:quality(80)/p7i.vogel.de/wcms/08/c4/08c4c1acaf47f600691dd605db5cd35b/0114958433.jpeg "Das sind die Gewinner der Storage-Insider Readers' Choice Awards 2023. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/32/af/32af68c76bfa25c440c69253ca98ce41/0114109630.jpeg "Storage-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/af/3d/af3de6ad104f6e703fa211f6487e6595/0107845077.jpeg "Im Rahmen einer festlichen Abendgala wurden am 20. Oktober 2022 die Gewinner der diesjährigen IT-Awards gekürt. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/16/26/1626dac9b4d82bb34d1c5700378bb35e/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/9f/50/9f50450053b9299006535757db4bc1f2/0115455615.jpeg "Backup-Risiken auf dem Radar: NovaStor will Potentiale zur Verbesserung aufzeigen. (Bild: ©Petrovich9, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/d0/6b/d06bf2782c5dd258595ff4784cb74289/0115364251.jpeg "Storage-Insider befragte den neuen Geschäftsführer der Synology GmbH Chad Chiang zu seinen ersten Maßnahmen. (Bild: Synology)")
:quality(80)/p7i.vogel.de/wcms/28/00/28006286f1790aae61f9c6125893ed96/0115206741.jpeg "Die Freeware AOMEI Backupper Standard ist ein wertvolles Tool für die Datensicherung. (Bild: ©kutubQ, Getty Images Signature via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/c1/56/c156324750f322441f874f59f3b2661d/0115441750.jpeg "Die NVMe SSD 990 von Samsung kommt nun in einer Variante mit 4 TB Speicherkapazität und massivem Kühlkörper. (Bild: Samsung)")
:quality(80)/p7i.vogel.de/wcms/b6/25/b625430b1e917458e40b6f3fbea04b79/0115202785.jpeg "PassMark DiskCheckup überwacht Datenträger – auch in Echtzeit. (Bild: ©kyoshino, Getty Images Signature via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/5a/d3/5ad3f1f7f8b365374305dc8be779bcac/0115058690.jpeg "Eine große Menge an Daten kann schnell für Chaos sorgen. Datenmanagement hilft. (Bild: Canva)")
:quality(80)/p7i.vogel.de/wcms/1b/39/1b3971271ef27421143467f1c108f071/0115120954.jpeg "Morgenröte für Qumulo in der Cloud: Die neueste Version von Azure Native Qumulo soll besser skalierbar und um 80 Prozent günstiger sein als vergleichbare Storage-Services für große Datenmengen. Die Untergrenze liegt bei 100 TB. (Bild: Marco Attano - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/4b/164bd3bd83c8acd66837402a78d850fe/0115441221.jpeg "Mit Mediaflux Universal Data System will Arcitecta den Kunden ein Datenmanagement ohne Standortbeschränkungen und Hardware-Vorgaben ermöglichen. (Bild: ©Rick_Jo, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/b4/70/b470cac74125bad3f3dbbe396090c277/0113763718.jpeg "Durch den umfangreichen Einsatz hybrider Clouds werden vermehrt Faktoren wie einfaches und einheitliches Management für die Entscheidung zwischen verschiedenen Produkten, Diensten und Anbietern herangezogen. (Bild: Photocreo Bednarek - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7f/e6/7fe679fdfdcefc82a736920346c6bb85/0115294007.jpeg "Kasten K10 V6.5 bietet zahlreiche Verbesserungen in Sachen Cyberresilienz. (Bild: Kasten by Veeam)")
:quality(80)/p7i.vogel.de/wcms/ef/5c/ef5cfb3e00f62689b75c8e2126986381/0115312702.jpeg "HCI-Systeme führen die verfügbaren Ressourcen unter einer Abstraktionsschicht zusammen und verhindern Datensilos. (Bild: ©Funtap, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/34/31/343110642f327d2532ac73b95e10d9bd/0115403611.jpeg "Essenziell für Archivierungslösungen sind ein effizientes Datenmanagement und Funktionen zur Einhaltung der gültigen juristischen Vorschriften. (Bild: ©abluecup, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/38/86/388656d1f4dda41f12259d5e87aa5a48/0115097220.jpeg "Proxess will sensible Unterlagen mit seinem digitalen Geschäftsleitungsarchiv vor unberechtigten Zugriffen und Manipulationen schützen. (Bild: PROXESS)")
:quality(80)/p7i.vogel.de/wcms/51/d8/51d89a398907e76b88353ac1e3bf86e0/0114542268.jpeg "Die Kuppel des Bundestages. (© su)")
:quality(80)/p7i.vogel.de/wcms/a0/92/a09283877f03731321c73ae7058b46e9/0114141508.jpeg "Forscher des Fraunhofer IPA und Fraunhofer IME wollen einen biologischen Binder entwickeln, mit dem Holzreste mittels 3D-Druck zu neuen Naturstoffkomposit-Produkten verarbeitet werden können. (Bild: Fraunhofer IPA)")
:quality(80)/p7i.vogel.de/wcms/66/c1/66c1044e13b28975d99a6bf91ca7d25b/0115515131.jpeg "Gastkolumnistin Petra-Maria Grohs von Hitachi Vantara beschreibt, über welche Stellschrauben Unternehmen bezüglich des Energieverbrauches verfügen. (Bild: ©Savanevich Viktar via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/26/fc/26fc875f8f9c3fc15d80759c1b0c78ea/0115100533.jpeg "Nutanix hat mittels neuer Funktionen die Cyberresilienz seiner Cloud Platform erhöht. (Bild: Nutanix)")
:quality(80)/p7i.vogel.de/wcms/de/16/de16e2b16bd87ee1f6790d8a47162222/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/0a/63/0a6348b2b4fb421cada86145461d7628/0101801795.jpeg "Die wichtigsten IT-Fachbegriffe verständlich erklärt. (Bild: © aga7ta - Fotolia)")
:quality(80)/p7i.vogel.de/wcms/30/f6/30f6c028ac6242df263aa7a7717da994/0101801795.jpeg "Die wichtigsten IT-Fachbegriffe verständlich erklärt. (Bild: © aga7ta - Fotolia)")
:quality(80)/p7i.vogel.de/wcms/92/5c/925ca2061478637c55d098d48a279132/0101801795.jpeg "Die wichtigsten IT-Fachbegriffe verständlich erklärt. (Bild: © aga7ta - Fotolia)")
:quality(80)/p7i.vogel.de/wcms/ed/ee/edee6fd952b666892bd772e7161f7c52/0101801795.jpeg "Die wichtigsten IT-Fachbegriffe verständlich erklärt. (Bild: © aga7ta - Fotolia)")
:quality(80)/p7i.vogel.de/wcms/9a/ce/9ace4c7a23938049d1b1fc92f846c3b9/0101801795.jpeg "Die wichtigsten IT-Fachbegriffe verständlich erklärt. (Bild: © aga7ta - Fotolia)")
:quality(80)/images.vogel.de/vogelonline/bdb/1552300/1552323/original.jpg "Cloud-Speicher für Einsteiger – Microsoft OneDrive zusammen mit macOS und iOS nutzen. (©georgejmclittle - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1644500/1644561/original.jpg "Online-Speicher bei Web.de und GMX: So funktioniert die Verwaltung. (© stokkete - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1641800/1641842/original.jpg "All-Flash-Arrays versprechen unschlagbar niedrige Latenzen. (© pozdeevvs - stock.adobe.com)")
Datenübermittlung in die USA Was nach dem Ende des EU-US-Privacy-Shield zu tun ist
Mehrere Monate sind seit dem Urteil des Europäischen Gerichtshofes (EuGH) vergangen, welches das Ende von Privacy Shield besiegelt hat. Trotzdem scheint sich bei der Cloud-Nutzung noch nicht viel verändert zu haben. Cloud-Nutzer sollten nun umgehend aktiv werden, da es keine Schonfrist seitens der Aufsichtsbehörden gibt. Wir geben einen Überblick über die notwendigen Maßnahmen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/8f/608fcb6868b2f/logonew.png "Logonew.png (Scality Art of Scale)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
Privacy Shield ist Vergangenheit. Viele Cloud-Nutzer in Deutschland wissen das inzwischen, aber die Konsequenzen scheinen nicht richtig bewusst zu sein. So hatte der Europäische Gerichtshof (EuGH) mit dem Urteil in der Rechtssache C-311/18 „Schrems II“ klargestellt, dass personenbezogene Daten von EU-Bürgern nur an Drittländer außerhalb des Europäischen Wirtschaftsraums übermittelt werden dürfen, wenn sie in diesem Drittland einen im Wesentlichen gleichwertigen Schutz genießen wie in der EU. Für die USA hat der EuGH ein solches angemessenes Schutzniveau verneint.
Seit Monaten schon müssen die Unternehmen, die zum Beispiel Cloud-Dienste in den USA nutzen, reagieren. Der Bundesdatenschutzbeauftragte erklärte dazu: „Jeder Verantwortliche im Sinne des Datenschutzrechts ist jetzt aufgerufen, seine Datenübermittlungen in Drittländer und die hierfür genutzte Grundlage nach Kapitel V der DSGVO zu überprüfen.“
Datenübermittlungen in die USA, die bisher auf das EU-US Privacy Shield gestützt wurden, müssten nun durch eine Schutzmaßnahme nach Artikel 46 DSGVO abgesichert werden. Für Datenübermittlungen in die USA ist mit zusätzlichen Maßnahmen sicherzustellen, dass die personenbezogenen Daten auch im jeweiligen Drittland stets angemessen geschützt sind.
Darum müssen sich Cloud-Nutzer in der EU sofort kümmern. Der Europäische Datenschutzausschuss (EDSA) hatte klargestellt, dass es keine Schonfrist gibt, innerhalb der man weiterhin Daten in die USA übermitteln kann, ohne die Rechtsgrundlage für die Übermittlung prüfen zu müssen.
Auch in Zeiten der Corona-Pandemie kann und sollte man nicht darauf vertrauen, dass die Aufsichtsbehörden für den Datenschutz alle Prüfungen und Kontrollen ruhen lassen. Es besteht somit akuter Handlungsbedarf, wenn man sich um die Datenübermittlungen in die USA noch nicht umfassend gekümmert hat.
Was bei Datenübermittlungen in die USA geprüft werden muss
Die Aufsichtsbehörden für den Datenschutz haben inzwischen zahlreiche Hinweise veröffentlicht, was nun wie zu tun ist. Sehr anschaulich hat dies auch der Bundesdatenschutzbeauftragte dargestellt in seinem „Prüfschema Drittländertransfer“, das sehr zu empfehlen ist.
Aus diesem Prüfschema und den Veröffentlichungen des EDSA und einzelner Aufsichtsbehörden ergeben sich diese konkreten Aufgaben: Rechtsgrundlage prüfen, gegebenenfalls neue Rechtsgrundlage bestimmen oder aber Datenübermittlung einstellen, wenn Privacy Shield bisher die Grundlage war und keine neue Rechtsgrundlage gefunden werden kann.
Unter den möglichen neuen Rechtsgrundlage erscheinen viele Unternehmen die Standardvertragsklauseln als geeignet. Doch Vorsicht: Sofern Daten in Drittländer auf der Grundlage von Standardvertragsklauseln übermittelt werden sollen, muss der Verantwortliche bewerten, ob die Rechte der betroffenen Personen im Drittland ein gleichwertiges Schutzniveau wie in der EU genießen, so die Aufsichtsbehörden.
Im Fall der USA hat der EuGH ein gleichwertiges Datenschutzniveau wie in der EU verneint, so dass zusätzliche Maßnahmen zur Sicherstellung eines im Wesentlichen gleichwertigen Schutzniveaus ergriffen werden müssen, will man sich auf die Standardvertragsklauseln als Rechtsgrundlage für eine Datenübermittlung in die USA beziehen.
Denkbar sind rechtliche, technische oder organisatorische Maßnahmen. Die tatsächliche Wirksamkeit solcher Maßnahmen darf jedoch nicht durch die Rechtsordnung des Drittlandes beeinträchtigt werden, wie die Aufsichtsbehörden betonen.
Der Bundesdatenschutzbeauftragte sagte dazu: „Standardvertragsklauseln sind weiterhin eine mögliche Grundlage für den Datentransfer. Eine Übermittlung von Daten in die USA kann allerdings nur dann über Standardvertragsklauseln begründet werden, wenn zusätzliche Maßnahmen getroffen werden, die das gleiche Datenschutzniveau wie in der Europäischen Union gewährleisten. Dabei müssen die Umstände der Datentransfers von Fall zu Fall betrachtet werden. Das gilt auch für die Übermittlung in andere Länder.“
Welche Schritte zur Prüfung einer Datenübermittlung in die USA gehören
Wie aber prüft man, ob es eine gültige Rechtsgrundlage für eine Datenübermittlung in die USA gibt? Die wesentlichen Schritte sollen nun betrachtet werden.
