Dekret vom 25. Januar erklärte er, dass Nicht-US-Bürger vom US-amerikanischen Datenschutzrecht auszuschließen oder zumindest ihre Rechte diesbezüglich einzuschränken sind, "soweit dies mit geltendem Recht vereinbar ist".

Der Datentransfer zwischen der EU und der USA auf Basis des Privacy Shield steht seither unter europäischem Beschuss. Das Privacy Shield ist als Nachfolger des Vorgängers Safe Harbor seit dem 12. Juli 2016 in Kraft und war von Anfang an umstritten. Es sollte eigentlich den EU-US-Datenaustausch für europäische Unternehmen mit US-Dienstleistern vereinfachen, die sich zu den darin notierten Prinzipien und organisatorischen Vorgaben bekennen. Ob sich damit aber tatsächlich ein "angemessenes Datenschutzniveau" sicherstellen lässt, das die Grundvoraussetzung für einen Datenaustausch mit anderen Unternehmen darstellt, gilt als unsicher.

EU-Datenschutz-Experten empfehlen: Raus aus den US-Clouds!
EU-Datenschutz-Experten empfehlen: Raus aus den US-Clouds!


EU-Datenschützer befürchten nun , dass der Privacy Shield unter Trump von den USA gekündigt oder zumindest nicht ernst genommen werden könnte. Wieder einmal steht der Datenaustausch europäischer Unternehmen mit Dienstleistern aus den USA unter Kritik.

Wie die Deutsche IT-Branche von diesem Streit profitieren wird


Viele deutsche Unternehmen stehen derzeit vor der Entscheidung, ob sie die nächste Server-Generation noch im eigenen Serverraum betreiben wollen oder direkt in die Cloud wechseln. Zur Zeit-Überbrückung sollen aus dem Service laufende Server länger betrieben werden. Dies zeigen z.B. die seit November 2014 stark gestiegenen Zugriffsraten auf den Blogbeitrag zum Thema "Lebensdauer Server" des IT-Dienstleister yourIT aus Hechingen.

Zusätzlich sind deutsche Unternehmen derzeit dabei, die Vorbereitung für die EU-Datenschutzgrundverordnung zu treffen, die ab dem 25. Mai 2018 gelten wird.

Unternehmen, die künftigen Ärger mit dem Datenschutz vermeiden möchte, tun gut daran, sich jetzt ausschließlich auf europäische oder noch besser deutsche Cloud-Dienstleister einzulassen, die direkt der EU-DSGVO unterliegen. Mit diesen ist relativ einfach eine Vereinbarung zur Auftragsverarbeitung machbar. Außerdem setzt die EU-DSGVO auf eine Zertifizierung der Auftragsverarbeiter.

Für Online-Backup, Cloud-Speicher, E-Mail, Kalender, Messaging und viele andere Dienste gibt es inzwischen gute Alternativen europäischer Dienstleister zu Dropbox, Google & Co. Sprechen Sie mit den Cloud- und Datenschutz-Experten von yourIT. Wir empfehlen Ihnen gerne datenschutzkonforme Produkte deutscher und europäischer Anbieter.

Das könnte Sie auch interessieren:


Datenschutz-Dienstag, 13. Juli 2021
In der Cloud ist alles besser? Eine Geschichte über E-Mail-Server nach dem HAFNIUM-Angriff

Datenschutz-Dienstag, 06. Juli 2021
Internationale Datentransfers - Das How-To

Datenschutz-Dienstag, 29. Juni 2021
Internationale Datentransfers - Dokumentieren statt abschaffen! Am Beispiel Mailchimp

Datenschutz-Dienstag, 22. Juni 2021
Microsoft 365 rechtskonform einsetzen - auf die Konfiguration kommt es an!

Datenschutz-Dienstag, 15. Juni 2021
Datentransfer in die USA – eine Dauerbaustelle? Oder ein akuter Flächenbrand?!

Freitag, 4. Juni 2021
Achtung Kontrolle - Landesdatenschutzbeauftragte verschicken Fragebögen zu internationalen Datentransfers

Donnerstag, 8. April 2021
Office 365: Was sagt der Datenschutz?

Montag, 3. August 2020
Was sagen die Aufsichtsbehörden zum Aus für das Privacy Shield? Ein erster Überblick...

Samstag, 18. Juli 2020
Unternehmer-Tipps nach dem Aus für das "Privacy Shield" zwischen der EU und den USA

Freitag, 14. Juni 2019
EU-DSGVO - Das sollten Unternehmen bei der Nutzung von Public-Cloud-Diensten aus den USA beachten

Donnerstag, 9. Februar 2017
Was ist der Privacy Shield?

Freitag, 19. Mai 2017

Google Analytics als Auftragsdatenverarbeiter - Was Unternehmen als Nutzer jetzt beachten sollten

Der Einsatz von Google Analytics durch deutsche Unternehmen befindet sich derzeit erneut im Focus des Hamburgischen Beauftragten für Datenschutz und Informationssicherheit (HmbBfDI) und anderer Landesdatenschutzbeauftragter. Das kostenlose Analyse-Produkt des amerikanischen Software-Herstellers Google findet sich massenhaft im Einsatz - auch auf den Websites und Blogs vieler deutscher Unternehmen.


Wieso ist Google Analytics im Datenschutz-Focus?


Da IP-Adressen in Deutschland als personenbezogene Daten gelten und Google beim Einsatz von Google Analytics auf den Websites und Blogs Ihres Unternehmens mit den IP-Adressen der Besucher eben dieser Seiten in Kontakt kommt und diese verarbeitet, handelt es sich hierbei um eine Auftragsdatenverarbeitung im Sinne von § 11 BDSG.

Der Hamburgische Datenschutzbeauftragte war bereits bisher federführend in Bezug auf erforderliche Regelungen bei Verwendung von Google Analytics. Dieser sah es nun als erforderlich an, sich erneut mit der Prüfung von Google Analytics zu befassen.

Als Ergebnis wurde ein neues Hinweisblatt zur Verwendung von Google Analytics erarbeitet. Dieses kann bei yourIT jetzt kostenlos bezogen werden. Schreiben Sie uns hierzu einfach eine kurze Nachricht mit dem Stichwort "Datenschutz Google Analytics".

Die Überarbeitung bezieht sich in erster Linie auf eine Klausel im bisherigen Vertrag zur Auftragsdatenverarbeitung, die auf das Safe-Harbor-Abkommen verwies, welches bekanntlicherweise bereits am 06.10.2015 durch eine Entscheidung des EuGH außer Kraft gesetzt worden war.

Google hat sich zwischenzeitlich nach dem Privacy Shield zertifizieren lassen und seinen Vertrag zur Auftragsdatenverarbeitung entsprechend angepasst.

Auch andere Landesdatenschutzbeauftragte stellen Anforderungen zu Google Analytics


Briefkopf Der Beauftragte für den Datenschutz Baden-Württemberg
Briefkopf Der Beauftragte für den Datenschutz Baden-Württemberg


Wie wir aus sicherer Quelle wissen, stellt auch der Landesbeauftragte für den Datenschutz Baden-Württemberg derzeit Unternehmen Fragen zum Einsatz zu Google-Analytics. Wir zitieren aus einem uns vorliegenden Anschreiben:

"[...] Aus der Datenschutzerklärung geht bezüglich der Verwendung von Google Analytics nicht hervor, ob ein Vertrag mit Google nach § 11 BDSG im Sinne der Auftragsdatenverarbeitung besteht und in welcher Art und Weise die IP-Adresse übermittelt wird. Ist dies der Fall und werden die hinteren Ziffern der IP-Adresse anonymisiert? [...]"



Auszug Anschreiben Beauftragte für den Datenschutz Baden-Württemberg zu Google Analytics
Auszug Anschreiben Beauftragte für den Datenschutz Baden-Württemberg zu Google Analytics

Die EU-DSGVO wird vermutlich noch eins drauf setzen...


Es ist zu erwarten, dass sich bei In-Kraft-Treten der EU-Datenschutzgrundverordnung (EU-DSGVO) zum 25.05.2018 erneut Änderungen hinsichtlich der Verwendung von Google Analytics ergeben werden.

Unternehmen, die Google Analytics auf ihren Websites und Blogs einsetzen, sollten
  1. jetzt eine Vereinbarung zur Auftragsdatenverarbeitung mit Google abschließen und 
  2. die Änderungen durch die kommende EU-DSGVO im Auge behalten.
Nutzen Sie jetzt unsere Erfahrung und unser Knowhow aus 10 Jahren externer Datenschutzberatung.

Fazit: Vereinbarung zur Auftragsdatenverarbeitung mit Google Analytics jetzt!


Holen Sie sich jetzt von uns kostenlos unser Hinweisblatt zu Google Analytics. Schreiben Sie uns hierzu einfach eine kurze Nachricht mit dem Stichwort "Datenschutz Google Analytics". Sie erhalten von uns ein Hinweisblatt zur konkreten Vorgehensweise sowie die aktuelle Version des Vertrages zur Auftragsdatenverarbeitung mit Google Ireland Ltd. in Dublin.

