Privacy-Shield-Urteil des EuGH: Kein Grund zur Panik!

Seitdem der Europäische Gerichtshof (EuGH) mit seinem Urteil vom 16. Juli 2020 das transatlantische Datenschutzabkommen „Privacy Shield“ für unzureichend erklärt hat, besteht für die Verarbeitung personenbezogener Daten auf Systemen in den USA ein Rechtsvakuum. Zwar können Daten von EU-Bürgerinnen und Bürgern weiterhin durch die vom EuGH zugelassenen Standardvertragsklauseln der EU-Kommission geschützt werden, US-Gesetze wie das FISA (Foreign Intelligence Surveillance Act) lassen eine wasserdichte, datenschutzkonforme Umsetzung jedoch derzeit nicht zu.

Was bedeutet das „Privacy Shield“ für europäische Unternehmen?

Für viele europäische Unternehmen stellt sich nun die Frage, welchen Einfluss dieses Urteil auf ihre geplanten und bestehenden Cloud-Projekte hat. Dabei muss darauf hingewiesen werden, dass das Urteil sich ausschließlich auf die Verarbeitung personenbezogener Daten in einer Public Cloud, die in den USA betrieben wird, bezieht. Daten ohne Bezug zu Personen sind somit nicht betroffen.

Die mit der Entscheidung des EuGHs einhergehende Forderung, dass bei unzureichendem Schutz der konkrete Datenverkehr unterbunden werden muss, sorgt nun vielerorts für Aufregung und hektische Betriebsamkeit. Aus Sorge vor möglichen rechtlichen Konsequenzen werden längst festgelegte Prinzipien und abgestimmte Konzepte infrage gestellt und Cloud-Initiativen zum Teil sogar auf Eis gelegt. Bei genauerem Hinsehen ist dies jedoch in den seltensten Fällen notwendig.

Wo besteht Handlungsbedarf?

Wenn Ihr Unternehmen auf die Übertragung personenbezogener Daten – zum Beispiel als multinationaler Konzern mit internem Datenverkehr, aber auch bei jedem Datentransfer mit Dienstleistern und anderen Dritten, wie Cloud-Anbietern – über die EU-Grenzen hinaus angewiesen ist, sollten Sie zunächst einen kühlen Kopf bewahren und sich folgende Fragen stellen:

  • Welche Arten von Daten werden konkret verarbeitet?
  • Gibt es Änderungsbedarf an bestehenden Konzepten?
  • Wie werden die Daten bisher generell gesichert?
  • Wer sind die Partner und Auftragsverarbeiter, die mit diesen Daten umgehen und welche Verbindungen und vertraglichen Abhängigkeiten bestehen?
  • Welche IT- beziehungsweise Cloud-Architektur erfüllt die identifizierten und verschriftlichten Anforderungen des Unternehmens?
  • Wie kann die entsprechende (Cloud-) Infrastruktur bereitgestellt werden?
  • Welche regulatorischen und vertraglichen Verpflichtungen (auch zum Endkunden) gelten?
  • Gibt es weitere branchen- und workload-spezifische Fragen, die Einfluss auf den Datenschutz nehmen?

Nicht alle Unternehmen sind gleichermaßen vom „Privacy Shield“ betroffen

Seit der Entscheidung des EuGH sind viele Kunden auf uns, aber auch auf die großen Public Cloud Anbieter, mit Anfragen zugekommen, die von Unsicherheit geprägt sind.