Zuerst einmal müssen Unternehmen eine Bestandsaufnahme über Datenübermittlungen in die USA durchführen. Es folgt die Prüfung, auf welcher Rechtsgrundlage jeweils personenbezogene Daten in die USA übermittelt werden. Privacy Shield ist hier keine Option mehr.
Sofern Standardvertragsklauseln für die Datenexporte genutzt werden sollen, müssen verschiedene Fragen geklärt werden, wie die Aufsichtsbehörden unterstreichen: geeignete Garantien des Verantwortlichen oder des Auftragsverarbeiters, durchsetzbare Rechte und wirksame Rechtsbehelfe für die betroffenen Personen. Der Verantwortliche (also die Leitung des Unternehmens, die zum Beispiel eine Cloud in den USA nutzt) muss für den Einzelfall prüfen, ob das Recht des Drittlandes ein angemessenes Schutzniveau bietet und entsprechende zusätzliche Maßnahmen treffen beziehungsweise mit dem Datenimporteur vereinbaren.
Für das Drittland USA gilt: Der Verantwortliche muss zusätzliche Garantien bieten, die einen Zugriff durch die US-amerikanischen Geheimdienste effektiv verhindern und so die Rechte der betroffenen Personen schützen. Dies wäre etwa in folgenden Fällen denkbar, so zum Beispiel die Datenschutzaufsicht von Baden-Württemberg: Verschlüsselung, bei der nur der Datenexporteur den Schlüssel hat und die auch von US-Diensten nicht gebrochen werden kann, oder die Anonymisierung aller personenbezogenen Daten. Dabei ist allerdings zu prüfen und zu überlegen, ob die so geschützten Daten dann noch ihren Zweck erfüllen können. Ist das nicht der Fall, und es findet sich keine andere zusätzliche Schutzmaßnahme, darf die Datenübermittlung in die USA nicht erfolgen.
Wichtig: Für Datenübermittlungen, die auf Binding Corporate Rules gestützt werden, gilt das gleiche.
Nicht vergessen werden sollten die Aktualisierung der Dokumentation und der Informationspflichten: Im Verzeichnis von Verarbeitungstätigkeiten müssen Änderungen bei den Rechtsgrundlagen eingetragen werden. Außerdem müssen die Informationspflichten überprüft und gegebenenfalls aktualisiert werden, zum Beispiel bei Bedarf die Datenschutzerklärung auf der Website des Unternehmens. Die Überprüfung der Rechtmäßigkeit des Datentransfers in die USA muss für die zuständige Aufsichtsbehörde nachprüfbar dokumentiert sein.
An Aufsicht und an Kunden denken
Diese Überprüfungen, die zum Beispiel der Europäische Datenschutzbeauftragte Transfer Impact Assessments (TIAs) genannt hat, müssen erfolgen und dokumentiert sein, nicht nur für den Fall, dass die zuständige Aufsichtsbehörde anklopft und sehen will, ob die Datenübermittlungen in die USA auch eine gültige Rechtsgrundlage haben.
Auch die betroffenen Kunden, deren Daten in die USA übermittelt werden, haben Anspruch auf die Information, auf welcher Grundlage dies geschieht. Hat man hier keine rechtskonforme Antwort, können neben den Sanktionen der Aufsicht auch noch verärgerte Kunden die Folge sein, die durchaus sensibel sind, wenn es um den Datenschutz in der Cloud geht. Sanktionen riskieren und Kunden verlieren sollte man nicht in Kauf nehmen, sondern nun wirklich die Transfer Impact Assessments, also die Prüfungen der Datenübermittlung in die USA, angehen. Die Aufsichtsbehörden liefern viel Unterstützung, wie das genannte Prüfschema des Bundesbeauftragten zeigt.
(ID:47358635)
:quality(80)/p7i.vogel.de/wcms/c0/d1/c0d1ce87797d7fa90e957d747bf88699/0113657280.jpeg "Es ist und bleibt schwierig: Datentransfer in Drittländer außerhalb der EU – trotz Data Privacy Framework und der Einrichtung europäischer bzw. deutscher Cloud-Regionen durch US-Anbieter. (Bild: mixmagic - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/37/0e37f8ed675d79989775f3c4d5ed076c/0109715846.jpeg "Datenschutz bei Websites lässt sich nicht auf die Cookie-Problematik reduzieren. Das Thema ist so vielschichtig wie die Gestaltung und der Betrieb von Webseiten. (Bild: Rutmer - stock.adobe.com)")