{"id":15460,"date":"2021-06-15T17:31:07","date_gmt":"2021-06-15T15:31:07","guid":{"rendered":"https:\/\/www.retarus.com\/blog\/de\/?p=15460"},"modified":"2024-04-15T13:32:24","modified_gmt":"2024-04-15T11:32:24","slug":"max-schrems-im-fireside-talk-ueberpruefen-sie-ihre-dienstleister","status":"publish","type":"post","link":"https:\/\/www.retarus.com\/blog\/de\/max-schrems-im-fireside-talk-ueberpruefen-sie-ihre-dienstleister\/","title":{"rendered":"Max Schrems im Fireside-Talk: \u00dcberpr\u00fcfen Sie Ihre Dienstleister"},"content":{"rendered":"\n

Beim dritten Fireside-Talk von Privacy Provided mit dem \u00f6sterreichischen Juristen und Datenschutz-Aktivisten Max Schrems ging es heute Vormittag um die Themenkomplexe Enterprise IT und Netzwerke. Fazit: Mit europ\u00e4ischen Anbietern arbeiten ist f\u00fcr Anwender oft die einfachste und kosteng\u00fcnstigste L\u00f6sung f\u00fcr DSGVO-Compliance.<\/p>\n\n\n\n

Die \u00dcbertragung von personenbezogenen Daten aus Europa in die USA war in der Vergangenheit durch die bilateralen Absprachen Safe Harbor und sp\u00e4ter Privacy Shield datenschutzrechtlich m\u00f6glich. Der Europ\u00e4ische Gerichtshof hat inzwischen aber beide Absprachen auf Betreiben von Max Schrems f\u00fcr ung\u00fcltig erkl\u00e4rt<\/a>, weil das Datenschutzniveau in den USA nicht mit dem in Europa vergleichbar sei. Seither haben viele europ\u00e4ische Firmen notgedrungen auf die sogenannten Standardvertragsklauseln zur\u00fcckgegriffen, um einen Datentransfer zu rechtfertigen.<\/p>\n\n\n\n

Standardvertragsklauseln: Es ist kompliziert<\/h2>\n\n\n\n

Laut Max Schrems sind diese SCC, auch die aktualisierten vom Juni 2021, allerdings deutlich komplizierter anzuwenden, weil im Prinzip jedes Mal eine Einzelfallbewertung vorzunehmen ist. Immerhin: Wenn das die Daten empfangende Unternehmen in den USA kein Electronic Communications Service Provider (Dienstleister f\u00fcr elektronische Kommunikation) ist, gibt es geringere Datenschutzprobleme. Beispiel aus einem der fr\u00fcheren Kamingespr\u00e4che: Wenn der \u00f6sterreichische Stahlwerker Voest Daten zu einer US-Tochter \u00fcbertr\u00e4gt, die dort ebenfalls nur Stahl kocht, dann steht die DSGVO dem nicht im Wege. Man m\u00fcsse aber immer im Hinterkopf haben, ob in den USA nicht irgendwelche Subunternehmer involviert seien, die dann doch wieder in den Bereich Electronic Communications fallen.<\/p>\n\n\n\n

Video: Privacy Provided<\/figcaption><\/figure>\n\n\n\n

Nicht immer ganz einfach zu beurteilen sei die Lage bei US-Anbietern mit geografisch verteilter Datenverarbeitung, wie sie etwa f\u00fcr Anwendungen in den Bereichen E-Mail, Security oder Content Delivery typisch ist. Hier stelle sich unter anderem die Frage, ob es sich dabei um eine notwendige (= unvermeidbare) Datenverarbeitung handelt, die von Artikel 49 DSGVO abgedeckt ist. Klar ist aber laut Max Schrems: Auch wenn US-Cloud-Anbieter eigene Data Center in Europa betreiben, sch\u00fctzt das die dort gespeicherten Daten nicht vor Zugriffen via FISA Act, denn dieses Gesetz hat keinerlei geografische Limitierung. Einzig Daten, an die auch der Anbieter selbst nicht herankommt, sind davor sicher \u2013 zum Beispiel ein verschl\u00fcsselt in der Cloud abgelegtes Backup, f\u00fcr das kein lokaler Zugriff auf die Schl\u00fcssel besteht.<\/p>\n\n\n\n