Wir konnten bei diesen Anfragen vor allem zwei Kundengruppen identifizieren:


  1. Kunden, die in einem standardisierten Verfahren wie dem Cloud Baselining und der daraus abgeleiteten Roadmap die regulatorischen und technischen Themengebiete verbunden haben. Diese Kundengruppe ist sehr gut auf die aktuellen Herausforderungen vorbereitet. Einige Konzepte müssen gegebenenfalls angepasst und technische Vorgaben justiert werden.
    Diese geringen Aufwände sind möglich, da nach dem Cloud Baselining regulatorische Vorgaben die Basis für eine nachhaltige Cloud LandingZone bildeten. Die entsprechenden regulatorischen Rollen des Unternehmens wurden so von Anfang an eingebunden.
  2. Kunden, die ihre Cloud-Infrastruktur ohne umfassende Cloud-Strategie nur unter technischen Gesichtspunkten aufgebaut oder ihre Workloads rein technisch in der Cloud abgebildet haben.
    Dabei wurden unter Umständen wichtige Elemente, die als Rahmen für die technische Dimension einer Cloud-Umgebung dienen, nicht hinreichend berücksichtigt. Diese Kunden erkennen nun die fehlenden Dimensionen wie strategische Ausrichtung, Betriebsverfahren und den großen Bereich der IT-Security und Compliance. Sie befinden sich nun in einer sehr ungünstigen Situation, da sie nicht ohne Weiteres reagieren und die neuen Anforderungen umsetzen und einbinden können.

Eine umfassende Cloud-Strategie ist die Basis für Rechtssicherheit

Die erste Gruppe können wir beruhigen, da sie in ihrer bestehenden Cloud-Strategie bereits weitreichende Compliance-, Datenschutz- und Security-Anforderungen berücksichtigen. Hier sind meist nur minimale Anpassungen an die aktuellen Gegebenheiten notwendig – und diese sind dank einer stabil aufgestellten IT-Architektur auch kurzfristig umsetzbar.

Die zweite Gruppe läuft jedoch Gefahr, im Zuge des aktuellen Wandels der Weltwirtschaft und mit Blick auf die zunehmenden technischen Änderungen, zum Beispiel durch die Corona-Pandemie, technologisch und wirtschaftlich abgehängt zu werden. Aus der Not und Unsicherheit heraus Cloud-Projekte herunter zu fahren und somit Initiativen im Bereich Cloud zu verschieben oder gar zu stoppen, kann einen Wettbewerbsnachteil bedeuten, der nur schwer wieder aufzuholen ist.

Eine kurzfristige Lösung dieses Dilemmas ist, die vorhandene Infrastruktur zunächst nur in den Teilbereichen Security, Compliance und Datenschutz genau zu betrachten. Sind erst einmal die dringlichsten Handlungsfelder identifiziert, können diese priorisiert und abgearbeitet werden.

Dies stellt ein vergleichbares Vorgehen dar, wie bei einem umfassenden, standardisierten Cloud Baselining: Stakeholder zusammenbringen, Erwartungen, Rollen und Ziele definieren, eine Roadmap erarbeiten und mit der Umsetzung beginnen.

Wir sind für Sie da

Die Experten Adrian Wnek (verantwortlich für Cloud Baselining bei der direkt gruppe) und Ole Westphal (Unit Lead Security, direkt gruppe) haben für diesen Spezialfall ein Paket zusammengestellt, um schnell und gezielt zu unterstützen. Das Angebot umfasst die relevanten Elemente des vielfach durchgeführten Cloud Baselinings und ermöglicht eine schnelle Erarbeitung und Umsetzung der notwendigen Maßnahmen für beide erwähnten Kundengruppen.

Erfahren Sie mehr zu diesem Angebot in einem unverbindlichen ersten Beratungsgespräch mit unseren Experten!

Wenn Sie noch mehr zum Privacy-Shield-Urteil des EuGH erfahren möchten, empfehlen wir Ihnen die Aufzeichnung unseres Webinars expertHUB online:  Der Privacy Shield ist tot – es lebe der Privacy Shield?

 

Besuchen Sie auch unser kostenloses Webinar expertHUB online: „Innovativ in der Cloud trotz Paragraphenwald!“ am 29.10.2020 um 11 Uhr mit Stefan Müller und Ole Westphal.

 

Diesen Artikel teilen: