Consultix GmbH | Statement von Datenschutzexperte Andres Dickehut zu Konsequenzen nach Fall des Privacy Shields
One document
Die deutsche Wirtschaft holt ihre Daten zurück
Wie das EuGH-Urteil zum Privacy Shield den Mittelstand auf eine Made in Germany-Reise schickt
Ein Statement mit Empfehlungscharakter von Andres Dickehut, Geschäftsführer der Consultix GmbH
Bremen, 20. Juli 2020. Es war überfällig: Mit dem gestrigen Urteil zum Aus für das nicht praktikable transatlantische Datenschutzschild setzt der Europäische Gerichtshof ein klares Zeichen gegen Massenüberwachung und Daten-Schlendrian. Datenschutzexperten sehen sich bestätigt, doch in der Wirtschaft treiben Ratlosigkeit und Panik an die Oberfläche. Wenn die Standardverträge mit den internationalen Cloud-und Service-Anbietern wie Microsoft, Amazon, Google und Zoom in puncto Sicherheit eine Farce darstellen, kann ich es als Unternehmer dann verantworten, personenbezogene Daten und Unternehmensdaten über den großen Teich zu schicken?
Schluss mit Pseudo-Schutz
Spätestens seit die Vorgängervariante Safe Harbour scheiterte ist allen datenschutzaffinen Branchenteilnehmern der IT-Wirtschaft klar, dass die marktbeherrschende Position US-amerikanischer Anbieter von Cloud-Dienstleistungen Magenschmerzen und Sicherheitslecks mit sich bringt. Amerikanische Clouds sind nicht sicher und die Übertragung persönlicher Daten von EU-Ländern in die USA in vielen Fällen illegal. Zwar sollte das Privacy Shield den Schutz personenbezogener Daten von EU-Bürgern garantieren, aber der durch NSA, FBI und Co. getriebene Informationshunger führte jedes Sicherheitsversprechen ad absurdum. Amerikanische Unternehmen nebst ihrer EU-Tochterunternehmen sind in den USA schließlich verpflichtet, Daten herauszugeben.
Die Tatsache, dass dem Datenstaubsauger gestern der Stecker gezogen wurde, geht mit einem Berg an offenen Fragen und Aufgaben einher, denen sich Behörden und Unternehmen ab sofort stellen müssen. Auch wenn internationaler Datenverkehr nach wie vor möglich bleibt, müssen Kontrollinstanzen scharf gestellt und Schutzmaßnahmen verstärkt werden. Aber durch wen, bitte? Und über welche Entscheidungspfade führt der Weg zu Datenschutz und Datensicherheit, wie sie der EuGH verlangt?
Geschäftsführungen deutscher Unternehmen drohen Bußgelder
Das Urteil hat gravierenden Folgen für datenverarbeitende Service-Anbieter wie Facebook, Apple, Salesforce und Adobe. Übertragen diese Dickschiffe ihre Daten weiter auf Basis des Privacy Shields, winkt für alle Nutzer der Bußgeldkatalog nach DSGVO, auch für die Geschäftsführung. Da helfen auch keine EU-Standardverträge, denn ihnen wurde buchstäblich der Boden unter den Füßen weggezogen. Datenschutzbehörden und Branchenverbände sollten sich europaweit engmaschig austauschen und auf einheitliche Regelungen bei Datenverstößen einigen.
Wendepunkt
Nicht umsonst ist es unseren Bundesbehörden schon seit einiger Zeit untersagt, bestimmte Dienste von US-Anbietern zu nutzen. Sie setzen auf in Deutschland gehostete Alternativen wie Matrix Messenger anstatt WhatsApp. Doch das kann nur ein Anfang sein: Alle Unternehmen, die aktuell Datentransfer auf Basis des Privacy Shields mit Cloud-Anbietern betreiben, müssen ihre Marschrichtung ändern.
Es ist der Zeitpunkt gekommen, an dem Datenhosting und Technologie Made in Germany als Wettbewerbsvorteil erkannt und umgesetzt werden muss. Dafür stehen deutsche Anbieter parat, die Datenschutz beherrschen und Lösungen wie Cloud, Jitsi Meet, Marketing Cloud Plattformen und datenschutzkonforme Managed-Services aus und in Deutschland anbieten.
Was nun zu tun ist
Geschäftsführer deutscher Unternehmen sollten umgehend die Verträge mit externen Dienstleistern prüfen. Sind AV-Verträge vorhanden? Weisen sie den Ort der Datenverarbeitung außerhalb der EU auf, ergibt eine interne Prüfung mit der Rechtsabteilung und dem Datenschutzbeauftragten Sinn. Hier gilt es zu klären, ob Verstöße gegen die DSGVO vorliegen. In jedem Fall Unternehmer ihre Kunden über die AGBs und bei der Erfassung personenbezogenen Daten darauf hinweisen, dass ihre Daten außerhalb der EU verarbeitet werden. Wie immer sollten Wirtschaftsbetriebe auch im Hinblick auf das Auskunftsrecht gemäß DSGVO maximale Transparenz an den Tag legen. Es geht nicht nur darum, was über eine Person gespeichert ist, sondern auch wo diese Informationen gespeichert werden.
Über Andres Dickehut
Andres Dickehut ist Geschäftsführer der 1994 gegründeten Consultix GmbH in Bremen. Sein Unternehmen ist ISO 27001 zertifiziert und hat sich zum Technologieführer im Bereich Verwaltung und Management personenbezogener Daten entwickelt. Neben seiner EuroPriSe-zertifizierten, datenschutzfokussierten Marketing Automation ProCampaign®, bietet er mit Consultix Dedicated Hosting, Private Cloud Services, Integration von Public Cloud Services, VMware-Services, Disaster-Recovery, Cyber-Sicherheit und DDoS Attack Mitigation an. www.consultix.de
Borgmeier Public Relations Anke Fähnrich Rothenbaumchaussee 5 D-20148 Hamburg
fon: +49 40 413096-14 e-mail: faehnrich@borgmeier.de