personen kreise 1920 450

Cloud Software und das Ende des Privacy Shields

Am 16.Juli 2020 erklärte der EuGH den „EU-U.S. Privacy Shield“ für ungültig. Der Privacy Shield war seit 2016 Nachfolger des bereits zuvor ungültig erklärten „Safe-Harbour“-Übereinkommens. Er erlaubte tausenden US-Unternehmen, Daten von EU-Nutzern zur Verarbeitung in die USA zu übermitteln. Einer der Hauptkritikpunkte richtete sich auf den inakzeptablen Schutz der Daten vor dem Zugriff der U.S.-Regierung, hier insbesondere der Geheimdienste NSA und FBI. Die nun festgestellte Unrechtmäßigkeit bringt Handlungsbedarf auch für deutsche Unternehmen.

US Privacy Shield Bild1

 

Wie selbstverständlich nutzen Unternehmen cloudbasierte Software von unzähligen SaaS-Anbietern. In den letzten Jahren sind entsprechende Lösungen wie Pilze aus dem Boden geschossen. Ganz vorn dabei sind US-amerikanische Anbieter, weit verbreitet z.B. Microsoft 365 und Salesforce. Auch im Segment der Customer Experience Lösungen, also der Software für Kundenservice, vermarkten sich US-Spezialisten wie Zendesk oder Freshworks erfolgreich.

Die Vorteile von Cloud-Lösungen sind überragend, u.a. Zugriff mit jedem Gerät, das die Zugangsberechti­gungen hat, unendliche Skalierbarkeit, keine Notwendigkeit einer eigenen IT-Infrastruktur, Flexibilität bei Datensicherung und Datenwiederherstellung.

Nicht zuletzt bietet auch INEXSO bereits seit 2002 webbasiertes Enterprise Response Management an. Dabei realisiert INEXSO sämtliche Services von Entwicklung, Administration, Hosting bis zum Support ausschließlich in Deutschland nach den hier geltenden strengen Regeln der DSGVO. Und genau hier entsteht der Handlungsbedarf bei Nutzern von US-Software. Nach der EuGH-Entscheidung ist unmittelbar zu prüfen und sicherzustellen, dass nicht nur beim Betrieb und der Datenhaltung – dies ist in der Regel durch Rechen­zentren in der EU oder gar Deutschland gewährleistet - , sondern auch bei Wartung und technischem Support eine Übertragung personenbezogener Daten in die USA ausgeschlossen ist.

Anwenderunternehmen von Cloud-Software müssen also überprüfen, ob alle Auftragsverarbeitungen in der Europäischen Union erfolgen oder ob es Datenverarbeitungen in Ländern ohne angemessenes Datenschutz­niveau gibt. Sobald nur ein Prozess, welcher sich auch hinter einem europäischen Hosting verbergen kann, der Anforderung nicht genügt, kann es zu rechtlichen Konsequenzen kommen. Des Weiteren müssen Anwen­der ihre Verträge mit Cloud-Providern überprüfen. Fast alle US-Unternehmen im Bereich Cloud-Dienst­leistungen - und dazu zählen auch deren Mutter- und Tochterunternehmen – finden sich in der Liste von Privacy Shield.

Da der Privacy Shield zu keiner Zeit ein Abkommen war, sondern lediglich eine unverbindliche Selbstver­pflichtung, werden etliche der selbstzertifizierten U.S.-Unternehmen nun nachlegen müssen. Wollen sie dies? Wie schnell können sie dies? Und was wird es kosten?

https://www.privacyshield.gov/list