Keine Karenzfrist für Unternehmen nach Privacy Shield-EU-Urteil

EU-Datenschützer weisen darauf hin, dass Unternehmen keine Übergangszeit eingeräumt werde, um eine Datenverarbeitung unter dem Privacy Shield weiter zu betreiben. Denn ein EU-Gericht hat vor einigen Tagen das  Privacy Shield-Abkommen mit den USA gekippt.


Anzeige

Ich hatte ja kürzlich im Blog-Beitrag EuGH kippt EU-US-Datenschutzvereinbarung "Privacy Shield" berichtet, dass der europäische Gerichtshof (EuGH) die Zulässigkeit des EU-US-Privacy Shield-Abkommens verneint und dessen Anwendung gekippt hatten. Die EU und die USA hatten sich 2016 als Ersatz für das, vom EuGH ebenfalls gekippte, Datenschutzabkommen Safe Harbor auf das neue Datenschutzabkommen "EU-US-Privacy Shield" geeinigt. Es sollte die Verarbeitung persönlicher Daten außerhalb der EU, auf Rechnern in der USA, regeln und Betroffenen Einspruchs- und Auskunftsrechte bezüglich ihrer Daten gewähren.

Der Datenschutzaktivist Max Schrems aus Österreich hatte in Irland gegen dieses Datenschutzabkommen geklagt. Es ging um Daten, die Facebook aus der EU in die USA überträgt. Die irischen Richter hatten dem EuGH die Frage nach der Zulässigkeit des EU-US-Privacy Shield-Abkommens vorgelegt. Der Europäische Gerichtshof (EuGH) hatte dann über die Zulässigkeit der EU-US-Datenschutzvereinbarung "Privacy Shield" zu urteilen und diese als unzulässig verworfen.

Keine Übergangsfrist

In diesem Artikel lese ich jetzt, dass die EU-Datenschützer den betroffenen Firmen keine Übergangsfrist einräumen werden, nach denen Daten in den USA auf Basis des Privacy Shield ausgewertet werden dürfen. In dieser FAQ zum Urteil, welches Max Schrems in Sachen Privacy Shield erstritten hat, gibt es klare Aussagen der EU-Datenschützer:

Is there any grace period during which I can keep on transferring data to the U.S. without assessing my legal basis for the transfer?

No, the Court has invalidated the Privacy Shield Decision without maintaining its effects, because the U.S. law assessed by the Court does not provide an essentially equivalent level of protection to the EU. This assessment has to be taken into account for any transfer to the U.S. 4)

I was transferring data to a U.S. data importer adherent to the Privacy Shield, what should I do now?

Transfers on the basis of this legal framework are illegal. Should you wish to keep on transferring data to the U.S., you would need to check whether you can do so under the conditions laid down below.

Der Transfer von Daten in die USA unter dem Privacy Shield-Abkommen wird von den Datenschützern ganz klar als Illegal eingestuft. Der EU-U.S. Privacy Shield ist tot, und alle Unternehmen, die sich immer noch auf das Abkommen verlassen, um den Transfer von persönlichen Daten von EU-Bürgern zu genehmigen, tun dies auf illegale Weise, so die Botschaft.

Unternehmen, die weiterhin personenbezogene Daten in die USA übertragen wollen, müssen daher einen alternativen Mechanismus nutzen. Der Datenaustausch kann auf Grundlage sogenannter Standardvertragsklauseln erfolgen. Dann ist zu prüfen, ob sie die gesetzliche Anforderung erfüllen können, die Daten vor der Überwachung durch die USA zu schützen. Die Süddeutsche Zeitung hatte pünktlich zum Urteil einen umfangreicheren Artikel zum Thema veröffentlicht.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit Datenschutz verschlagwortet. Setze ein Lesezeichen auf den Permalink.

13 Antworten zu Keine Karenzfrist für Unternehmen nach Privacy Shield-EU-Urteil

  1. Mira Bellenbaum sagt:

    Wie ist das generell mit dem Einsatz von Windows 10?
    Ich bin der Meinung, dass dieses BS, so wie es ist, gar nicht
    DSGVO-konform zu nutzen ist!
    Daten, auch sehr persönliche, werden erhoben und auf Azure Server des
    Unternehmens gespeichert.
    Diese wiederum stehen zu meist in den USA, jedoch nicht alle
    und dennoch haben US-Behörden
    unbeschränkten Zugriff auch auf Server außerhalb der USA!
    Dies wäre ein klarer Verstoß gegen das Privacy Shield-EU-Urteil.
    In diesem Sinne dürfen weder Unternehmen noch Behörden Windows 10 einsetzen!
    Ist das so oder lieg ich da irgendwie Falsch?

    • Max sagt:

      Ich frage mich ernsthaft, woher die Behauptung stammt, dass Windows 10 > personenbezogene Daten < wie Namen, Geburtsdaten, Geschlecht, Wohnort usw. erfasst und verarbeitet?!

      • Günter Born sagt:

        Nur mal so: Gemäß DSGVO ist bereits eine IP-Adresse ein persönliches Datum, welches eine Zustimmung zur Verarbeitung braucht …

        • Max sagt:

          Wenn ich dir spontan eine IP-Adresse ohne zusätzliche Angaben gebe, könntest du mir dann zweifelsfrei sagen, welche Person hinter dieser Adresse steckt?

