Der Privacy Shield
ist Geschichte

Hinzu kommen Risiken aus dem CLOUD Act (Clarifying Lawful Overseas Use of Data): Dieser erlaubt US-Behörden den Zugriff auf Daten von US-Firmen und ihren Niederlassungen, selbst wenn sie außerhalb der USA gespeichert oder verarbeitet werden.

Sie als IT-Manager sind direkt verantwortlich für die Daten Ihrer Kunden, Mitarbeiter und Geschäftspartner – selbst dann, wenn Sie die Datenverarbeitung outsourcen. Die Strafen bei Verstößen betragen bis zu 20 Mio. Euro bzw. 4% des weltweiten Umsatzes – das ist ein völlig neues Ausmaß. Die Behörden können zudem rechtswidrigen Datentransfer stoppen. Manager können persönlich haften und D&O-Versicherungen haben Grenzen.

Welche Maßnahmen müssen Sie also ergreifen? Dazu liegen noch keine finalen Empfehlungen seitens des EDPB (European Data Protection Board) oder der EU-Kommission vor. Deshalb möchten wir Ihnen mit diesem Guide die wichtigsten Informationen kompakt an die Hand geben. Hier sind 7 Fragen, die Sie stellen sollten:

Personenbezogene Daten sind jegliche Informationen in Bezug auf eine identifizierte oder identifizierbare natürliche Person: Name, Standort, Online-Identifikatoren (bspw. IP-Adressen) sowie Fakten über physische, psychische, ökonomische oder soziale Identität – auch Faxnummern und E-Mail-Adressen zählen dazu. Ein Transfer personenbezogener Daten findet zum Beispiel bei der Korrespondenz via E-Mail, Fax oder SMS statt.

Sie müssen also klären: Welche Daten besitzen oder sammeln Sie? Wo sind diese gespeichert? Wer bearbeitet sie und wohin werden sie transferiert? Und: Haben Sie die rechtliche Grundlage für all das?

Zu möglichen Kandidaten zählen Google, Facebook, Twilio, Zoom, Proofpoint, Slack, Dropbox, Microsoft und LinkedIn. Falls ja, sollten Sie genau prüfen, ob Ihr Datenexport den DSGVO-Anforderungen gerecht wird – zum Beispiel im Bereich E-Mail-Security und -Archivierung.

Auf der Website zum Privacy Shield Framework finden Sie eine Liste all dieser Unternehmen.

Der Privacy Shield gilt nicht mehr, und es gibt keine Gnadenfrist. Falls ja, sollten Sie also umgehend klären, ob die Firmen die DSGVO-Anforderungen einhalten. Im Zweifel lassen Sie sich eine Bestätigung ausstellen, dass an keinem Punkt der Verarbeitung Daten in die USA bzw. an Dienstleister in den USA übertragen werden.

Laut dem EDPB garantiert die US-Gesetzgebung bei SCCs (Standardvertrags-klauseln) und BCRs (Verbindliche Unternehmensregeln) keinen gleichwertigen Schutz (gemäß Statement vom 24. Juli 2020). Diese Einschätzung gilt auch für entsprechende Vereinbarungen mit Ländern wie China oder Russland.

Die individuelle Vereinbarung von SCCs und BCRs mit jedem US-Anbieter erfordert hohe administrative und juristische Aufwände. Zudem sind ergänzende Maß-nahmen nötig – hierzu gibt es Stand November 2020 nur vorläufige Umsetzungs-Empfehlungen vom EDPB (bislang nur auf Englisch). Die Risiken aus dem CLOUD Act bleiben bei Verwendung von SCCs und BCRs bestehen.

Grundsätzlich ja, sofern die Bedingungen erfüllt werden. Aber die Hürden sind hoch: Eine individuelle Einwilligung muss ausdrücklich, spezifisch und informiert gegeben werden.

Art. 49 DSGVO im Wortlaut

Steigen Sie jetzt um und reduzieren Sie Ihre Datenschutz-Risiken auf null – mit den innovativen Plattform-Services von Retarus. Denn wir verarbeiten sämtliche Daten unserer europäischen Kunden ausschließlich in europäischen Rechenzentren – in Frankfurt, München und Zürich. Wir stellen die innereuropäische Verarbeitung auch während Failover oder Wartung sicher. Retarus nutzt keine US-Hyperscalers wie Google, AWS oder Azure. Die retarus GmbH mit Sitz in Deutschland ist seit ihrer Gründung inhabergeführt, ohne Beteiligung ausländischer Unternehmen.

Wenn nötig, können Sie innerhalb von 24 Stunden mit Ihrem E-Mail-, SMS- und Fax-Verkehr in die Retarus Enterprise Cloud umziehen. Verschaffen Sie sich einen schnellen Überblick über unsere Services und erfahren Sie, wie wir Sie bei der Umsetzung von Compliance-Auflagen unterstützen.

Die Lage in Sachen Datenschutz erscheint momentan undurchsichtig und aufwendig. Aber wir sollten nicht vergessen, dass die ganze Aufregung auch viel Positives bringt: Denn Ihre sensiblen Geschäftsdaten werden so besser geschützt. DSGVO wird schließlich großgeschrieben!