Brief an Google mit Inhalt Vereinbarung zur Auftragsdatenverarbeitung
Sie müssen die Vereinbarung zur Auftragsdatenverarbeitung mit Google dann nur noch kurz ausfüllen, unterschreiben und ab die Post!

Achtung: Neben der Vereinbarung sind weitere Schritte zu unternehmen. Gerne unterstützen wir Sie dabei.

Wie wir von yourIT Sie als Google-Analytics-Anwender unterstützen können


Unser gefördertes Beratungspaket "Datenschutzkonzept" enthält neben einigen anderen Dingen auch die Erhebung der Liste der Auftragsdatenverarbeiter und die Überprüfung der bisherigen Vertragsstände.

yourIT Beratungspaket Datenschutzkonzept für Sie als Auftraggeber

Vorteil für mittelständische Unternehmen: Unser Beratungspaket "Datenschutzkonzept" wird gefördert mit Mitteln aus dem Europäischen Sozialfonds. Sie erhalten bis zu 1.500 EUR Fördermittel.

Worauf warten Sie noch? Vereinbaren Sie jetzt einen kostenlosen Kennenlerntermin.

Ich freue mich auf Ihre Anfragen. Fordern Sie uns! Wir beraten Sie gerne.

Ihr Thomas Ströbele, Telefon 07471/930100

Thomas Ströbele

Sie möchten bei neuen Entwicklungen im Bereich Datenschutz & IT-Sicherheit informiert werden?


Dann tragen Sie sich einfach hier in unseren Newsletter ein.

Donnerstag, 9. Februar 2017

Was ist der Privacy Shield?

Wer in einem Unternehmen arbeitet, das Daten in die USA übermittelt, muss ihn kennen. Aber auch jeder Normalbürger sollte zumindest einmal davon gehört haben. Die Rede ist vom Privacy Shield, auf Deutsch etwa „Schutzschild für das Persönlichkeitsrecht“. Er kann seit dem 1. August 2016 genutzt werden. Viele Unternehmen hatten dringend darauf gewartet. Lesen Sie hier, weshalb...


Eine Herausforderung: Datenübermittlungen in die USA


Will ein Unternehmen Daten von Kunden oder auch Daten von Mitarbeitern an ein US-Unternehmen übermitteln, geht das nicht „leicht und locker“. Und zwar auch dann nicht, wenn es sich bei dem US-Unternehmen beispielsweise um die „US-Mutter“ handelt.

Bekanntlich gehören die USA nicht zur EU. Deshalb erlauben die EU-Regelungen zum Datenschutz den Transfer von Daten in die USA nur dann, wenn dort ein angemessenes Datenschutzniveau herrscht. Was als angemessen anzusehen ist, bestimmt sich dabei natürlich nach den Vorstellungen der EU.

Datenschutz, yourit, Privacy Shield
Datenschutz, yourit, Privacy Shield

Datenschutz in den USA: durchaus, aber ...


Damit beginnen in der Praxis die Probleme. Zwar gibt es in den USA sehr wohl Datenschutzvorschriften. Deshalb sollte man gegenüber Kollegen aus den USA auch nie zu überheblich davon sprechen, die USA würden sowieso keinen Datenschutz kennen.

Nur zu schnell kann es einem sonst passieren, dass diese Kollegen etwa auf Regelungen hinweisen, die die Daten von Kindern ganz besonders schützen. Die Abkürzung hierfür heißt COPPA (Children's Online Privacy Protection Rule) und ist auch den meisten Durchschnitts-Amerikanern bekannt.

Die US-Regelungen setzen die Schwerpunkte aber ganz anders als die Vorschriften der EU. Manche Aspekte des Datenschutzes, die in Europa ganz hoch gehalten werden, gelten in den USA kaum etwas.

Langer Rede kurzer Sinn: Ein Datenschutzniveau, das nach den Vorstellungen der EU generell als angemessen anzusehen wäre, existiert in den USA nicht.

Individuelle Einwilligungen: nur theoretisch denkbar


Wie soll ein Unternehmen damit umgehen? Nun, es könnte beispielsweise jeden einzelnen Betroffenen um seine Einwilligung bitten und seine Daten erst dann übermitteln. Theoretisch wäre das denkbar. In der Praxis funktioniert das aber schon wegen des Aufwands nicht. Deshalb wählt der neue Privacy Shield einen anderen Ansatz.

