Privacy-Shield-Urteil des EuGH: Kein Grund zur Panik!

Seitdem der Europäische Gerichtshof (EuGH) mit seinem Urteil vom 16. Juli 2020 das transatlantische Datenschutzabkommen „Privacy Shield“ für unzureichend erklärt hat, besteht für die Verarbeitung personenbezogener Daten auf Systemen in den USA ein Rechtsvakuum. Unternehmen können Daten von EU-Bürgerinnen und Bürgern weiterhin durch die vom EuGH zugelassenen Standardvertragsklauseln der EU-Kommission schützen. US-Gesetze wie das FISA (Foreign Intelligence Surveillance Act) lassen eine wasserdichte, datenschutzkonforme Umsetzung jedoch derzeit nicht zu.

Was bedeutet das „Privacy Shield“ für europäische Unternehmen?

Für viele europäische Unternehmen stellt sich nun die Frage, welchen Einfluss dieses Urteil auf ihre geplanten und bestehenden Cloud-Projekte hat. Dabei ist folgender Hinweis wichtig: das Urteil bezieht sich ausschließlich auf die Verarbeitung personenbezogener Daten in einer in den USA betriebenen Public Cloud. Daten ohne Bezug zu Personen sind somit nicht betroffen.

Die mit der Entscheidung des EuGHs einhergehende Forderung, dass bei unzureichendem Schutz der konkrete Datenverkehr unterbunden werden muss, sorgt nun vielerorts für Aufregung und hektische Betriebsamkeit. Aus Sorge vor möglichen rechtlichen Konsequenzen werden längst festgelegte Prinzipien und abgestimmte Konzepte infrage gestellt. zum Teil werden Cloud-Initiativen sogar auf Eis gelegt. Bei genauerem Hinsehen ist dies jedoch in den seltensten Fällen notwendig.

Wo besteht Handlungsbedarf?

Wenn Ihr Unternehmen auf die Übertragung personenbezogener Daten über die EU-Grenzen hinaus angewiesen ist, sollten Sie zunächst einen kühlen Kopf bewahren. Stellen Sie sich folgende Fragen:

  • Welche Arten von Daten werden konkret verarbeitet?
  • Gibt es Änderungsbedarf an bestehenden Konzepten?
  • Wie werden die Daten bisher generell gesichert?
  • Wer sind die Partner und Auftragsverarbeiter, die mit diesen Daten umgehen und welche Verbindungen und vertraglichen Abhängigkeiten bestehen?
  • Welche IT- beziehungsweise Cloud-Architektur erfüllt die identifizierten und verschriftlichten Anforderungen des Unternehmens?
  • Wie kann die entsprechende (Cloud-) Infrastruktur bereitgestellt werden?
  • Welche regulatorischen und vertraglichen Verpflichtungen (auch zum Endkunden) gelten?
  • Gibt es weitere branchen- und workload-spezifische Fragen, die Einfluss auf den Datenschutz nehmen?

Dies gilt zum Beispiel für multinationale Konzerne mit internem Datenverkehr. Aber auch bei jedem Datentransfer mit Dienstleistern und anderen Dritten, wie Cloud-Anbietern.

Nicht alle Unternehmen sind gleichermaßen vom „Privacy Shield“ betroffen

Seit der Entscheidung des EuGH herrscht Unsicherheit. Viele Kunden kommen daher mit ihren Fragen auf uns, aber auch auf die großen Public Cloud Anbieter zu.

Wir konnten bei diesen Anfragen vor allem zwei Kundengruppen identifizieren:


  1. Kunden, die in einem standardisierten Verfahren wie dem Cloud Baselining und der daraus abgeleiteten Roadmap die regulatorischen und technischen Themengebiete verbunden haben. Diese Kundengruppe ist sehr gut auf die aktuellen Herausforderungen vorbereitet. Einige Konzepte muss man gegebenenfalls anpassen und technische Vorgaben justieren.
    Diese geringen Aufwände sind möglich, da nach dem Cloud Baselining regulatorische Vorgaben die Basis für eine nachhaltige Cloud LandingZone bildeten. Die entsprechenden regulatorischen Rollen des Unternehmens wurden so von Anfang an eingebunden.
  2. Kunden, die ihre Cloud-Infrastruktur ohne umfassende Cloud-Strategie nur unter technischen Gesichtspunkten aufgebaut oder ihre Workloads rein technisch in der Cloud abgebildet haben.
    Dabei wurden unter Umständen wichtige Elemente, die als Rahmen für die technische Dimension einer Cloud-Umgebung dienen, nicht hinreichend berücksichtigt. Diese Kunden erkennen nun die fehlenden Dimensionen wie strategische Ausrichtung, Betriebsverfahren und den großen Bereich der IT-Security und Compliance. Sie befinden sich nun in einer sehr ungünstigen Situation. Denn sie können nicht ohne Weiteres reagieren und die neuen Anforderungen umsetzen und einbinden.

Eine umfassende Cloud-Strategie ist die Basis für Rechtssicherheit

Die erste Gruppe können wir beruhigen, da sie in ihrer bestehenden Cloud-Strategie bereits weitreichende Compliance-, Datenschutz- und Security-Anforderungen berücksichtigen. Hier sind meist nur minimale Anpassungen an die aktuellen Gegebenheiten notwendig – und diese sind dank einer stabil aufgestellten IT-Architektur auch kurzfristig umsetzbar.

Die zweite Gruppe läuft jedoch Gefahr, technologisch und wirtschaftlich abgehängt zu werden. Dies könnte im Zuge des aktuellen Wandels der Weltwirtschaft und mit Blick auf die zunehmenden technischen Änderungen, zum Beispiel durch die Corona-Pandemie, leicht passieren. Aus der Not und Unsicherheit heraus Cloud-Projekte herunter zu fahren und somit Initiativen im Bereich Cloud zu verschieben oder gar zu stoppen, kann einen Wettbewerbsnachteil bedeuten, der nur schwer wieder aufzuholen ist.

Eine kurzfristige Lösung dieses Dilemmas ist, die vorhandene Infrastruktur zunächst nur in den Teilbereichen Security, Compliance und Datenschutz genau zu betrachten. Nach der Identifikation der dringlichsten Handlungsfelder identifiziert, kann man diese priorisieren und abarbeiten.

Dies stellt ein vergleichbares Vorgehen dar, wie bei einem umfassenden, standardisierten Cloud Baselining: Stakeholder zusammenbringen, Erwartungen, Rollen und Ziele definieren, eine Roadmap erarbeiten und mit der Umsetzung beginnen.

Wir sind für Sie da

Die Experten Adrian Wnek (verantwortlich für Cloud Baselining bei der direkt gruppe) und Ole Westphal (Unit Lead Security, direkt gruppe) haben für diesen Spezialfall ein Paket zusammengestellt, um schnell und gezielt zu unterstützen. Das Angebot umfasst die relevanten Elemente des vielfach durchgeführten Cloud Baselinings und ermöglicht eine schnelle Erarbeitung und Umsetzung der notwendigen Maßnahmen für beide erwähnten Kundengruppen.

Erfahren Sie mehr zu diesem Angebot in einem unverbindlichen ersten Beratungsgespräch mit unseren Experten!

Möchten Sie noch mehr zum Privacy-Shield-Urteil des EuGH erfahren? Wir empfehlen Ihnen die Aufzeichnung unseres Webinars expertHUB online:  Der Privacy Shield ist tot – es lebe der Privacy Shield?

 

Besuchen Sie auch unser kostenloses Webinar expertHUB online: „Innovativ in der Cloud trotz Paragraphenwald!“ am 29.10.2020 um 11 Uhr mit Stefan Müller und Ole Westphal.

 

Diesen Artikel teilen: