News

Bye Bye Privacy Shield

Der Europäische Gerichtshof (EuGH) hat in seinem Urteil vom 16. Juli 2020 entschieden, dass personenbezogene Daten aus Europa nicht ohne Sicherstellung eines angemessenen Datenschutzniveaus in die USA übermittelt werden dürfen. Dementsprechend wurde das bisherige Datenabkommen zwischen den USA und Europa, das Privacy Shield, gekippt.

Seit 2016 existierte das Privacy Shield-Abkommen, eine Art Selbstverpflichtung US-amerikanischer Unternehmen, personenbezogene Daten nur unter bestimmten Schutzvorkehrungen von EU-Ländern in die USA zu übermitteln. Das Abkommen sollte die Einhaltung der hohen Anforderungen der europäischen Datenschutz-Grundverordnung auch in Geschäftsbeziehungen zu Unternehmen aus Drittstaaten, wie beispielsweise der USA, sichern. Das betrifft sowohl Anbieter, deren Server im nicht-europäischen Ausland stehen, allerdings auch die Hyperscaler und Sozialen Netzwerke mit Rechenzentren und Speicherort in Deutschland oder anderen europäischen Ländern.

Der EuGH hat nun entschieden, dass das Privacy Shield keinen ausreichenden Schutz personenbezogener Daten europäischer Bürger gewährleisten kann. Sofern bislang personenbezogene Daten mit Bezug auf das Privacy Shield verarbeitet wurden, ist das ab sofort nicht mehr legitim und es müsse mindestens auf die gängigen Standardvertragsklauseln umgestellt werden. Die bilateral geschlossenen Standardvertragsklauseln zwischen europäischen Unternehmen und amerikanischen Anbietern zur Datenübertragung ins Ausland verstoßen dagegen nicht gegen die Charta der Grundrechte der Europäischen Union. Firmen können sie weiterhin nutzen, um rechtskonform personenbezogene Daten ins Ausland zu übermitteln, müssen aber gleichzeitig selbst prüfen und sicherstellen, dass der Schutz tatsächlich eingehalten wird. Es wird daher allgemein empfohlen, Verträge mit Cloud-Providern zu überprüfen und Daten zu verschlüsseln.

Sehr viele Unternehmen, die ihre Daten in Clouds von US-Anbietern (auch mit Speicherort in der EU!) verarbeiten lassen oder personenbezogene Daten beispielsweise in die USA übermitteln sind von der Entscheidung des EuGH unmittelbar betroffen. Dabei explizit eingeschlossen sind auch die Nutzung von Sozialen Netzwerken und Dienstleistungen von Suchmaschinenanbietern.
Mit dem Urteil des EuGH werden regionale, nationale und europäische Cloud-Projekte wie beispielsweise „Gaia-X“ erneut in den Fokus gestellt.

Mit hochverfügbaren Rechenzentren und regionale Cloud-Diensten bietet PFALZKOM eine gute Alternative für einen unterbrechungsfreien, wirtschaftlichen Betrieb von IT-Komponenten sowie eine sichere, Datenschutz-konforme Datenhaltung. Hybride Cloud-Lösungen sind hier ein weiterer Ansatz: Unternehmen können unternehmenskritische
Anwendungen etwa sicher auf privaten Servern in einem Colocation Rechenzentrum betreiben und kritische bzw. personenbezogene Daten gänzlich aus Public Clouds heraushalten. Für Anwendungen, welche hingegen bewusst in den Public Clouds laufen sollen, bietet PFALZKOM seinen Kunden spezielle gesicherte Verbindungen dorthin an.