DatenschutzEin scharfes Schwert

[21.07.2020] Nachdem der EuGH das Datenschutzabkommen mit den USA gekippt hat, fordern Verbände ein neues bilaterales Datenschutzabkommen und mehr digitale Souveränität in der EU.

Der Europäische Gerichtshof (EuGH) hat in der vergangenen Woche entschieden, das Privacy Shield genannte Datenschutzabkommen mit den USA zu kippen. Gemäß der Datenschutz-Grundverordnung (DSGVO) dürfen personenbezogene Daten nicht in Drittländer übermittelt werden, die kein angemessenes Datenschutzniveau besitzen. Vor dem Hintergrund des Patriot Act von 2001, der einen Zugriff der US-Geheimdienste auf den transatlantischen Datenverkehr ermöglicht, und des Cloud Act von 2018 hat der EUGH nun die Rechtmäßigkeit des Privacy-Shield-Abkommens negiert. Der Datenschutz erweist sich somit als scharfes Schwert in den transatlantischen Beziehungen.
Hintergrund ist eine Beschwerde des österreichischen Datenschutzaktivisten Max Schrems. Der Jurist hatte bei der irischen Datenschutzbehörde beanstandet, dass Facebook Ireland seine Daten an den Mutterkonzern in die Vereinigten Staaten auf Basis des Abkommens zwischen der EU und den USA weiterleitet. Nachdem der EuGH diesen Weg nun aufgrund der Rechtslage in den USA versperrt hat, gelten weiterhin die so genannten Standardvertragsklauseln. Der EuGH unterstreicht in seinem Urteil nochmals, dass demzufolge Verantwortliche und Auftragsverarbeiter prüfen müssen, ob die Standardvertragsklauseln in einem Drittland eingehalten werden. Auch die Datenschutzaufsichtsbehörden werden verpflichtet, dies zu beurteilen.

Verstöße gegen geltendes Recht

Laut dem Verband der IT-Anwender VOICE, in dem Unternehmen wie Airbus, Allianz, Lufthansa, RWE oder Thyssen Krupp vertreten sind, setzt die Regelung europäische Unternehmen dahingehend unter Druck, dass sie ihre Verträge mit Cloud-Providern dringend überprüfen und die Daten nun verschlüsseln müssten. Die Datenübermittlung in die USA werde illegal. Vom Privacy Shield betroffen seien im Prinzip fast alle europäischen Unternehmen, die ihre Daten von US-Cloud-Anbietern verarbeiten lassen und zum anderen Unternehmen, die personenbezogene Daten ihrer Kunden zum Beispiel an Mutter- oder Tochterunternehmen weiterleiten oder die aus anderen Gründen personenbezogene Daten in die USA transferieren. Das gilt auch für die großen Social Networks und Suchmaschinenanbieter, welche die Daten von EU-Bürgern sammeln und in die USA übermitteln.
Ähnliches drohe auch den so genannten Standardvertragsklauseln, die europäische Unternehmen in ihre Verträge mit US-Providern aufnahmen, als 2015 der Vorgänger von Privacy Shield, das Safe-Harbour-Abkommen, vom EuGH gekippt worden und Privacy Shield noch nicht in Kraft war. „Wenn auch diese schon immer rechtlich umstrittenen Standardvertragsklauseln nicht mehr rechtmäßig sind, fehlt der Übermittlung personenbezogener Daten in die USA auch diese Rechtsgrundlage“, lautet die Einschätzung des VOICE-Verbands. Jedes Unternehmen, das personenbezogene Daten in die USA ohne Rechtsgrundlage übermittelt, verstoße gegen geltendes Recht, was empfindliche Strafen nach sich ziehen kann.

Keine schnelle Lösung in Sicht

Der Verband zweifelt die Möglichkeit einer kurzfristigen, rechtmäßigen Alternative an und empfiehlt deutschen und europäischen Unternehmen, zu überprüfen, ob ihr Daten-Management-System in der Lage ist, sämtliche Datenströme im Detail zu monitoren, da sie jederzeit Aussagen dazu treffen können müssen, wo personenbezogene Daten verarbeitet und gespeichert werden. Zudem sei es notwendig, sämtliche Verträge mit US Cloud-Providern und mit Providern, die ein signifikantes US-Geschäft haben, zu überprüfen. Im Zweifelsfall dürften dem Provider nur verschlüsselte Daten anvertraut werden und die Schlüssel ausschließlich in den Händen des eigenen Unternehmens sein.
Von der Bundesregierung und der EU-Kommission fordert der VOICE-Verband, ein verbindliches Datenschutzabkommen mit den USA zu schließen, das ein ausreichendes Datenschutzniveau garantiert, damit Unternehmen wieder legal personenbezogene Daten in die USA übermitteln können. „Ansonsten befürchten wir, dass die wirtschaftlichen Beziehungen zwischen den USA und Europa schweren Schaden nehmen“, heißt es in einer Stellungnahme. Geeignet dazu sei, den Aufbau einer europäischen Cloud-Infrastruktur voranzutreiben und damit die digitale Souveränität und Unabhängigkeit der Europäer zu erhöhen.

Mehrarbeit für den Datenschutz

Von kommunaler Seite wird das EuGH-Urteil unmissverständlich begrüßt. Wie der Bundesverband der kommunalen IT-Dienstleister, Vitako, mitteilt, müssten die Datenschutzbehörden in der EU nun ihrer Verpflichtung nachkommen, Datenübermittlungen in Drittländer zu prüfen und zu unterbinden, wenn sie der Auffassung sind, dass die europäischen Datenschutzvorgaben nicht erfüllt werden. Unternehmen wie Behörden hätten jetzt die Aufgabe, das Urteil praktisch anzuwenden. „Alle Nutzer von Software und Diensten amerikanischer Hersteller sowie Dienstleister müssen nun prüfen, ob die bisherigen Verträge weiterhin rechtskonform sind, das heißt, im Einklang mit der DSGVO stehen“, sagt Vitako-Geschäftsführer Ralf Resch. „Die kommunalen IT-Dienstleister schauen mit großem Interesse und positiver Erwartungshaltung auf die weiteren Schritte der europäischen Datenschutzbehörden.“

Helmut Merschmann




Weitere Meldungen und Beiträge aus dem Bereich: Politik
Konferenzbühne mit dunklem Hintergrund, darauf ein Speaker im Anzug mit Mikro in der Hand.

SEMIC-Konferenz: Kooperation für ein interoperables Europa

[12.07.2024] Auf der diesjährigen SEMIC-Konferenz, die unter dem Motto „Interoperable Europe: From Vision to Reality“ in Brüssel stattfand, stellte Staatssekretär Markus Richter seine Vision eines interoperablen Europas vor. Dieses fußt auf einer engen Zusammenarbeit der EU-Mitgliedstaaten im Digitalisierungsbereich. mehr...

Gruppe von jungen Schulkindern sitzt vor einem Laptop, dahinter eine Lehrerin.

Bundesrat: Mehr Druck beim DigitalPakt 2.0

[11.07.2024] Mit dem DigitalPakt Schule hat der Bund Länder und Kommunen bei Investitionen in die digitale Bildungsinfrastruktur unterstützt – bis Mai dieses Jahres. Nun verhandeln Bund und Länder über die Anschlussfinanzierung. Im Bundesrat sprachen sich die Länder für eine verlässliche Fortführung bis 2030 aus. mehr...

Cover des PD-Strategiepapiers "Der Weg zur öffentlichen hand von morgen"

PD: Reformagenda für den Public Sector

[09.07.2024] In einem Strategiepapier entwirft das Beratungsunternehmen PD ein Zielbild für den Public Sector von morgen. Um den Public Sector zukunftsfähig zu machen, reichen demnach Einzelmaßnahmen nicht aus. Daher will PD vier große Reformbereiche mit einem umfassenden Ansatz adressieren. mehr...

Porträtfoto von Dr. Fabian Mehring.
interview

Digitales Bayern: Der Sound der Zukunft

[05.07.2024] Bayern segelt auf Innovationskurs, sagt Fabian Mehring. Kommune21 sprach mit dem Digitalminister des Freistaats über die Reorganisation seines Ressorts, seine Pläne für einen innovativen Staat und die Rolle der Kommunen dabei. mehr...

Cover des eGovernment Benchmark Report 2024

eGovernment Benchmark 2024: Nutzerzentrierung ist der Schlüssel

[05.07.2024] Laut dem jüngsten eGovernment-Benchmark-Report der Europäischen Kommission haben die europäischen Staaten bei der Bereitstellung digitaler Behördendienste stetige Fortschritte gemacht. Raum für Optimierungen gibt es insbesondere bei grenzüberschreitenden Diensten und bei Dienstleistungen, die von regionalen und kommunalen Behörden erbracht werden. mehr...

Porträtfoto Dörte Schall

Rheinland-Pfalz: Neue Digitalministerin ernannt

[03.07.2024] Neue Ministerin für Arbeit, Soziales, Transformation und Digitalisierung in Rheinland-Pfalz wird Dörte Schall. Der bisherige CIO/CDO der Landesregierung, Fedor Ruhose, soll Chef der Staatskanzlei werden. mehr...

Thüringer Landes-CIO Hartmut Schubert im dunklen Anzug am Rednerpult, im Hintergrund eine blaue Wand.

Thüringen: Zehn Millionen Euro für kommunale Digitalisierung

[02.07.2024] Das Land Thüringen will die kommunale Digitalisierung mit zehn Millionen Euro fördern. Das geht aus der neuen Thüringer E-Government-Richtlinie hervor, die jetzt offiziell veröffentlicht wurde. Gefördert werden unter anderem digitale Fachverfahren und Schnittstellen, IT-Sicherheits-Maßnahmen und die interne Prozessoptimierung. mehr...

Cover des Jahresberichts 2023 des Sächsischen NKR.

Bürokratieabbau: Jahresbericht des Sächsischen Normenkontrollrats

[01.07.2024] Mit der Erfüllungsaufwandsdarstellung neuer Regelungen soll der Sächsische Normenkontrollrat zu mehr Transparenz beitragen und Erkenntnisse zum Bürokratieabbau in Sachsen wie auch im bundesweiten Vergleich liefern. Nun liegt der Jahresbericht für 2023 vor. mehr...

Ministerien und Ämter des Freistaats Bayern können künftig Anwendungen aus der  Kubernetes-Cloud nutzen.
bericht

Cloud-Strategie: Bundeskanzleramt verwirft Deutsche Verwaltungscloud

[27.06.2024] Mit einem ungewöhnlichen Schritt brüskiert das Kanzleramt alle Initiativen rund um die Deutsche Verwaltungscloud und drängt die Bundesländer zu einem Vertragsabschluss mit Delos, einer in Deutschland betriebenen Variante der Microsoft Azure Cloud. mehr...

Gruppenfoto: Teilnehmende der IT-Planungsrats-Klausurtagung auf der Außentreppe eines Gebäudes.

IT-Planungsrat: Weichenstellung für modernen Föderalismus

[20.06.2024] Als zentrales Steuerungsgremium für die Digitalisierung der Verwaltung gestaltet der IT-Planungsrat den organisatorischen, rechtlichen und finanziellen Rahmen der Verwaltungsdigitalisierung. In seiner letzten Sitzung traf das Gremium weitreichende Beschlüsse, die bei der Umsetzung zu mehr Tempo und Effizienz führen sollen. mehr...

In blaues Licht getauchte Bühne mit rund 20 leger gekleideten Personen, die Urkunden präsentieren.

Schleswig-Holstein: Innovative Open-Source-Lösungen für die Verwaltung

[20.06.2024] Die Landesregierung Schleswig-Holstein will digitale quelloffene Lösungen für Arbeits- und Verwaltungsprozesse fördern. Nun wurden auf dem Waterkant Festival Kiel fünf Open-Source-Projektideen ausgezeichnet, die noch in diesem Jahr in die Umsetzung starten sollen. mehr...

Weiße Puzzleteile auf weißem Hintergrund.

Registermodernisierung: Was bedeutet der Verzicht auf etablierte Standards?

[19.06.2024] Der Bund hat entschieden, bei der Registermodernisierungskomponente NOOTS nicht auf den etablierten Protokollstandard OSCI zu setzen – stattdessen soll etwas völlig neues entwickelt werden. Der Databund sieht darin eine Fehlentscheidung, die hohe Millionenbeträge verschlingt und die Verwaltungsmodernisierung um Jahre zurückwirft. mehr...

Symbolbild: ein unsortierter Haufen weißer Paragrafenzeichen, dazwischen ein hellblaues.

Rheinland-Pfalz: IT-Staatsvertrag wird ratifiziert

[18.06.2024] Um die Verwaltungsdigitalisierung besser unterstützen zu können, soll der Zweite IT-Änderungsstaatsvertrag die IT-Zusammenarbeit zwischen Bund und Ländern weiter stärken. Insbesondere die Rolle der FITKO als zentrale Umsetzungseinheit soll weiterentwickelt und gestärkt werden. Nun hat Rheinland-Pfalz den Weg zur Ratifizierung frei gemacht. mehr...

Das Bild zeigt Thomas Popp, CIO des Freistaats Sachsen.

Sachsen: NIS2-Richtlinie umgesetzt

[17.06.2024] Der Sächsische Landtag hat ein neues Gesetz verabschiedet, das die Anforderungen der europäischen Cyber-Sicherheitsrichtlinie NIS2 umsetzt. Behörden müssen nun erweiterte Maßnahmen zur Informationssicherheit einhalten und einen umfassenden Schutz gewährleisten. mehr...

Das Bild zeigt Kristina Sinemus, Ministerin für Digitalisierung und Innovation in Hessen.

OZG 2.0: Hessen begrüßt Einigung

[17.06.2024] Die hessische Digitalministerin Kristina Sinemus begrüßt die Zustimmung des Bundesrats zur Novelle des Onlinezugangsgesetzes. Insbesondere die Weiterentwicklung des Bürgerkontos zur DeutschlandID stößt in Hessen auf Zustimmung. mehr...