Das Laissez-faire bei der Nutzung von Diensten, die Daten auf Server in die USA übertragen, könnte Firmen jetzt auf die Füße fallen. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, Prof. Dr. Dieter Kugelmann, will jetzt schärfer vorgehen. Verstöße könnten bald mit Bußgeldern sanktioniert werden.
Anzeige
EuGH-Urteil zu Privacy Shield
Eine Verarbeitung persönlicher Daten von EU-Bürgern außerhalb der EU ist, wegen des US-Zugriffs auf diese Daten, nicht statthaft. Das zwischen der EU und den USA abgeschlossene Safe Harbor-Abkommen zum Datenaustausch war ja schon, auf Grund eines EuGH-Urteils aus 2015, ab dem 1. Februar 2016 unzulässig. Die EU und die USA hatten sich dann 2016 als Ersatz für das Datenschutzabkommen Safe Harbor auf ein neues Datenschutzabkommen "EU-US-Privacy Shield" geeinigt. Ich hatte es im Blog-Beitrag EU und USA einigen sich auf neuen Safe Harbor-Deal "EU-US-Privacy Shield" thematisiert.
Allerdings hatte der Europäische Gerichtshof (EuGH) im Juli 2020 über die Zulässigkeit der EU-US-Datenschutzvereinbarung "Privacy Shield" geurteilt und diese als unzulässig verworfen. Der Datenschutzaktivist Max Schrems aus Österreich hatte in Irland gegen dieses Datenschutzabkommen geklagt. Es ging um Daten, die Facebook aus der EU in die USA überträgt. Die irischen Richter hatten dem EuGH die Frage nach der Zulässigkeit des EU-US-Privacy Shield-Abkommens vorgelegt. Ich hatte den Fall im Blog-Beitrag EuGH kippt EU-US-Datenschutzvereinbarung "Privacy Shield" aufgegriffen.
Ein Urteil mit Folgen wird jetzt durchgesetzt
Das Urteil hat weitreichende Folgen für alles, was in Richtung Cloud oder sonstige Datenübertragung an Server oder Dienste außerhalb der EU geht. Datenschützer wiesen bereits im Juli 2020 darauf hin, dass es keine Karenzfrist für Unternehmen gebe (siehe Keine Karenzfrist für Unternehmen nach Privacy Shield-EU-Urteil). Allerdings haben die Datenschutzbeauftragten der Länder bisher wohl von Sanktionen abgesehen.
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, Prof. Dr. Dieter Kugelmann, hat beispielsweise Dutzende Unternehmen, Verbände und staatliche Stellen in Rheinland-Pfalz im Rahmen einer Informationsoffensive angeschrieben, auch um Verstößen in diesem Bereich vorzubeugen. Kugelmann schreibt dazu:
Anzeige
Ich rate dringend dazu, alle in ihrem Unternehmen stattfindenden Datenverarbeitungsvorgänge im Zusammenhang mit Drittländern anhand des von meiner Behörde bereitgestellten Prüfschemas auf ihre Zulässigkeit hin zu überprüfen und eventuellen Handlungsbedarf zu identifizieren, um Datenschutzverstöße schnellst möglich abzustellen oder zu verhindern.
Das Grundsatzurteil des Europäischen Gerichtshofs, das sogenannte Schrems II-Urteil, betrifft fast jedes Unternehmen, jede Behörde, Kommune, Schule, Organisation oder Arztpraxis. Denn sie verarbeiten automatisiert personenbezogene Daten, übermitteln diese dabei – oft unbewusst – in Länder außerhalb der Europäischen Union beziehungsweise des Europäischen Wirtschaftsraums. Sie bewegen sich damit datenschutzrechtlich auf dünnem Eis.
Kugelmann schreibt, dass es im Laufe dieses Jahres die Aufgabe seiner Behörde sei, zu prüfen, ob gegebenenfalls Datenschutzvergehen vorliegen und Sanktionen verhängt werden müssen. Zuvor wollen seine Mitarbeiter/innen die Unternehmen und Behörden nochmals sensibilisieren. Wer bis jetzt noch nicht auf die neue Rechtslage reagiert hat, muss umgehend aktiv werden, sofern dies denn nötig ist. Wenn diese nichts fruchtet, will der Datenschutzbeauftragte auch Bußgelder verhängen.
Das Thema hatten wir hier im Blog ja schon häufiger, wenn es um Cloud-Angebote ging. Und auch Produkte wie Microsoft 365 mit Windows 10 und Office 365 sind diesbezüglich höchst umstritten. Ich gehe davon aus, dass auch die Datenschutzbeauftragten anderer Bundesländer demnächst reagieren müssen. (via)
Ähnliche Artikel:
EuGH kippt EU-US-Datenschutzvereinbarung "Privacy Shield"
Keine Karenzfrist für Unternehmen nach Privacy Shield-EU-Urteil
Anzeige
Bussgelder nützen nur etwas, wenn sie genügend hoch sind. Im Falle von Microsoft und Apple müssten das Milliarden sein.
Das ganze ist nichts weiter als eines der üblichen Schauspielereien, um den eigenen Arbeitsplatz zu legimitieren und sichern.
Was nutzen hohe Bußgelder, wenn diese nicht *eingefordert* werden. In Punkto Privacy Shield hätte schon viel früher agiert werden müssen – noch immer werden Daten munter fröhlich transferiert, trotz der Unzulässigkeit.
Ankündigungen dieser Art dienen nur dazu, den Stammtisch-Pöbel zu besänftigen. Es wird keine nennenswerten Folgen haben. Genauso wenig wie bei den letzten Unternehmen, bei denen ja "ach so hohe" Bußgelder wegen Verstößen gegen die DSGVO oder Mitarbeiterbespitzelung verhängt wurden.
Sollen die alle mal weiter brav ihr schlechtes Theater spielen… ich nehme es zur Kenntnis, gähne vor mich hin und widme mich weiter meinen täglichen Aufgaben – in dem Wissen, in punkto Datenschutz gänzlich auf mich allein gestellt zu sein.
Sorry aber wenn man den Stammtischpöbel besänftigen will darf man als Datenschützer gar nichts machen. Denn der Pöbel hat nichts zu verbergen und braucht daher auch keinen Datenschutz ;)
Der Pöbel will weiterhin Whatsapp nutzen und nicht darüber nachdenken, der Pöbel will vorallem eines nämlich keinen zusätzlichen Aufwand. Aber keine Sorge er wird sich dann schon beschweren und fragen warum niemand etwas getan hat oder ihn gewarnt hat wenn es zu spät ist!
Aber ja in einem Punkt bin ich auch erstmal skeptsich und das sind die tatsächlichen Auswirkungen denn Datenschutz kostet Geld und ist damit für die Wirtschaft per se schädlich bzw. die Wirtschaft glaubt das es schädlich für sie ist und das reicht leider aus.
Ist ein bisschen wie mit dem Klimaschutz, man könnte auch mal versuchen das Ganze zum eigenen Vorteil zu nutzen aber kurzfristige Rendite ist halt wichtiger.
Stammtisch ist bekanntermaßen doch immer das, was aktuell gerade nicht salonfähig/erwünscht ist. Kann sich jederzeit nach Gusto und Interessen ändern.
Und atm sind – selbst von Seiten der Grünen – die Datenschutz-Bedenkenträger ein ganz, ganz böses Übel.
Schon einmal über Artikel 83, Absatz 6 DSGVO nachgedacht
https://dsgvo-gesetz.de/art-83-dsgvo/
bzw, warum "nur" 20 Millionen EUR bzw. "nur" 4 Prozent des Jahresumsatzes?
Das häufig überlesene aber sehr wichtige Detail in diesem Fall ist aber: je nachdem, welcher der Beträge höher ist! Es wird der Betrag der höher ist als Strafe verhängt.
Das Problem ist das auch hier wieder das Konstrukt, das die Unternehmen nutzen um Steuern in Europa zu sparen, auch hier wieder den Unternehmen hilft den Betrag der Strafe klein zu halten. Microsoft macht in Europa "keinen" Umsatz also kann man maximal 20 Millionen als Strafe verhängen. Wobei ich zumindest das Gefühl habe das man den Fall zumindest ein bisschen mit einbezogen hat. Von dem her, es gibt weit weniger kluge Gesetze. Wobei die Frage ist ob diese Stuerspartricks hier nicht sogar zum Bummerang werden könnten, denn theoretisch müsste man doch alle beteiligten Unternehmen bestrafen können.
Das Problem ist, daß auch hier wieder das Konstrukt das die Unternehmen nutzen…
Wobei ich zumindest das Gefühl habe, daß man den Fall zumindest ein bisschen…
Sorry, nicht böse sein. Hat mich jetzt einfach mal gereizt da mir aufällt, daß die jüngere Generation scheinbar ein "das/daß(dass)"-Problem hat. Stört mich aber nicht weiter ;-)
Täte es Dich nicht triggern, hättest Du nicht darauf reagiert. :-P
Und sei Dir versichert, auch bei uns alten Säcken gibt's genug Personen, die das/dass und seit/seid durcheinanderwürfeln. Oder als wie… *brrr* in einem Atemzug nennen. :-D
Ich finde das ist einfach eine sinnlose Regel und ignoriere sie daher auch. Das ist der kleine Fehler den ich mir erlaube!
Ich muss gestehen das mich der Kommentar mit dem die jüngere Generation scheint damit ein Problem zu haben aber ziemlich nervt. Ich finde das ist so von oben herab von einer Generation die ganz andere Fehler gemacht hat. Aber klar ein fehlendes s ist natürlich wirklich schlimm :(
Dieses Phänomen auf Grammatik- oder Rechtschreibfehler in Foren hinzuweisen kenne ich in der Ausprägung auch nur in Deutschland. Ich schreibe häufig in englischen Foren, da ist mir sowas noch nicht aufgefallen.
Anonymous siehst du, das ist das Problem. Dein Kommentar, den du sicher nicht so böse gemeint hast, bietet jede Menge Stoff das jetzt hochzuschaukeln wie in den sozialen Medien.
Tu ich aber nicht. Ich entschuldige mich einfach dafür, daß ich dich ziemlich genervt habe und wünsche noch einen schönen Rest-Sonntag :)
@Mance
Ich finde deinen Kommentar aber auch nicht gerade dazu geeignet beim Gegenüber für gute Stimmung zu sorgen. Besonders schwierig finde ich Verallgemeinerungen wie die jüngere Generation, deswegen habe ich genauso verallgemeinernt reagiert.
Wobei mit diesem Kommentar meine persönliche Grenze an Unfreundlichkeit erreicht war.
Ich bin übrigens auch schon fast 40 und denke das ich da nicht mehr ganz in die jüngere Generation passe ;)
Aber Danke für deine Entschuldigung die ich nur erwidern kann. Ich entschuldige mich für eine unfreundliche Anwort und wünsche einen schönen Abend.
"Sorry, nicht böse sein. Hat mich jetzt einfach mal gereizt da mir aufällt, daß die jüngere Generation scheinbar ein „das/daß(dass)"-Problem hat. Stört mich aber nicht weiter ;-)"
"Tu ich aber nicht. Ich entschuldige mich einfach dafür, daß ich dich ziemlich genervt habe und wünsche noch einen schönen Rest-Sonntag :)"
Die ältere Generation scheint dafür ein "daß"-Problem zu haben und lebt noch in einer Zeit von vor 25 Jahren oder mehr. Damit wäre es demnach ausgeglichen. Wenn man im Glashaus sitzt… ;)
Bin gespannt, welche Maßnahmen z.B. die Arztinfosysteme bzw. Hersteller ergreifen, um eben nicht Windows und Office sowie MS-SQL o.ä. einsetzen zu müssen.
Womöglich bald alles Webanwendungen auf einem Rechenzentrum eines zuverlässigen "billigsten" Anbieters?
Ich fürchte, dass nur der leicht erreichbare kleine Nutzer die Strafen abbekommen wird und sich im Großen gar nichts ändern wird, weil es schlicht keine echten Alternativen gibt.
Wenn es echte, brauchbare, bezahlbare Alternativen gibt, würden so einige Firmen mit Sicherheit ihre Daten umziehen. Nur ist dies kaum vorhanden..
Wobei der werte Herr aus RLP erstmal bei sich kehren sollte, die Behörden setzen auch zB. MS-Tools ein diese können natürlich nicht geahndet werden. ;-)
Und wie ist das nun tatsächlich mit Microsoft 365. Ich meine das bayerische Landesamt ist der Ansicht, dass die Garantien die Microsoft in ihrem Vertrag bei den Standardvertragsklauseln schreiben, von wegen werden niemals Daten an eine Behörde geben und jeglichen Versuch abstreiten usw. kein Freifahrtschein sind. Also was tun? Klar mehr auf Alternativen setzen, aber wie kann ich das Kunden vermitteln, die auf Windows anwiesen sind, weil sie z.B. Solidworks benutzen müssen.