StartseiteIn der Diskussion › EuGH kippt Safe Harbor - wohin nun mit den Daten?

EuGH kippt Safe Harbor - wohin nun mit den Daten?

EuGH kippt Safe Harbor - wohin nun mit den Daten?

Am 6.10.2015 schallte es mit Donnerhall erst durch den Gerichtssaal, dann durch die Medien: der Europäische Gerichtshof killt das Safe-Harbor-Abkommen (Urteilstext). Für das Thema Schutz personenbezogener Daten sicherlich ein großer Erfolg, für das Thema Daten und Dokumente in der Cloud eher ein Problem.

Patrick Beuth schreibt in seinem Artikel (bei Golem und in der ZEIT), "der EuGH hat ein Monster erschaffen. Mit seinem Urteil zum Datenschutzabkommen Safe Harbor stellt der Europäische Gerichtshof sowohl die Wirtschaft als auch die Politik vor praktisch unlösbare Probleme."
Die Medaille hat halt zwei Seiten und jetzt herrscht erstmal Unsicherheit. Die alte Liste mit den über 4200 "zertifizierten" Safe-Harbor-Unternehmen ist damit wertlos und wurde inzwischen vom US-Wirtschaftsministerium mit einem Verweis auf das Urteil ersetzt. Übrigens, auch wenn die deutsche Regierung das Thema jahrelang ignoriert hat, die 89. Konferenz der Datenschutzbeauftragten des Bundes und der Ländern hat das Gleiche schon am 19. März 2015 in Wiesbaden festgestellt. Und für die EU war dies wahrlich keine Überraschung. Bereits im März 2014 stimmte das Europaparlament mit überwältigender Mehrheit für eine Aussetzung des Safe-Harbor-Abkommens.v Das Vertrauen in die freiweillige Umsetzung von Safe Harbor durch internationale Großkonzerne war längst dahin. Das EuGH-Urteil ist so nur die offizielle Bestätigung des längst eingetretenen Todes.

Was heißt dies nun für die Anwender?

Man prüfe, wo man seine Daten - wirklich - habe. In der Cloud und auch beim traditionellen Outsourcing an einen Rechenzentrum-Provider weiß man zwar meistens, wo der primäre Speicherort ist - aber nicht die sekundären und die Sicherungsorte. Ganz abgesehen vom Thema Vertraulichkeit und Verschlüsselung sollten nach deutschem und europäischen Gesetzen und Verordnungen keine wichtigen (z.B. Steuerrecht, Handelsrecht etc.) Daten auf US-amerikanischen Servern sein. Im Zeitalter von Mobile und Cloud aber eine unrealistische Anforderung. Man denke nur an Austauschplattformen wie Dropbox, PaaS bei Amazon, OneDrive und GoogleDrive ... und was nicht auch noch alles. Eine Klassifikation der Wichtigkeit und der Vertraulichkeit aller Informationen im Unternehmen - die Informationslandkarte - ist heute wichtiger denn je.

Was heißt dies nun für Anbieter?

Viele Cloud-Anbieter haben sich vorbereitet. SIe bieten ihre Services von Rechenzentren im jeweiligen Land an. Newcomer im Cloud-Business müssen gerade bei Geschäftsanwendungen im Umfeld von ERP, CRM und EIM in der Lage sein, ihre Software und die Speicherorte regional und lokal - mit entsprechender Sicherung - anzubieten. Da ist die Gründung eines Unternehmens in Deutschland nicht ausreichend, sondern es zählt der Nachweis, dass die Daten hier verbleiben. Auch dies wieder ein "schöner Job" für Prüfer, Auditoren und Zertifizierer. 

 

Wie es weitergeht, in einer globalisierten Welt, des Internets? Wird es jemanden in Deutschland, in Europa kümmern, wenn es doch so bequem mit der Cloud ist? Und so günstig, und so "überall"? Wird sich etwas im Verhalten der Anwender und Unternehmenslenker ändern - oder bleiben Vertraulichkeit und Datenschutz leere Worthülsen? Ohne Regelungen wird es mittelfristig nicht gehen. Eine digitale Blockade ist unrealistisch und gefährlich. Aber werden die neuen Regelungen ein neues TTP/TTIP/CETA/usw-Dings werden?
Dies alles wird spannend bleiben.

 

Ressourcen zu den Auswirkungen:
EuGH Urteilstext
US Wirtschaftsministerium Safe Harbor Webseite
Carlo Piltz Urteilsanalyse
Patrick Beuth Aufkündigung unrealisitisch?
Martin Schirmbacher E-Mail-Marketing
Jennifer Rost Shopbetreiber
Thomas Schwenke Websitebetreiber, Agenturen und Unternehmen
Anna Biselli Datenschutz
Andreas Staufer Datenübermittlung doch möglich?
Anna Biselli Verantwortung EU-Staaten
Johannes Haupt USA enttäuscht
Daniel Wolf Verschlüsseln!

