Trans-Atlantic Data Privacy Framework: "Alter Wein in neuen Schläuchen?"
29.11.2023
IT, NewMedia & Software
Im ersten Teil unserer Reihe haben wir TLS beleuchtet und warum diese Verschlüsselung allein nicht eine DSGVO-konforme E-Mail-Kommunikation gewährleisten kann. In diesem Beitrag gehen wir auf das Trans-Atlantic Data Privacy Framework näher ein.
Kommentar von Stephan Heimel, LL.M., Prokurist & Sales Director der SEPPmail - Deutschland GmbH
Nachdem der U.S.-Präsident am 07.10.2022 die Executive Order (EO) 14086 erlassen hatte und deren Umsetzung dann am 03.07.2023 durch die U.S.-Regierung bestätigt wurde, hat die EU-Kommission am 10.07.2023 den Angemessenheitsbeschluss zum neuen Trans-Atlantic Data Privacy Framework (DPF) veröffentlicht. Hatte der EuGH (Europäischer Gerichtshof) die Vorgänger "Safe Harbour" und zuletzt das "Privacy Shield" durch die Urteile "Schrems I" und "Schrems II" in den Jahren 2015 und 2020 für unwirksam erklärt, soll dieses neue Abkommen nun dafür sorgen, dass ein rechtssicherer Datentransfer zwischen EU und U.S.-Anbietern wieder möglich ist. In den U.S.A. soll nach einer Anpassung des U.S.-Geheimdienstrechts FISA (Foreign Intelligence Surveillance Act) ein angemessenes Datenschutzniveau gem. Art. 45 Abs. 3 EU-DSGVO existieren. Kleiner Wermutstropfen direkt an dieser Stelle: Es gibt keine generelle Anerkennung für die U.S.A. analog zum Angemessenheitsbeschluss mit z.B. der Schweiz. Die Anerkennung gilt nur für Unternehmen, die durch eine Selbstzertifizierung dem DPF beigetreten sind (https://www.dataprivacyframework.gov).
Nach Ansicht der Kommission sind die Bedenken, die den EuGH in seinen vorherigen Urteilen zu seinen Entscheidungen geführt haben, nun ausgeräumt: Die U.S.-Geheimdienste beschränken ihre Zugriffe auf das Notwendige und Verhältnismäßige. Ein Data Protection Court ermöglicht es Beschwerdeführern bzw. Beschwerdeführerinnen, Einspruch einzulegen; allerdings erst, nachdem sie ihr Anliegen bei den Datenschutzbehörden ihres Heimatlandes eingereicht haben. In einer zweiten Stufe können sie dann Berufung einlegen, sofern die U.S.-Unternehmen durch die Selbstzertifizierung dem DPF (Data Privacy Framework) beigetreten sind. Die Verantwortlichen im Sinne des Art. 4 Nr. 7 EU-DSGVO müssen lediglich prüfen, ob das Unternehmen, mit dem sie zusammenarbeiten, auf der Liste der beigetretenen Unternehmen steht und ob der Anwendungsbereich der Eintragung für den jeweiligen Fall anwendbar ist. Diese Prüfung muss jährlich wiederholt werden. Das gilt zumindest bis zu einer möglichen neuen EuGH-Entscheidung und solange ein möglicher neuer U.S.-Präsident die EO 14086 nicht rückgängig gemacht hat.
Fragt man einen der "Marktmächtigen" oder die Kunden, die zum Beispiel M365 bereits einsetzen oder einen Einsatz planen, dann knallen die Sektkorken, und man hört Aussagen wie: "Was alle nutzen, konnte ja nicht schlecht sein", "Jetzt können wir endlich problemlos die Online-Dienste von Microsoft nutzen" oder "Mit unserem Ansatz Risiko statt Recht lagen wir doch immer auf der sicheren Seite". Spricht man hingegen mit Juristen oder Datenschützern, schwindet die Euphorie und macht der Realität Platz. Seit Inkrafttreten gibt es in der juristischen Literatur eine Vielzahl von Analysen und Kommentaren. Generell herrscht Einigkeit: Es gibt keine Generalabsolution! Durch die juristische Brille betrachtet, existieren weiterhin Herausforderungen bei der Nutzung. Was sollte man bedenken? Im FISA 702 (Foreign Intelligence Surveillance Act; Gesetz zur Überwachung in der Auslandsaufklärung) ist normiert, dass nur U.S.-Personen verfassungsgemäß nicht anlasslos überwacht werden dürfen. Der Begriff der Verhältnismäßigkeit wurde zwar übernommen, allerdings bedeutet die sprachliche Übernahme noch lange nicht, dass man sich auch inhaltlich an den europäischen Standards orientiert.