          Die IP-Adresse ist eine Information, die allein für sich steht und erst im Kontext (durch andere Informationen) an Bedeutung gewinnt, woraus Wissen entsteht. Ich könnte einem Nobody (nicht der User hier gemeint) 19216820115 auf einen Zettel schreiben und ihm um Aufklärung bitten. Er wird mit diesen Daten nichts anfangen können. Erst durch den Kontext (in dem Fall 192.168.20.115) wird daraus eine Information, die ich ggf. verwenden kann. Aber damit kann ich noch immer nicht ohne Weiteres eine Person identifizieren.

          • 1ST1 sagt:

            Mit eine einer privaten IP Adresse aus dem 192.168.x.x Bereich oder 10.x.x.x kann man sowieso nichts anfangen, diese Subnetze gibt es weltweit millionenfach. Damit lässt sich niemand identifizieren. Die öffentliche IP-Adresse ist interessanter, aber hinter einer öffentlichen IP können sich wiederum 255 bis 16581375 verschiedene Personen verbergen, also auch nicht sonderlich hilfreich. Interessanter wirds mit IPv6, das ist wirklich einzigartig. Aber selbst wenn ich dir jetzt die IPv6 Adresse meines Lappies gebe, findest du mich nicht, du erfährtst maximal bei welchem Provider ich bin.

          • Günter Born sagt:

            Du diskutierst am falschen Ende! Ich zitiere nur das, was Datenschützer als DSGVO-relevant definiert haben. Und eine öffentliche IP gehört dazu. Ich durfte mich mit der DSGVO lange genug herumschlagen.

      • Mira Bellenbaum sagt:

        Informieren hilft!

        Zu den persönlichen Daten gehören Dein Nutzerverhalten, welches Du so zutage legst. Welche Programme Du benutzt und wie lange. Der Browserverlauf und damit welche Webpages Du so ansurfst. Dies sind jetzt nur zwei Beispiele von relativ vielen Daten die so über Dich und Dein Verhalten anfallen.

        • Max sagt:

          Microsoft sammelt keine Daten, sondern im Fachgebrauch der Informatik "Informationen". Daten wären beispielsweise ttoOüMlrel oder 11111999. Diese Daten musst du dann erstmal in einen Kontext setzen, um sie verwertbar zu machen.

          Damit Microsoft Wissen über dich hat, muss es verschiedene Informationen sammeln und sie in den richtigen Kontext (das Erstellen eines Nutzerprofils) setzen, um das Profil für sich oder zu Gunsten Dritter verwertbar zu machen.

      • Nobody sagt:

        Ein Auszug aus den Datenschutzbestimmungen von Microsoft aus dem Jahr 2015:
        "Personifizierte Daten, Die Wir Sammeln
        Name und Kontaktdaten.
        Wir sammeln Ihren Vor- und Nachnamen, E-Mail-Adresse, Postanschrift,Telefonnummer und andere ähnliche Kontaktdaten.
        Anmeldedaten.
        Wir sammeln Kennwörter, Kennworthinweise und ähnliche Sicherheitsinformationen, die für Authentifizierung und Kontozugriff verwendet werden.
        Demographische Daten.
        Wir sammeln Daten über Sie wie Ihr Alter, Geschlecht, Land und die gewünschte Sprache.
        Interessen und Favoriten.
        Wir sammeln Daten über Ihre Interessen und Favoriten wie z. B. die Mannschaften, denen Sie in einer Sport-App folgen, die Aktien, die Sie in einer Finanzierungs-App verfolgen oder die Lieblingsstädte, die Sie auf einer Wetter-App hinzufügen. Zusätzlich zu denen, die Sie explizit zur Verfügung
        stellen, können Ihre Interessen und Favoriten auch von weiteren unserer gesammelten Daten entnommen oder
        abgeleitet werden." Zitat Ende

        Manches wird heute vielleicht nicht mehr praktiziert, aber es zeigt was machbar ist.

        • Max sagt:

          Wenn ich Windows ohne ein Microsoft-Konto verwende, dann muss Microsoft die Informationen wie Name, Geburtsdatum und weiß der Geier ja aus anderen Quellen beziehen. Und damit wäre das sicherlich ein juristisch interessanter Fall.

    • Michael sagt:

      Da liegst du gehörig falsch. Wenn etwas auf einem Azure Server abgelegt wird, dann befindet sich dieser in einem RZ in deiner Region. Alle Azure RZ sind sowohl DSGVO konform als auch BSI C5 zertifiziert und darüber hinaus wird auch die extrem strenge TISAX Zertifizierung erfüllt. Die deutschen Azure RZs erfüllen auch noch den BAFIN Standard. Das zu den RZs.

      Was W10 angeht, so ist ein DSGVO konformer Einsatz von W10 ENT ohne Probleme möglich und man hat volle Kontrolle darüber, was erhoben wird und ob es übertragen werden soll.

      Und für alle Aluhutträger, ladet euch mal den MS Diagnostic Data Viewer runter und begutachtet erst mal das Datenmaterial was da erhoben wird. Danach darf man, sofern es eine Basis dafür gibt, immer noch mosern. Aber ich denke, dass danach die Grundlage für solch unqualifizierte Äußerungen weg ist.

      Gruß von einem der sich jeden Tag im Unternehmensumfeld mit diesen Fragen bei Enterprise Unternehmen herumschlägt!

  2. Potrimpo sagt:

    Andererseits erwartet jeder Browser unter jedem Betriebssystem eine IP – das ist schon Verarbeitung. Ohne IP kann keine Rückantwort auf eine Anfrage erfolgen.

    Oder wie bekommt ein Chromium Browser unter Linux die Info, wie die Rückantwort-Adresse lautet?

    Und dann hat natürlich auch das OS die IP.

    Erläutere mir eine andere Möglichkeit.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.