Unterschiedliche Rechtsauffassungen<\/h2>\n\n\n\n

Insgesamt stehen sich beim Thema Datenschutz aus Sicht von Max Schrems das US-amerikanische und das europ\u00e4ische Recht diametral gegen\u00fcber. Beheben lie\u00dfe sich das im Wesentlichen nur durch die \u00c4nderungen von Gesetzen. In der EU w\u00e4re das die Grundrechtecharta, bei der eine Umgestaltung ausgesprochen unwahrscheinlich erscheint. Da k\u00f6nne man sich mittelfristig schon eher Hoffnung auf eine Abschw\u00e4chung der US-\u00dcberwachungsgesetze FISA und CLOUD Act machen (die im \u00dcbrigen auch einer Legitimierung von Industriespionage dienen k\u00f6nnten).<\/p>\n\n\n\n

Dazu passt \u00fcbrigens auch eine Bloomberg-Meldung<\/a> von gestern: Der Microsoft-Topmanager und -jurist Brad Smith hat sich beklagt, dass geheime Vorladungen von US-Technologiekonzernen das Vertrauen europ\u00e4ischer Kunden zerst\u00f6rten und damit das Gesch\u00e4ft erschwerten. In der vergangenen Woche hatten Medien berichtet, dass sowohl Apple als auch Microsoft in der Amtszeit von Donald Trump von Regierungsbeh\u00f6rden gen\u00f6tigt wurden, Daten von politischen Gegnern des Pr\u00e4sidenten herauszugeben \u2013 jeweils mit Stillschweigeauflagen inklusive Verbots, die Betroffenen zu informieren.<\/p>\n\n\n\n

Allgemeine Verunsicherung<\/h2>\n\n\n\n

Auf die Frage, ob ein europ\u00e4isches Unternehmen seine Datenschutzverpflichtungen an seinen US-Dienstleister weiterreichen und sich so schadlos halten k\u00f6nne, sagte Schrems, Versprechen von DSGVO-Konformit\u00e4t seien nur mit gro\u00dfem Aufwand \u00fcberpr\u00fcfbar \u2013 bisher habe das noch niemand durchgepr\u00fcft und durchgeklagt. Es gebe zum Teil auch schon entsprechende Haftpflichtversicherungen, diese seien aber in jedem Fall sehr teuer und noch keinesfalls als valide erwiesen. Bei sogenannten D&O-Versicherungen f\u00fcrs Top-Management sollte man, ebenso wie bei vielen Rechtsschutzversicherungen, Datenschutzklauseln pr\u00fcfen, da diese ausgenommen sein k\u00f6nnen (bei einigen Versicherungen bereits umgesetzt).<\/p>\n\n\n\n

Eine Novelle der DSGVO hielte Max Schrems eigentlich f\u00fcr w\u00fcnschenswert, unter anderem weil das aktuelle Regelwerk keinerlei Differenzierung nach Unternehmensgr\u00f6\u00dfe vorsehe. Schuld daran sei letztlich die Industrie selbst, weil bei der Entstehung nur gro\u00dfe Unternehmen mit entsprechend gro\u00dfen Lobby-Abteilungen beteiligt waren. Und einen neuerlichen Lobbyauftrieb vergleichbar epischen Ausma\u00dfes wolle in Br\u00fcssel definitiv niemand so bald wieder.<\/p>\n\n\n\n

Dienstleister befragen<\/h2>\n\n\n\n

Zum Abschluss der drei Fireside-Talks von Privacy Provided<\/a> r\u00e4t Max Schrems Firmen, die nach dem Aus f\u00fcr den Privacy Shield verunsichert sind, ihr Geld nicht zur juristischen Beratungsindustrie zu tragen, sondern ihre Dienstleister lieber selbst zu befragen und auf den Pr\u00fcfstand zu stellen \u2013 die wesentlichen Aspekte dazu finden Sie auf unserer Website<\/a>, ebenso einen Fragebogen<\/a> (PDF), mit dem Sie Ihre Dienstleister \u00fcberpr\u00fcfen k\u00f6nnen. Die einfachste und kosteng\u00fcnstigste L\u00f6sung sei in vielen F\u00e4llen, mit einem europ\u00e4ischen Dienstleister zu arbeiten, so Max Schrems in seinem Fazit.<\/p>\n\n\n\n

F\u00fcr alle, die gestern beim Fireside-Talk nicht mit dabei sein konnten, gibt es hier den vollst\u00e4ndigen Mitschnitt:<\/p>\n\n\n\n

\n
Bitte akzeptieren Sie Marketing-Cookies<\/a> um diesen Inhalt zu sehen.<\/div>