Inhaltlich wurde FISA 702 nicht reformiert. Es herrscht Einigkeit, dass FISA 702 sowohl gegen den 4. Verfassungszusatz der U.S.A. als auch gegen Art. 7, 8 und 47 der EU-GrCh verstößt. Nicht-U.S.-Bürger haben keine verfassungsmäßigen Rechte in den U.S.A. Es wird kein angemessener Schutz der Privatsphäre gewährt, und somit stellt die Verletzung des Rechts auf Privatsphäre kein Problem dar. In Bezug auf den möglichen Rechtsbehelf wurde aus dem Ombudsmann der Civil Liberty Protection Officer (CLPO). War der Ombudsmann ein Mitarbeiter des U.S.-Außenministeriums, ist der CLPO der U.S.-Geheimdienstkoordinationsstelle zugeordnet. Beim Data Protection Review Court als Berufungsinstanz handelt es sich nicht um ein ordentliches Gericht. Die eigentlichen Beschwerdeführer dürfen nicht an den Verfahren teilnehmen, sondern müssen sich von Sonderbeauftragten vertreten lassen. Auch die Konferenz der unabhängigen Datenschutzaufsichtsbehorden des Bundes und der Länder (kurz DSK) scheint dem Braten nicht zu trauen. Dies zeigt der Umfang der Anwendungshinweise der DSK (gegen die Stimme des Landesdatenschutzbeauftragten von Thüringen) vom 04.09.2023 zum EU-U.S. Data Privacy Framework. Dieses Dokument umfasst immerhin 32 Seiten.
"Warum in die Ferne schweifen, wenn das Gute liegt so nah?"
Es bleibt nach wie vor ein Restrisiko in Bezug auf Compliance- und Datenschutzanforderungen, wenn man sich ausschließlich auf den Angemessenheitsbeschluss bei der Nutzung von Lösungen amerikanischer Unternehmen stützt. Jedes amerikanische Unternehmen bleibt den nationalen Gesetzen unterworfen. Der amerikanische Clarifying Lawful Overseas Use of Data Act (CLOUD Act) verpflichtet seit 2018 Unternehmen mit Hauptsitz in den U.S.A., U.S.-Behörden unter bestimmten Voraussetzungen auch dann Zugriff auf gespeicherte Daten zu gewähren, wenn die Speicherung nicht in den U.S.A. erfolgt. So wäre es denkbar, dass die U.S.-amerikanische Muttergesellschaft mittels ihrer Gesellschafterrechte auf die europäische Tochtergesellschaft einwirkt, um ihren Verpflichtungen aus dem CLOUD-Act nachzukommen.
Die Alternativen in Deutschland bzw. Europa insbesondere in Bezug auf Verschlüsselungstechnologien sind mannigfaltig. Bei einem Vorfall gilt auch hier die Einzelfallbetrachtung. Das (Rest-)Risiko bleibt bestehen und realisiert sich im Falle eines Falles beim Verantwortlichen - mit den nachgelagerten Haftungsrisiken. Doch nicht nur das Risiko liegt bei ihm. Ihn treffen auch - gegebenenfalls persönlich - die Konsequenzen. Mögliche Sanktionen können hier beispielsweise Regressansprüche gegen das Management oder Sonderbeauftragte für Compliance, Datenschutz und Informationssicherheit sein. Zivilrechtlich wird in der Regel Schadensersatz gefordert. Dies beinhaltet auch Vermögensschäden ohne Haftungsobergrenze. Zu öffentlich-rechtlichen Sanktionen zählen Geld-, Haft- oder Verwaltungsstrafen. Ordnungsmaßnahmen können auch bis zur Stilllegung des Betriebes führen.