Der besondere Ansatz von Privacy Shield:


  •  Ein US-Unternehmen, das personenbezogene Daten aus der EU erhalten soll, verpflichtet sich dazu, umfangreiche Spielregeln für den Datenschutz einzuhalten. Sie sind unter dem Begriff „Privacy Shield“ zusammengefasst.
  • Diese Verpflichtung erfolgt gegenüber den zuständigen US-Behörden. Das ist meist die Federal Trade Commission (FTC), eine Verbraucherschutzbehörde.
  • Der Inhalt der Spielregeln ist zwischen dem US-Handelsministerium (Depart-ment of Commerce) und der Europäischen Kommission abgestimmt.
  • Ist ein US-Unternehmen eine solche Verpflichtung eingegangen, gilt das Datenschutzniveau in diesem Unternehmen auch seitens der EU als angemessen.
  • Die positive Folge für die europäischen Geschäftspartner solcher US-Unternehmen: Sie dürfen personenbezogene Daten an dieses Unternehmen unter denselben Voraussetzungen übermitteln, unter denen dies auch innerhalb der Europäischen Union zulässig wäre.

Keine Einwilligung der Betroffenen nötig


Die Betroffenen müssen nicht gefragt werden, ob sie damit einverstanden sind. Sie müssen aber in geeigneter Weise informiert werden. Dabei sind viele Einzelheiten zu beachten, um die sich die Spezialisten in den Unternehmen kümmern. In Deutschland sind dies die Datenschutzbeauftragten der Unternehmen.

Erinnern Sie sich noch an Safe Harbor? 


Manchem wird dieses Vorgehen irgendwie bekannt vorkommen. Völlig zu Recht! Ziemlich ähnlich lief dies auch schon bei den Safe-Harbor-Regelungen ab. Sie hatten sich über zehn Jahre lang beim Transfer von Daten aus der EU in die USA bewährt, jedenfalls aus der Sicht der meisten Unternehmen.

Allerdings hatte der Europäische Gerichtshof diese Regelungen im Oktober 2015 aus verschiedenen Gründen gekippt. Das geschah gewissermaßen über Nacht, also ohne jede Übergangsfrist. Deshalb waren neue Regelungen, wie sie der Privacy Shield nun vorsieht, dringend erforderlich.
Etwas vereinfacht lässt sich sagen: Der Inhalt des Privacy Shield ist neu und wesentlich ausgefeilter, als es die Regelungen von Safe Harbor waren. Der Verfahrensablauf ist aber ziemlich ähnlich.

Gegen die Spielregeln verstoßen? Lieber nicht!


Wie sieht es übrigens damit aus, dass sich die Unternehmen auch wirklich an die Spielregeln halten, zu denen sie sich verpflichtet haben? Die Chancen dafür stehen gut. Jeder weiß, wie kräftig US-Behörden bei Rechtsverstößen zupacken können. Und das gilt nicht nur, wenn es um Verstöße gegen Abgasregelungen geht. Auch Datenschutzverstöße von US-Unternehmen haben die amerikanischen Behörden schon schwer geahndet. Gehen Sie also davon aus: Privacy Shield ist ernst gemeint!

Als Experten im Bereich Datenschutz & Informationssicherheit unterstützen wir Sie gerne bei der Überprüfung Ihrer Dienstleister.

Wie das mit dem Privacy Shield am Beispiel Google Analytics aussieht, haben wir Ihnen hier zusammengestellt.


Das könnte Sie auch interessieren:


Datenschutz-Dienstag, 13. Juli 2021
In der Cloud ist alles besser? Eine Geschichte über E-Mail-Server nach dem HAFNIUM-Angriff

Datenschutz-Dienstag, 06. Juli 2021
Internationale Datentransfers - Das How-To

Datenschutz-Dienstag, 29. Juni 2021
Internationale Datentransfers - Dokumentieren statt abschaffen! Am Beispiel Mailchimp

Datenschutz-Dienstag, 22. Juni 2021
Microsoft 365 rechtskonform einsetzen - auf die Konfiguration kommt es an!

Datenschutz-Dienstag, 15. Juni 2021
Datentransfer in die USA – eine Dauerbaustelle? Oder ein akuter Flächenbrand?!

Freitag, 4. Juni 2021
Achtung Kontrolle - Landesdatenschutzbeauftragte verschicken Fragebögen zu internationalen Datentransfers

Donnerstag, 8. April 2021
Office 365: Was sagt der Datenschutz?

Montag, 3. August 2020
Was sagen die Aufsichtsbehörden zum Aus für das Privacy Shield? Ein erster Überblick...

Samstag, 18. Juli 2020
Unternehmer-Tipps nach dem Aus für das "Privacy Shield" zwischen der EU und den USA

Freitag, 14. Juni 2019
EU-DSGVO - Das sollten Unternehmen bei der Nutzung von Public-Cloud-Diensten aus den USA beachten

Donnerstag, 9. Februar 2017
Was ist der Privacy Shield?

Samstag, 10. Oktober 2015

Safe Harbor durch EuGH-Urteil gestürzt

Wie personenbezogene Daten aus den Mitgliedsstaaten der EU an die USA weitergegeben werden dürfen, regelte die als "Safe Harbor" bezeichnete Übereinkunft der EU und der USA. Nun wurde dieses Abkommen vom Europäischen Gerichtshof (EuGH) aber als ungültig erklärt, mit direkten Auswirkungen auf den Datenschutz. Jeder, der Google Analytics oder Social-Media-Dienste in die eigene Website einbindet, kann nun abgemahnt werden. 


Sind Online-Unternehmen betroffen und was ist jetzt zu tun?


Was ist Safe Harbor und wofür steht das Abkommen?


Das "Safe Harbor"-Abkommen regelt den Datenaustausch zwischen der EU und den USA. Gemäß der Datenschutzrichtlinie 95/46/EG dürfen personenbezogene Daten von der EU nicht in Länder übermittelt werden, in denen kein gleichwertiges Schutzniveau existiert. Dies trifft auch auf die USA zu. Um den Datenverkehr dennoch zu ermöglichen, wurde im Jahr 2000 das Safe Habor Abkommen ausgehandelt. 

Safe Harbor durch EuGH-Urteil gestürzt
Safe Harbor durch EuGH-Urteil gestürzt


Unternehmen aus den USA konnten sich demnach in eine Liste des amerikanischen Handelsministeriums eintragen lassen und sich dadurch bereiterklären, die Prinzipien des Datenschutzes in der EU zu akzeptieren. Wer hier eingetragen war, wurde in Safe Harbor aufgenommen und durfte personenbezogene Daten aus der EU nutzen.

Warum das Abkommen durch den Europäischen Gerichtshof aberkannt wurde


Das Problem bei jeder Übermittlung personenbezogener Daten in die US-Staaten ist die Gefahr des Datenmissbrauchs. Unternehmen, Geheimdienste oder Cyber-Kriminelle können die Daten für Fremdzwecke missbrauchen, was nicht erst seit den Enthüllungen von Edward Snowden bekannt ist. Weil u.a. der Zugriff der US-Geheimdienste auf solche Daten die Standards von Safe Harbor verletzt, wurde das Abkommen für ungültig erklärt.

Update 16.07.2020: Ebenso erging es dem Nachfolger-Abkommen "Privacy-Shield".

Folgen für Unternehmen


Die digitale Vernetzung zwischen Europa und den USA ist sehr weitreichend. Europäische Firmen und Privatpersonen nutzen US-Dienste, wie Amazon, Google, IBM, Microsoft oder Social Media. Gerade Unternehmen, die Kundendaten an die USA übermitteln, sind von der EuGH-Entscheidung betroffen. Das gilt etwa für alle, die Social Plugins auf der eigenen Homepage einbinden, Google Analytics nutzen oder Daten bei US-Clouddiensten speichern. Nach dem neuen Urteil handelt jeder hierbei rechtswidrig. Unternehmen stehen in der Pflicht, nun zu reagieren. EU-Unternehmen, die US-Dienste nutzen, können abgemahnt werden. Die jüngsten Entwicklungen sollten nicht ignoriert werden. Datenschutzexperten empfehlen, Anbieter aus der EU anstatt Anbieter aus den USA zu nutzen oder ausschließlich US-Dienste zu verwenden, die mit auf den europäischen Datenschutz abgestimmten Verträgen arbeiten. Dies trifft etwa auf Microsoft und Amazon zu.

Was nun zu tun ist


Wie Unternehmen nun reagieren sollten, welche Alternativen es zu klassischen US-Diensten gibt und wie die Datenverarbeitung in der EU bleibt, sind Themen, mit denen sich Online-Unternehmen nun beschäftigen sollten. 

Hierbei unterstützt Sie ein auf Datenschutz & Informationssicherheit spezialisierter IT-Dienstleister bei der Umgestaltung Ihrer Datenverarbeitung - wie z.B. die yourIT GmbH aus Balingen. 

Lassen Sie sich beraten und machen Sie z.B. Ihre Webpräsenz abmahnsicher.