Datenschutz: Sargnagel für EU Standard-Datenschutzklauseln hinsichtlich der USA

Die datenschutzrechtliche Lage hinsichtlich der US-Datentransfers spitzt sich seit dem EuGH-Urteil Az. C311/18 vom 16.07.2020 beständig zu.

Am 21.06.2021 haben die deutschen Aufsichtsbehörden einer Pressemeldung die Sachlage klipp und klar beschrieben:

„In seinem Urteil "Schrems II" hat der Europäische Gerichtshof das Datenschutzniveau in den USA im Detail geprüft und für unzureichend befunden. Im Fall von Datenübermittlungen in die USA sind daher regelmäßig ergänzende Maßnahmen erforderlich, die einen Zugriff der US-Behörden auf die verarbeiteten Daten verhindern. Solche Maßnahmen sind allerdings nur für wenige Fälle denkbar.“

Welche Fälle von US-Datentransfers wären denn noch denkbar? Die deutschen Aufsichtsbehörden lassen dies offen, aber vermutlich wäre es z.B. machbar, dass man lokal verschlüsselte Daten (z.B. Backups) auf US-Servern speichert. Hier wären die EU-Standardvertragsklauseln also anwendbar (sofern die Backup-Daten personenbezogene Daten beinhalten, die dies erforderlich machen).

Aber was ist mit allen anderen Fällen, wie Videokonferenzen, Website-Technologien und bei US-Anbietern gehostete E-Mail- und Groupware-Server?

Die deutschen Aufsichtsbehörden verweisen explizit auf die Empfehlungen zu den "ergänzenden Maßnahmen" des EDPB (European Data Protection Board), welches am 18.06.2021 hier eine 48-seitige Empfehlung erarbeitet (die wir hier mittels www.deepL.com automatisiert ins Deutsche übersetzt haben). Dort ist zu lesen:

Allem Voran gehört die wirksame Verschlüsselung zu diesen Maßnahmen, sofern gemäß Randnummer 84 sichergestellt ist, dass "die Schlüssel ausschließlich unter der Kontrolle des Datenexporteurs […] aufbewahrt [werden…]". Aber auch eine wirksame Pseudonymisierung ist gemäß Randnummer 85 möglich.

Eine ganz klare Absage wird aber den technischen Gegebenheiten der typischen (US-) Clouddienste u.a. in Randnummer 94 und 95 erteilt:
"(94) Ein Datenexporteur übermittelt personenbezogene Daten, sei es durch elektronische Übermittlung oder durch Zurverfügungstellung an einen Cloud-Service-Provider oder einen anderen Auftragsverarbeiter, um personenbezogene Daten nach seinen Anweisungen in einem Drittland verarbeiten zu lassen (z. B. für die Bereitstellung von technischem Support oder jede Art von Cloud-Verarbeitung), und diese Daten sind nicht – oder können nicht – pseudonymisiert werden, wie in Anwendungsfall 2 beschrieben, oder verschlüsselt werden, wie in Anwendungsfall 1 beschrieben, weil die Verarbeitung den Zugriff auf Daten im Klartext erfordert. […]
[Hier] ist der EDSB nach dem derzeitigen Stand der Technik nicht in der Lage, sich eine wirksame technische Maßnahme vorzustellen, die verhindert, dass dieser Zugriff die Grundrechte der betroffenen Person beeinträchtigt. […]
(95) In den gegebenen Szenarien, in denen unverschlüsselte personenbezogene Daten für die Erbringung der Dienstleistung durch den Auftragsverarbeiter technisch notwendig sind, stellen Transportverschlüsselung und Data-at-rest-Verschlüsselung auch zusammengenommen keine ergänzende Maßnahme dar, die ein im Wesentlichen gleichwertiges Schutzniveau gewährleistet, wenn der Datenimporteur im Besitz der kryptografischen Schlüssel ist."
Das gleiche gilt für Geschäftsprozesse, wo US-Unternehmen der Zugriff auf Unternehmensdaten gewährt wird (beispielsweise der US-Konzernmutter), wie die Randnummern 96 und 97 erläutern.
In den Randnummern 98-143 werden noch zusätzliche vertragliche und organisatorische Maßnahmen erörtert, die aber nur sehr schwer einzuschätzen sind.

