Am 16 Juli 2020 war es soweit: Der Europäische Gerichtshof (EuGH) erklärte das bisher für den Datenverkehr zwischen Europa und den USA geltende Abkommen, den so genannten EU-US Privacy Shield, für ungültig. Begründung des EuGH: In den USA können die Unternehmen dazu verpflichtet werden, die – auch in Europa – generierten User-Daten US-Behörden wie der NSA oder dem FBI zur Verfügung zu stellen. Das sei aber mit dem geltenden EU-Datenschutz, insbesondere im Rahmen der EU-Datenschutzgrundverordnung (DSGVO), nicht vereinbar. Der Rechtsschutz der europäischen Anwender könne nicht gewährleistet werden.
Für Unternehmen, die Cloud Computing-Lösungen von US-amerikanischen Anbietern einsetzen, bedeutet dies, dass ihnen die Rechtsgrundlage für diese Nutzung entzogen wurde. Wer nun hoffte, dass es zumindest eine Übergangsfrist geben werde, bis es zur Umsetzung des Urteils kommt, wurde bereits eine Woche nach Veröffentlichung des Urteils eines Besseren belehrt.
Keine Gnadenfrist durch EU-Datenschützer
Bereits am 24.7.2020 berichtete heise.de, dass der “Europäische Datenschutzausschuss (EDSA) [..]Antworten zu den wichtigsten Fragen zu den Konsequenzen aus dem Urteil des Europäischen Gerichtshofs (EuGH) zum Datentransfer in Länder außerhalb der EU (“Schrems II”) gefunden habe. Laut den Aufsichtsbehörden in der EU gebe es keine „Gnadenfrist“ für Datenverarbeitungen auf Grundlage des vom EuGH für ungültig erklärten „Privacy Shield“.
Unternehmen, so EDSA laut heise.de weiter, die noch unter dem transatlantischen Datenschutzschild personenbezogene Informationen aus der EU in die USA übermitteln, müssten ihre Praktiken “ohne Verzögerung” umstellen, erläuterte der Bundesdatenschutzbeauftragte Ulrich Kelber. Andernfalls drohen auf Basis der Datenschutz-Grundverordnung (DSGVO) saftige Sanktionen.
Die im heise.de Beitrag angekündigten EDSA FAQs zu den Standardvertragsklauseln stehen mittlerweile auf der EDSA Webseite zum Download zur Verfügung.
Einsatz von Cloud Computing-Lösungen: Sofort handeln
Unternehmen, die Cloud Computing-Lösungen einsetzen, sollten also unbedingt sofort handeln und überprüfen, wo die Daten, die sie mit ihren cloudbasierten Lösungen verarbeiten, am Ende landen. Ansonsten riskieren sie die oben skizzierten Sanktionen. Besonders wichtig ist diese Überprüfung bei Cloud-Lösungen, die zwar von einem deutschen bzw. europäischen Anbieter angeboten, aber auf der Cloud-Plattform eines amerikanischen Cloud Service Providers (Amazon Web Services, Google Cloud, Microsoft Cloud, etc.) betrieben werden. Gerade in diesen Fällen muss sichergestellt sein, dass die Daten deutscher bzw. europäischer Nutzer nicht vom Plattform-Betreiber in die USA transferiert werden, z.B. im Zuge der Archivierung oder beim nächtlichen Backup. Denn genau dieser Transfer ist seit der EuGH-Entscheidung vom 16.7.2020 nicht mehr zulässig.
Cloud Service Made in Germany: Beispiel ZEP – Zeiterfassung für Projekte
Am besten ist es natürlich, auf einen Cloud Service Provider zu setzen, der von der EuGH-Entscheidung überhaupt nicht betroffen ist. Dies ist beispielsweise bei ZEP der Fall.
- Der ZEP-Anbieter, die provantis IT Solutions GmbH, ist ein deutsches Unternehmen, das damit auch keinerlei Vorgaben von US-Behörden und/oder sonstigen behördlichen Stellen aus den USA erfüllen muss.
- Die in ZEP erfassten und bearbeiteten Daten werden ausschließlich in deutschen Hochleistungsrechenzentren betrieben, die ihrerseits von deutschen Unternehmen betrieben werden. Damit findet zu keiner Zeit ein Datentransfer in die USA und/oder ein Drittland statt. Auch die Rechenzentrumsbetreiber unterliegen ausschließlich deutschem Recht bzw. den Vorgaben der DSGVO.
Damit spielen weder die Privacy Shield-Verordnung noch deren Aufhebung durch den EuGH für ZEP-Nutzer eine Rolle. Weitere Informationen zu ZEP – Zeiterfassung für Projekte stehen im Lösungskatalog zur Verfügung.