 

Zuletzt aktualisiert am 14.10.2015. Autorenrechte.
Persistente URL: http://www.pc.qumram-demo.ch/ecm/in_der_diskussion/eugh_kippt_safe_harbor_wohin_nun_mit_den_daten

Kommentare

Verfasst von uli am 8. Juli 2016 - 10:52.
#1

Privacy Shield

Am 8.7.2016 hat die Europäische Kommission dem Privacy Shield Abkommen mit den USA zugestimmt "Statement by Vice-President Ansip and Commissioner Jourová on the occasion of the adoption by Member States of the EU-U.S. Privacy Shield": http://bit.ly/EU-PrivacyShield  

Der Privacy Shield ist die Nachfolge des Safe Harbor Abkommens.Ähnlich wie Safe Harbor ist Privacy Shield bei Datenschützern umstritten, da die Einhaltung der Vorgaben kaum überprüfbar ist. In der Szene wird daher von "Business as Usual" - weiter wie bisher, gesprochen.

<Zitat aus der EU-Pressemitteilung"Today Member States have given their strong support to the EU-U.S. Privacy Shield, the renewed safe framework for transatlantic data flows. This paves the way for the formal adoption of the legal texts and for getting the EU-U.S. Privacy Shield up and running. The EU-U.S. Privacy Shield will ensure a high level of protection for individuals and legal certainty for business. It is fundamentally different from the old 'Safe Harbour': It imposes clear and strong obligations on companies handling the data and makes sure that these rules are followed and enforced in practice. For the first time, the U.S. has given the EU written assurance that the access of public authorities for law enforcement and national security will be subject to clear limitations, safeguards and oversight mechanisms and has ruled out indiscriminate mass surveillance of European citizens' data. And last but not least the Privacy Shield protects fundamental rights and provides for several accessible and affordable redress mechanisms. During the formal adoption process, the Commission has consulted as broadly as possible taking on board the input of key stakeholders, notably the independent data protection authorities and the European Parliament. Both consumers and companies can have full confidence in the new arrangement, which reflects the requirements of the European Court of Justice. Today's vote by the Member States is a strong sign of confidence." </Zitat>

Mehr Informationen zum Privacy Shield gibt es hier: http://europa.eu/rapid/press-release_IP-16-433_en.htm
 

Verfasst von uli am 31. Oktober 2015 - 14:06.
#2

EuGH Urteil zu Safe Harbor ... noch mehr Unsicherheit?

Nach dem Urteil des EuGH zum Safe Harbor Abkommen bleibt ein schaler Nachgeschmack. Es war vorher schon alles "unsicher", nun herrscht mangels formaler Grundlage eigentlich nur noch mehr "Unsicherheit". Dies gilt auch für ECM aus der Cloud.
Was ich vermisse, ist nun die große Initiative der deutschen Anbieter von ECM und Archivierung aus der Cloud, um den Kunden schmackhaft zu machen, dass es doch auch "sichere" Lösungen aus deutscher Hand mit deutschen Speicherorten in Deutschland gibt. Oder sind die deutschen Angebote doch nicht so sicher, weil sie "offene" Kommunikationsverbindungen und Basistechnologien aus den USA (Hardware, Betriebssysteme etc,.) benutzen? Eigentlich ist doch das EuGH-Urteil eine Steilvorlage für Anbieter in Deutschland, die man gemeinsam nutzen müsste ... aber Gemeinsamkeit wird in der Branche nicht mehr großgeschrieben.
Eine einheitliche Linie findet sich auch auf Verbandsebene offenbar nicht. Da erscheint vom BITKOM-Arbeitsklreis "ECM" eine 10 Punkte-Liste zum Thema "Archivierung & GoBD". Dort findet sich prominent, man dürfe auch steuer- und handelsrechtlich relevante Daten im Ausland archivieren (natürlich eingeschränkt,a ber ohne konkret zu werden), Zitat
"9 Die elektronische Archivierung darf unter bestimmten Voraussetzungen auch im Ausland erfolgen".
Wie verträgt sich denn dieses nun mit der Aufkündigung von Safe Harbor, die ja schon Installationen ausländischer (US-amerikanischer) Anbieter in Deutschland in Frage stellt?
Hierzu hat die Europäische Kommission eine Leitline herausgegeben "COMMUNICATION FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL on the Transfer of Personal Data from the EU to the United States of America under Directive 95/46/EC following the Judgment by the Court of Justice in Case C-362/14"

Verfasst von uli am 11. November 2015 - 14:29.
#3

Die Antwort von Microsoft auf den Wegfall von Safe Harbor

Rechenzentren in Deutschland, deutsches Personal, deutsche Standards: Microsoft kündigt Cloud-Dienste aus deutschen Rechenzentren an: http://bit.ly/1PCcpnN. Azure, Office 365 und Dynamics CRM Online werden ab dem zweiten Halbjahr 2016 aus deutschen Rechenzentren angeboten werden. Die Deutsche Telekom als Datentreuhänder den Zugang zu Kundendaten überwachen und kontrollieren.
Dieser "Antwort" auf den Wegfall von Safe Harbor werden noch viele andere internationale Player folgen - auch zum Thema ECM Enterprise Content Management.

Kommentar hinzufügen

Der Inhalt dieses Feldes wird nicht öffentlich zugänglich angezeigt.
  • Internet- und E-Mail-Adressen werden automatisch umgewandelt.
  • Zulässige HTML-Tags: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Zeilen und Absätze werden automatisch erzeugt.

Weitere Informationen über Formatierungsoptionen

CAPTCHA
Diese Frage hat den Zweck zu testen, ob Sie ein menschlicher Benutzer sind und um automatisiertem Spam vorzubeugen.
Bild-CAPTCHA
Enter the characters shown in the image.