Es besteht also dringender Handlungsbedarf für europäische Unternehmer und Behörden, wie auch eine Entschließung der Datenschutzkonferenz aufzeigt.

Die Firma SecureDataService möchte diese Transformation unterstüzen und liefert einen Digitalisierungs-Leitfaden, der europäische Alternativen aufzeigt:

https://www.securedataservice.de/Digitalisierungs-Produkte.pdf

Das obige Dokument ist ein Ausschnitt aus dem Dokument-Portfolio des Datenschutz-Praxisleitfadens PrivazyPlan®, der für 295 € (brutto) erhältlich ist und monatlich aktualisiert wird.

Quellen:

EuGH-Urteil "Schrems II", Az. C311/18 vom 16.07.2020
Entschließung der Datenschutzkonferenz zur "Digitalen Souveränität der öffentlichen Verwaltung" am 22.09.2020
Empfehlung 01/2020 der EDBP zu "Recommendations on measures the supplement transfer tools to ensure compliance wicht EU level of protection of personal data – Version 2.0" am 18.06.2021
Pressemeldung der Datenschutzkonferenz zu "Ergänzende Prüfungen und Maßnahmen trotz neuer EU-Standardvertragsklauseln sind nötig" am 21.06.2021

Über SecureDataService

Die Firma SecureDataService bietet seit dem Jahr 2003 bewährte Lösungen für den betrieblichen Datenschutz.

Herr Nicholas Vollmer ist diplomierter Elektrotechniker (FH) und betreut zahlreiche klein- und mittelständische Unternehmen in ganz Deutschland.

Die Besonderheit seiner Arbeit ist dies systematische Aufarbeitung der Fachthemen, wie die folgenden Daten zeigen:

Seit 2005 fasst er die typischen Fragen der Unternehmen im Praxishandbuch TOM-Guide® auf 550 Seiten zusammen.

Seit 2007 ist Herr Nicholas Vollmer ein vom TÜV Rheinland zertifizierter "Datenschutzauditor (TÜV)"

Seit 2007 betreibt Herr Vollmer mit dem DSB-Reporter® eine eigene Software zum Datenschutz-Managementsystem.

Seit 2010 betreibt der das Lizenzsystem DSB-MIT-SYSTEM® für Berufseinsteiger im Datenschutz.

Seit 2016 werden die ca. 50 Datenschutz-Pflichten im Praxisleitfaden PrivazyPlan® beschrieben und angeleitet (mit monatlicher Aktualisierung).

Seit 2020 wird der lösungsorientierte Ansatz GVO-IM-GRIFF® entwickelt, um den Datenschutz aber auch in Kleinstbetriebe tragen zu können.

Seit 2020 ist das Datenschutz-Managementsystem von SecureDataService gemäß der VdS-Richtlinie 10010 zertifiziert.

"Ganz nebenbei" stellt Herr Vollmer kostenfrei im Internet viele wertvolle Informationsportale zur Verfügung:

privacy-regulation.eu – Der Wortlaut der DS-GVO in allen europäischen Sprachen bdsg2018.de – Der Wortlaut des neuen Bundesdatenschutzgesetzes ttdsg.online – Der Wortlaut des neuen Telemedien und Telekommunikations-DS-Gesetzes eu-scc.info – Der Wortlaut der neuen EU-Standardvertragsklauseln übersichtlich formatiert und kommentiert

Aktuell steht insbesondere der Vertrieb des PrivazyPlan® im Vordergrund, denn dieses Werk sucht seinesgleichen im Verständnis und der Realisierung der EU Datenschutz-Grundverordnung.

Firmenkontakt und Herausgeber der Meldung:

SecureDataService
St.-Johannes-Str. 112
41849 Wassenberg
Telefon: +49 (2432) 93 44 20 – 0
https://www.SecureDataService.de

Ansprechpartner:

Nicholas Vollmer
Telefon: +49 (2166) 96523-30
E-Mail: n.vollmer@securedataservice.de

Weiterführende Links

Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.