Im Gespräch mit Marcus Dury — Datenschutz bei US-Anbietern
Das Thema kurz im Überblick.
1. Im Profil
2. Kurz und knapp: Was besagt die DSGVO?
Die Verordnung bezieht sich hauptsächlich auf den Schutz der Persönlichkeitsrechte jedes einzelnen EU-Bürgers und soll eine geordnete Datenverarbeitung von personenbezogenen Daten garantieren. Diese dürfen also entweder nur mit vorheriger Zustimmung der betreffenden Personen erhoben, gespeichert oder in sonstiger Weise verarbeitet werden oder es muss einer der anderen Erlaubnistatbestände der DSGVO eingreifen. Erteilte Zustimmungen können jederzeit widerrufen werden.
Die DSGVO regelt auch, wann die Weitergabe von persönlichen Daten verboten ist bzw. problematisch werden kann. Dazu zählen beispielsweise der Transfer von personenbezogenen Daten in sog. “unsichere” Drittstaaten wie die USA, also in Staaten, deren Datenschutzniveau nicht dem Europäischen Niveau entspricht. Es gilt der Grundsatz, dass bei der Weitergabe von personenbezogenen Daten außerhalb der EU das europäische Datenschutzniveau gewährleistet werden muss.
Darauf basierend ist es immer ratsam bei der Zusammenarbeit mit Service-Anbietern oder Hostern, auf deren Standorte und Konzernstrukturen zu achten. Befinden sich die Rechenzentren außerhalb der EU oder werden die Anbieter von Muttergesellschaften beherrscht, die ihren Sitz außerhalb der EU haben, werden alle mit diesen Anbietern oder Hostern zusammenhängende Datenverarbeitungsvorgänge als Datenexport / Drittstaatentransfer im Sinne der DSGVO behandelt.
Selbst wenn also die Rechenzentren von solchen Anbietern / Hostern in der EU angesiedelt sein sollten, ist man nicht auf der sicheren Seite, da US-amerikanische Behörden auch Daten von Unternehmen aus der EU anfordern können.Gegen solche Datenzugriffe können sich EU-Bürger / EU-Unternehmen rechtlich auch nicht wehren. Sie werden noch nicht einmal informiert. Dem kann man durch eine Zusammenarbeit mit rein europäischen Unternehmen – mit Standorten und Servern in der EU – effektiv vorbeugen.
3. Das EU-US-Privacy Shield
- PageSpeed Score
- Core Web Vitals
- Parameter mit Erläuterung
Nach dem Absenden erhältst du das Ergebnis direkt per E-Mail.
Mit dem Absenden dieses Formulars stimmst du unseren Datenschutzbestimmungen zu.
4. Der Status quo — Datenschutzabkommen
In diesem Zusammenhang ist auch das sog. US CLOUD Act relevant. Hierbei handelt es sich um ein US-Gesetz, das es den US-Behörden seit dem Jahr 2018 gestattet, auf personenbezogene Daten von EU-Bürgern zuzugreifen, die auch außerhalb der USA und unabhängig vom Standort durch US-amerikanische IT-Unternehmen gespeichert werden.
Der dadurch entstandene Konflikt der Vereinbarkeit mit der DSGVO prägt die aktuelle Lage und die Ungewissheit, worüber uns Marcus von DURY LEGAL in dem verlinkten Webinar Einblicke und Lösungsmöglichkeiten anbietet.
5. Was jedes Unternehmen für die eigene Datensicherheit tun kann.
Wenn eine Alternative zu US-Anbietern / US-Services in Europa durch Europäische Unternehmen zur Verfügung steht, sollte auf diese zurückgegriffen werden.
Zur Sicherstellung des Datenschutzes ist es oft die beste Lösung, sich frühzeitig nach europäischen Alternativen umzuschauen, um die Regeln der DSGVO vollständig beachten zu können. Gleichzeitig kann so auch weiterführenden Problemen präventiv vorgebeugt werden.
6. Fazit
Ein sauberes Dienstleistermanagement und wohl durchdachtes Datenverarbeitungskonzept, das die Anforderungen der DSGVO abbildet, ermöglicht es, unangenehme Nachfragen von Kunden, die aus Compliance-Gründen keine US-Anbieter tolerieren, offen und ehrlich zu beantworten. Dies kann einen echten Wettbewerbsvorteil mit sich bringen und auch der “Trust” in das eigene Unternehmen steigt aus Kundensicht. Wenn man seine Datenverarbeitungsprozesse dann auch noch – wie es die DSGVO eigentlich vorschreibt – in einem sog. “Verarbeitungsverzeichnis dokumentiert hat, kann man gleichzeitig auch noch bevorstehenden Prüfungen des eigenen Unternehmens durch die zuständigen Aufsichtsbehörden gelassen entgegensehen.
Wenn es keine Alternative zu einem US-Anbieter geben sollte, macht es aus unternehmerischer Sicht auch Sinn, diese offene Flanke zu kennen und das damit zusammenhängende unternehmerische Risiko einordnen zu können.
Ihr habt noch Fragen an Marcus oder Marcus? 🤔
Schreibt uns gerne in den Kommentaren!