Keine Sorge – es folgen nun keine wilden Theorien im Stil eines D. Trump.
Ich habe nachweisbare Fakten – ein Thema um dass du dich vielleicht auch kümmern solltest.
Wer einen Vertrag mit einem amerikanischen Unternehmen wie z.B. Microsoft hat, der muss bis zum Ende des Jahres tätig werden.
Grund dafür sind die SCC’s, die Standard Contractual Clauses oder “Standardvertragsklauseln”.
Im Juni 2021 hat die Europäische Kommission im Beschluss 2021/914/EU neue Standardvertragsklauseln (Standard Contractual Clauses – SCC) angenommen. Diese stellen eine wichtige Neuerung für Unternehmen dar, da sie eine neue Rechtsgrundlage für den Datentransfer in Länder schaffen, in denen nicht dasselbe Datenschutzniveau herrscht, wie in der Europäischen Union (EU). Bis zum „Schrems II“-Urteil des Europäischen Gerichtshofs (EuGH) im Juli 2020 konnten Datenübermittlungen in die USA beispielsweise auf das EU-US Privacy Shield oder auf den Abschluss der alten EU-Standardvertragsklauseln gestützt werden. In diesem vieldiskutierten Urteil hatte der EuGH das EU-US Privacy Shield jedoch für ungültig erklärt. Gleichsam hatte er die für alle Datenübermittlungen in Drittländer geltenden Anforderungen aus den Artikeln 44 ff. DSGVO konkretisiert. … Um diese umfassenden Voraussetzungen zu adressieren, hat die Europäische Kommission nunmehr die neuen Standardvertragsklauseln erlassen. Nach einer Übergangsfrist von drei Monaten sind ab dem 27.09.2021 für neue Datenübermittlungen ausschließlich diese neue Standardvertragsklauseln abzuschließen. Neue Drittlandübermittlungen, die noch auf die alten gestützt sind, werden ab dann rechtswidrig. Für Bestandsübermittlungen in Drittländer gilt eine erweiterte Übergangsfrist bis zum 27.12.2022. (Quelle: https://www.srd-rechtsanwaelte.de/blog/standardvertragsklausel-scc-schrems-ii/)
Im genannten Beitrag kann der geneigte Leser auch weitere Details dazu erfahren.
An dieser Stelle will ich noch einmal klarstellen, dass ich die “männliche Form der Anrede” nutze, um dadurch die Texte einfacher zu halten.
Ich respektiere den Wunsch eines jeden Menschen über sich selbst zu bestimmen.
Also solltest du bei allen Datenübertragungen in Drittländer (insb. USA) die bestehenden Verträge und Geschäftspraktiken überprüfen.
Um es klar zu sagen – nur durch vollständige Anonymisierung oder Verschlüsselung der personenbezogenen Daten kannst du das europäische Niveau des Datenschutzes wirklich erreichen.
Oft werde ich mit bestimmten Aussagen konfrontiert, die ich kurz kommentieren möchte:
Ich habe meine Daten in europäischen Rechenzentren – also bin ich doch sicher, oder?
Leider nein. Der Grund dafür liegt in einem Missverständnis.
Im Datenschutz bestehs das eigentliche Problem in dem sog. “CLOUD Act” der Amerikaner (https://de.wikipedia.org/wiki/CLOUD_Act).
Das Gesetz verpflichtet amerikanische Internet-Firmen und IT-Dienstleister, US-Behörden auch dann Zugriff auf gespeicherte Daten zu gewährleisten, wenn die Speicherung nicht in den USA erfolgt.
Egal ob deine Daten in Deutschland oder sonstwo liegen – Firmen wie Microsoft haben Ihren Firmensitz in den USA und müssen den Behörden den Zugang auf Daten ermöglichen.
Ja, aber Microsoft garantiert mir doch …
Schon, nur sollte man sehr genau lesen, was da geschrieben steht:
Microsoft wird verarbeitete Daten gegenüber Strafverfolgungsbehörden nur offenlegen bzw. den Zugang dazu ermöglichen, wenn dies gesetzlich vorgeschrieben ist. Wenn sich eine Strafverfolgungsbehörde mit Microsoft in Verbindung setzt und verarbeitete Daten anfordert, wird Microsoft versuchen, die Strafverfolgungsbehörde an den Kunden zu verweisen, damit sie diese Daten direkt beim Kunden anfordert. Wenn Microsoft gezwungen wird, verarbeitete Daten an die Strafverfolgungsbehörden weiterzugeben oder diesen den Zugang dazu einzuräumen, benachrichtigt Microsoft den Kunden unverzüglich und übermittelt eine Kopie der Anforderung, sofern dies nicht gesetzlich verboten ist. (Quelle: https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA)
Was ist denn der CLOUD Act?
Ein Gesetz und somit werden die obigen Aussagen doch sehr stark relativiert wenn nicht sogar zu “Nebelkerezen”?
Ein weiterer Punkt ist, dass ich niemanden kenne, der einen SCC oder Vertrag zur Auftragsverarbeitung mit Microsoft “ausgehandelt” und “abgeschlossen” hat.
Alle Aussagen stehen in Dokumenten, auf die verwiesen wird.
Das entspricht kaum der verlangten Individualität der Prüfungen und Vereinbarungen.
In diesem Stil könnte ich noch andere Beispiele aufzeigen, aber die würden am Ergebnis nichts ändern.
Um sich nicht dem Risiko einer hohen Geldstrafe und eines eventuellen Imageverlustes auszusetzen, solltest du dich beraten lassen.
Dabei brauchst du eventuell eine “anwaltliche Beratung” und eine “technische/organisatorische Unterstützung”.
Betroffen sind natürlich nicht nur die “Großen” sondern im Grunde jeder, der personenbezogene Daten verarbeitet.
Damit es nicht so aussieht, dass ich ein “Microsoft Feind” bin – eigentlich ist das Gegenteil der Fall.
Die Produkte von Microsoft im Bereich Security und Compliance sind sehr mächtig und leistungsfähig.
Nutzt (und bezahlt) man diese, kann man ein Niveau erreichen, das mit üblichen Produkten viel komplexer und teurer werden würde.
Auch finde ich es sehr fragwürdig, wenn man auf der einen Seite den “Goldstandard” im Datenschutz fordert und auf der anderen Seite über einen “Gesetzesvorschlag im Kampf gegen Missbrauchsdarstellungen” debattiert (https://www.lto.de/recht/nachrichten/n/eu-kommission-gesetzentwurf-vorschlag-kampf-gegen-kinderpornografie-bedenken-datenschutz/)
Sinngemäß sollen die Dienstanbieter verpflichtet werden, diverse Kommunikationen automatisiert zu prüfen.
Vielleicht sogar bei verschlüsselten Inhalten, wie wir sie mühsam in diversen Diensten (z.B. WhatsApp) durchgesetzt haben.
Im Vergleich dazu erscheint es geradezu unsinnig, wenn man den europäischen Unternehmen den Zugang zu modernen Technologien unnötig erschwert.
Ja – wir müssen sowohl unsere Kinder als auch unsere personenbezogenen Daten schützen.
Aber vielleicht auch mit einem gesunden Maß an Vernunft.