Durch die Marktmacht des einen oder anderen Anbieters aus den U.S.A. ist es nachvollziehbar, dass europäische Unternehmen deren Lösungen nutzen möchten. Um die Sicherheit in Bezug auf die Compliance- und Datenschutzanforderungen zu erhöhen, ist es von entscheidender Bedeutung, in der Praxis alle möglichen Schritte zu unternehmen, um die (Rest-)Risiken zu minimieren bzw. auszuschalten. Hierzu stehen den Kunden eine Vielzahl von Sicherheitslösungen (z.B. für die sichere E-Mail-Kommunikation incl. Filtertechnologien) lokaler Anbieter zur Verfügung, die zusätzlich implementiert werden sollten.
Vorschau auf unseren dritten Teil: Hier werden wir uns mit den Anwendungshinweisen der Konferenz der unabhangigen Datenschutzaufsichtsbehorden des Bundes und der Lander vom 4. September 2023 (gegen die Stimme des Landesbeauftragten von Thüringen) befassen.
Firmenkontakt:
SEPPmail Deutschland GmbH
Ringstraße 1c
85649 Brunnthal b. München
Deutschland
+49 (0) 8104 8999 030
https://www.seppmail.de
Pressekontakt:
Sprengel & Partner GmbH
Nisterstraße 3
56472 Nisterau
02661-912600
http://www.sprengel-pr.com
Diese Pressemitteilung wurde über PR-Gateway veröffentlicht.
Für den Inhalt der Pressemeldung/News ist allein der Verfasser verantwortlich. Newsfenster.de distanziert sich ausdrücklich von den Inhalten Dritter und macht sich diese nicht zu eigen.
Weitere Artikel von SEPPmail Deutschland GmbH
13.11.2024 | SEPPmail Deutschland GmbH
Black Friday - Hochsaison für raffinierte Phishing-Angriffe
Black Friday - Hochsaison für raffinierte Phishing-Angriffe
18.09.2024 | SEPPmail Deutschland GmbH
it-sa 2024: SEPPmail stellt "Secure Large File Transfer in der Cloud" vor
it-sa 2024: SEPPmail stellt "Secure Large File Transfer in der Cloud" vor
11.09.2024 | SEPPmail Deutschland GmbH
NIS-2 und E-Mail-Verschlüsselung
NIS-2 und E-Mail-Verschlüsselung
10.09.2024 | SEPPmail Deutschland GmbH
NIS-2 und E-Mail-Verschlüsselung
NIS-2 und E-Mail-Verschlüsselung
25.06.2024 | SEPPmail Deutschland GmbH
VBSpam-Report: SEPPmail.cloud-Filter erneut Testsieger
VBSpam-Report: SEPPmail.cloud-Filter erneut Testsieger
Weitere Artikel in dieser Kategorie
22.11.2024 | Kubernauts GmbH
OpenKubes Kubernetes Service Platform - Robuste IT-Infrastruktur für KI, ML, IoT und Robotik
OpenKubes Kubernetes Service Platform - Robuste IT-Infrastruktur für KI, ML, IoT und Robotik
22.11.2024 | NEXTMINDS
ZERTURIO Checkliste Datenschutz nach DSGVO verfügbar
ZERTURIO Checkliste Datenschutz nach DSGVO verfügbar
22.11.2024 | MovPilot
Bis 35%: MovPilot Amazon Prime Video Downloader Coupon
Bis 35%: MovPilot Amazon Prime Video Downloader Coupon
21.11.2024 | FastNeuron Inc
BackupChain Backup Software, Veeam Konkurrent, veröffentlicht Update für Windows Server 2025
BackupChain Backup Software, Veeam Konkurrent, veröffentlicht Update für Windows Server 2025
21.11.2024 | IT-Systemhaus Ruhrgebiet GmbH
Second Level Support - Die Helden der IT-Hotline
Second Level Support - Die Helden der IT-Hotline