Mimecast Logo
Jetzt starten
Angebot einholen
    Einblicke in die Cyber-Resilienz
    Alle Themen
    Email Security
    Web Security
    Security Awareness Training
    Brand Protection
    Archive and Data Protection
    Threat Intelligence
    Archiv Datenschutz

    Das EU-US-Datenschutzschild wird für ungültig erklärt: Was nun?

    Mit dem in der Schwebe befindlichen EU-US-Datenschutzschild für Datentransfers stehen Unternehmen weltweit vor einer sich verändernden und verwirrenden Datenschutzlandschaft voller Unbekannter.

    by Karen Lynch
    getty-laptop-screen.jpg

    Wichtige Punkte

    • Das oberste europäische Gericht hat kürzlich eine wichtige Vorschrift über den Datenverkehr zwischen der EU und den USA für ungültig erklärt.
    • Das überraschende Privacy-Shield-Urteil hat das Spielfeld für US-Digitalunternehmen, die personenbezogene Daten von Europäern sammeln und speichern, erneut durcheinander gebracht.
    • Die Entwicklungen seit dem Urteil vom Juli werfen mehr Fragen zur Erfüllung der europäischen Datenschutzanforderungen auf, als sie beantworten.

    Unternehmen in aller Welt riefen kollektiv "Was nun?", nachdem das jüngste Datenschutzabkommen zwischen der Europäischen Union und den USA kürzlich für ungültig erklärt worden war. Als Europas höchstes Gericht im Juli das EU-U.S. Privacy Shield Framework für ungültig erklärte,[i] wurden die Karten neu gemischt: Es gibt bekannte, unbekannte und unbekannte Unbekannte in Bezug auf den transatlantischen Fluss von persönlichen Daten von Kunden und Mitarbeitern.

    Aber auch wenn die Vorschriften noch im Fluss sind, scheint der Druck der Regierungen auf beiden Seiten des Atlantiks nicht nachzulassen. Und die Speicherung von E-Mail-Daten dürfte bei den Unternehmen ganz oben auf der Liste stehen, da sie bei vielen Organisationen zu den größten Speichern personenbezogener Daten gehören.

    Die derzeitige Welle der Ungewissheit beinhaltet die Frage, welche Mechanismen nun genutzt werden können, um personenbezogene Daten auch ohne das Privacy Shield weiter zu übermitteln. So bleiben beispielsweise andere Datenschutzmechanismen wie die von der EU genehmigten "Standardvertragsklauseln" weiterhin anwendbar - allerdings unter strengeren Bedingungen und angesichts möglicher Anfechtungen durch einzelne europäische Länder. Die Unternehmen fragen sich auch, was die politischen Entscheidungsträger der EU und der USA als Nächstes aushandeln werden und ob eine amerikanische Datenschutzpolitik entstehen wird, die das transatlantische Datenvertrauen stärkt oder untergräbt.

    Für viele Unternehmen bedeutet der Umgang mit den personenbezogenen Daten der Europäer, dass sie die Einhaltung der Vorschriften durch ihre eigenen Partner - Drittanbieter von Datenverarbeitungs- und Cloud-Diensten - sicherstellen müssen, die die erforderlichen Schutzmaßnahmen tatsächlich umsetzen. "Unternehmen, die sich in diesem Bereich bewegen, müssen sich genau darüber im Klaren sein, was in den Abläufen und Lieferketten ihrer Partner geschieht und was nicht", sagte Mark Bilbe, Chief of Staff bei Mimecast in den USA.

    Die Unternehmen müssen auch sicherstellen, dass ihre eigenen Systeme den Anforderungen entsprechen. Und selbst über die überraschende Entscheidung des EU-Datenschutzschilds hinaus müssen sich alle Unternehmen mit einer breiteren Landschaft von nicht aufeinander abgestimmten und sich ständig ändernden Datenschutzrichtlinien in verschiedenen Ländern der Welt auseinandersetzen.

    Privacy-Shield-Entscheidung, in Kürze

    Im Jahr 2016 fielen zwei verwandte Entwicklungen zusammen: Europas Verabschiedung der Allgemeinen Datenschutzverordnung (GDPR) und das Abkommen zwischen der EU und den USA über den Datenschutzschild. Die GDPR verpflichtet kommerzielle Organisationen, die personenbezogenen Daten europäischer Bürger zu schützen, auch außerhalb Europas. Das Privacy Shield konzentriert sich auf europäische Daten, die in den USA verarbeitet und gespeichert werden, wo die europäischen Politiker die Datenschutzbestimmungen für unzureichend halten, insbesondere angesichts der nationalen Sicherheitsüberwachung. Die Vorschriften mehrerer anderer Länder wurden von der EU als angemessen anerkannt. Für die USA musste jedoch eine separate Vereinbarung getroffen werden. So kam es, dass das Privacy Shield das Safe Harbor Framework zwischen den USA und der EU ersetzte, ein früheres Datenschutzabkommen, das 2015 zusammenbrach.

    Im Rahmen des Privacy Shield könnten Unternehmen jährlich selbst zertifizieren, dass sie bestimmte Grundsätze für den Schutz personenbezogener Daten einhalten, sofern diese durchgesetzt werden. Zu diesen Grundsätzen gehört die individuelle Wahlmöglichkeit hinsichtlich der Verwendung personenbezogener Daten - was all die Opt-out-Pop-ups auf den von Ihnen besuchten Websites auslöste. Über 5.000 amerikanische Unternehmen und US-Tochtergesellschaften europäischer Unternehmen haben sich selbst zertifiziert,[ii] und zehntausende von Partner- und Kundenorganisationen.[iii]

    Aber jetzt ist das Privacy Shield tot - oder doch nicht? Werfen wir einen Blick auf die Entwicklungen und Analysen seit dem Urteil vom Juli.

    Privacy Shield Zukunft

    Bekanntes Bekanntes: Das US-Handelsministerium hat klargestellt, dass Unternehmen sich weiterhin selbst zertifizieren sollten.[iv]

    Bekanntes Unbekanntes: Warum weiter? In einer gemeinsamen Erklärung der USA und der EU wurden Gespräche über ein "verbessertes" Privacy Shield versprochen,[v] und der Handel wird das Programm weiter verwalten, während die Gespräche weitergehen. Beobachter haben sich jedoch skeptisch über das Ergebnis dieser Gespräche geäußert und darüber, ob eine neue Vereinbarung den unvermeidlichen rechtlichen Anfechtungen standhalten könnte.

    EU-U.S.-Datenschutzalternativen

    Known Knowns: Zu den Alternativen zum Privacy Shield gehören die oben erwähnten Standardvertragsklauseln und zwei weitere Arten von Vereinbarungen: verbindliche Unternehmensregeln und individuelle Zustimmung. Viele Datenverarbeiter und Anbieter von Cloud-Diensten haben bereits vor der Entscheidung des Gerichts das Risiko der Einhaltung der Vorschriften proaktiv gemanagt, indem sie sowohl das Privacy Shield als auch die Standardvertragsklauseln verwendet haben, während andere nun aufholen. Die beiden anderen Optionen werden beide als schwer umsetzbar erachtet. Eine weitere Alternative ist die Einrichtung von europäischen Zentren.

    Bekannte Unbekannte: Als das Gericht die Standardvertragsklauseln bestätigte, verschärfte es auch deren Anforderungen, gab aber keine Frist für deren Einhaltung vor. Dann schienen fast sofort Durchsetzungsmaßnahmen in Irland die Gültigkeit der Klauseln in Frage zu stellen.[vi] Und zumindest in Deutschland ließen die Regulierungsbehörden die Tür für weitere Anfechtungen offen.[vii] Ein weiteres Fragezeichen schwebt über dem Vereinigten Königreich, wo viele Nicht-EU-Unternehmen Datenzentren haben. Der Austritt Großbritanniens aus der EU steht unmittelbar bevor, und europäische Beamte haben die Angemessenheit der Datenschutzbestimmungen des Landes in Frage gestellt.[viii] Inzwischen sagen einige Beobachter voraus, dass die Europäer die Klauseln, die inzwischen mehrere Jahre alt sind, neu schreiben werden.[ix]

    U.S.-Datenschutzrichtlinie

    Known Knowns: In den USA hat sich die Datenschutzpolitik hauptsächlich auf der Ebene der Bundesstaaten, angeführt von einem GDPR-ähnlichen kalifornischen Verbraucherschutzgesetz (CCPA), und durch sektorale Vorschriften, wie dem Health Insurance Portability and Accountability Act von 1996, entwickelt. Es gibt kein übergreifendes Bundesgesetz zum Datenschutz, obwohl im Laufe der Jahre Gesetzesentwürfe eingebracht wurden.

    Known Unknowns: Es bleibt abzuwarten, ob eine Bundesgesetzgebung verabschiedet werden könnte und ob das neue Gesetz die Probleme des transatlantischen Datenflusses mildern oder verschärfen würde. Ein Gesetzentwurf, der Clarifying Lawful Overseas Use of Data Act (CLOUD Act), würde beispielsweise die Server von US-Unternehmen in Übersee der Sicherheitsüberwachung unterwerfen.[x] Aber der Consumer Data Privacy and Security Act of 2020[xi] spiegelt die Bestimmungen der GDPR und des CCPA wider. Und es gibt noch mehr. Ein weiterer großer Schatten: die US-Wahl 2020.

    Wie man in Zeiten des Wandels konform bleibt

    Zu den bewährten Tipps für laufende und neue Herausforderungen bei der Einhaltung von Datenschutzbestimmungen gehören:

    • Kennen Sie Ihre Daten. Überprüfen Sie alle Datensysteme und -dienste, um zu verstehen, wie viele personenbezogene Daten Sie über europäische Bürger sammeln und speichern.
    • Erfassen und speichern Sie nur Daten, die Sie benötigen.
    • Legen Sie offen, was Sie sammeln und wie Sie es zu verwenden gedenken.
    • Geben Sie dem Einzelnen die Möglichkeit, sich dagegen zu entscheiden.
    • Überprüfen Sie die Richtlinien und Praktiken Ihrer Datenverarbeitungs- und Cloud-Dienstanbieter, einschließlich der Verwaltung ihrer eigenen Anbieter. Einige - darunter auch Mimecast - veröffentlichen Details und Datenschutzvereinbarungen , die sie mit Ihnen unterzeichnen werden.
    • Erkundigen Sie sich, wie sich Ihre Anbieter auf die jüngsten Änderungen der Vorschriften einstellen. Denken Sie daran, dass die Aufsichtsbehörden in der Regel Sie für den Umgang Ihrer Anbieter mit den personenbezogenen Daten Ihrer Kunden und Mitarbeiter verantwortlich machen.
    • Fügen Sie all dies in eine Strategie ein, die auch eine Bestandsaufnahme der Datenübertragungen enthält, die unter das Privacy Shield fallen, sowie der Mechanismen zur Einhaltung der Vorschriften, die Sie und Ihre Partner eingeführt haben.
    • Dokumentieren Sie jeden Schritt, um die Einhaltung der Vorschriften zu gewährleisten.

    Die Quintessenz

    E-Mail ist nicht nur eine Kommunikationsplattform, sondern auch einer der größten Speicher für persönliche Informationen, über die ein Unternehmen verfügt. Daher ist der E-Mail-Datenschutz ein zentrales Thema. Nach der überraschenden Außerkraftsetzung des EU-Datenschutzschilds ist das Thema auch in Bewegung geraten. Unternehmen sollten überall Überwachungs- und Notfallpläne einrichten, um sich an die jüngsten Änderungen anzupassen und die nächsten vorwegzunehmen. In den kommenden Wochen werden wir über Datenschutzbestimmungen schreiben

    [i] "Der Gerichtshof erklärt den Beschluss 2016/1250 über die Angemessenheit des durch das EU-US-Datenschutzschild gewährten Schutzes für ungültig," Gerichtshof der Europäischen Union

    [ii] "Privacy-Shield-Liste," U.S. Department of Commerce

    [iii] Brief an US-Handelsminister Wilbur Ross, von einer Koalition amerikanischer Handelsverbände

    [iv] "FAQs-EU-U.S. Privacy Shield Program Update," U.S. Department of Commerce

    [v] "Gemeinsame Presseerklärung von US-Handelsminister Wilbur Ross und EU-Justizkommissar Didier Reynders," U.S. Department of Commerce

    [vi] "Sicherung der langfristigen Stabilität des grenzüberschreitenden Datenverkehrs," Facebook

    [vii] "Presseerklärung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder," Deutsche Datenschutzbehörden

    [viii] Schreiben an das Europäische Parlament, Europäischer Datenschutzausschuss

    [ix] "Privacy Shield Is Dead. Was nun?", Deloitte

    [x] "HR 4943-Cloud Act," U.S. Congress

    [xi] "S 3456-Consumer Data Privacy and Security Act of 2020," U.S. Congress

    gettyescalator.jpg
    Nächster Punkt
    Archiv Datenschutz |
    Verlagerung von E-Discovery in die Cloud

    Verwandte Artikel

    Archiv Datenschutz
    Weniger ist mehr: Der Cyber-Fall für Datenminimierung
    Archiv Datenschutz
    Was ist Datensicherung und Sicherungsspeicherung?
    Archiv Datenschutz
    Plattformübergreifende Angriffe könnten Ransomware noch tödlicher machen

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang