EuGH kippt Safe Harbor - wohin nun mit den Daten?

12.10.2015

Am 6.10.2015 schallte es mit Donnerhall erst durch den Gerichtssaal, dann durch die Medien: der Europäische Gerichtshof killt das Safe-Harbor-Abkommen (Urteilstext). Für das Thema Schutz personenbezogener Daten sicherlich ein großer Erfolg, für das Thema Daten und Dokumente in der Cloud eher ein Problem.

Patrick Beuth schreibt in seinem Artikel (bei Golem und in der ZEIT), "der EuGH hat ein Monster erschaffen. Mit seinem Urteil zum Datenschutzabkommen Safe Harbor stellt der Europäische Gerichtshof sowohl die Wirtschaft als auch die Politik vor praktisch unlösbare Probleme."
Die Medaille hat halt zwei Seiten und jetzt herrscht erstmal Unsicherheit. Die alte Liste mit den über 4200 "zertifizierten" Safe-Harbor-Unternehmen ist damit wertlos und wurde inzwischen vom US-Wirtschaftsministerium mit einem Verweis auf das Urteil ersetzt. Übrigens, auch wenn die deutsche Regierung das Thema jahrelang ignoriert hat, die 89. Konferenz der Datenschutzbeauftragten des Bundes und der Ländern hat das Gleiche schon am 19. März 2015 in Wiesbaden festgestellt. Und für die EU war dies wahrlich keine Überraschung. Bereits im März 2014 stimmte das Europaparlament mit überwältigender Mehrheit für eine Aussetzung des Safe-Harbor-Abkommens.v Das Vertrauen in die freiweillige Umsetzung von Safe Harbor durch internationale Großkonzerne war längst dahin. Das EuGH-Urteil ist so nur die offizielle Bestätigung des längst eingetretenen Todes.

Was heißt dies nun für die Anwender?

Man prüfe, wo man seine Daten - wirklich - habe. In der Cloud und auch beim traditionellen Outsourcing an einen Rechenzentrum-Provider weiß man zwar meistens, wo der primäre Speicherort ist - aber nicht die sekundären und die Sicherungsorte. Ganz abgesehen vom Thema Vertraulichkeit und Verschlüsselung sollten nach deutschem und europäischen Gesetzen und Verordnungen keine wichtigen (z.B. Steuerrecht, Handelsrecht etc.) Daten auf US-amerikanischen Servern sein. Im Zeitalter von Mobile und Cloud aber eine unrealistische Anforderung. Man denke nur an Austauschplattformen wie Dropbox, PaaS bei Amazon, OneDrive und GoogleDrive ... und was nicht auch noch alles. Eine Klassifikation der Wichtigkeit und der Vertraulichkeit aller Informationen im Unternehmen - die Informationslandkarte - ist heute wichtiger denn je.

Was heißt dies nun für Anbieter?

Viele Cloud-Anbieter haben sich vorbereitet. SIe bieten ihre Services von Rechenzentren im jeweiligen Land an. Newcomer im Cloud-Business müssen gerade bei Geschäftsanwendungen im Umfeld von ERP, CRM und EIM in der Lage sein, ihre Software und die Speicherorte regional und lokal - mit entsprechender Sicherung - anzubieten. Da ist die Gründung eines Unternehmens in Deutschland nicht ausreichend, sondern es zählt der Nachweis, dass die Daten hier verbleiben. Auch dies wieder ein "schöner Job" für Prüfer, Auditoren und Zertifizierer. 

 

Wie es weitergeht, in einer globalisierten Welt, des Internets? Wird es jemanden in Deutschland, in Europa kümmern, wenn es doch so bequem mit der Cloud ist? Und so günstig, und so "überall"? Wird sich etwas im Verhalten der Anwender und Unternehmenslenker ändern - oder bleiben Vertraulichkeit und Datenschutz leere Worthülsen? Ohne Regelungen wird es mittelfristig nicht gehen. Eine digitale Blockade ist unrealistisch und gefährlich. Aber werden die neuen Regelungen ein neues TTP/TTIP/CETA/usw-Dings werden?
Dies alles wird spannend bleiben.

 

Ressourcen zu den Auswirkungen:
EuGH Urteilstext
US Wirtschaftsministerium Safe Harbor Webseite
Carlo Piltz Urteilsanalyse
Patrick Beuth Aufkündigung unrealisitisch?
Martin Schirmbacher E-Mail-Marketing
Jennifer Rost Shopbetreiber
Thomas Schwenke Websitebetreiber, Agenturen und Unternehmen
Anna Biselli Datenschutz
Andreas Staufer Datenübermittlung doch möglich?
Anna Biselli Verantwortung EU-Staaten
Johannes Haupt USA enttäuscht
Daniel Wolf Verschlüsseln!

 

Kommentare

Nach dem Urteil des EuGH zum Safe Harbor Abkommen bleibt ein schaler Nachgeschmack. Es war vorher schon alles "unsicher", nun herrscht mangels formaler Grundlage eigentlich nur noch mehr "Unsicherheit". Dies gilt auch für ECM aus der Cloud.

Was ich vermisse, ist nun die große Initiative der deutschen Anbieter von ECM und Archivierung aus der Cloud, um den Kunden schmackhaft zu machen, dass es doch auch "sichere" Lösungen aus deutscher Hand mit deutschen Speicherorten in Deutschland gibt. Oder sind die deutschen Angebote doch nicht so sicher, weil sie "offene" Kommunikationsverbindungen und Basistechnologien aus den USA (Hardware, Betriebssysteme etc,.) benutzen? Eigentlich ist doch das EuGH-Urteil eine Steilvorlage für Anbieter in Deutschland, die man gemeinsam nutzen müsste ... aber Gemeinsamkeit wird in der Branche nicht mehr großgeschrieben.

Eine einheitliche Linie findet sich auch auf Verbandsebene offenbar nicht. Da erscheint vom BITKOM-Arbeitsklreis "ECM" eine 10 Punkte-Liste zum Thema "Archivierung & GoBD". Dort findet sich prominent, man dürfe auch steuer- und handelsrechtlich relevante Daten im Ausland archivieren (natürlich eingeschränkt,a ber ohne konkret zu werden), Zitat
"9 Die elektronische Archivierung darf unter bestimmten Voraussetzungen auch im Ausland erfolgen".

Wie verträgt sich denn dieses nun mit der Aufkündigung von Safe Harbor, die ja schon Installationen ausländischer (US-amerikanischer) Anbieter in Deutschland in Frage stellt?

Hierzu hat die Europäische Kommission eine Leitline herausgegeben "COMMUNICATION FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL on the Transfer of Personal Data from the EU to the United States of America under Directive 95/46/EC following the Judgment by the Court of Justice in Case C-362/14"

Rechenzentren in Deutschland, deutsches Personal, deutsche Standards: Microsoft kündigt Cloud-Dienste aus deutschen Rechenzentren an: http://bit.ly/1PCcpnN. Azure, Office 365 und Dynamics CRM Online werden ab dem zweiten Halbjahr 2016 aus deutschen Rechenzentren angeboten werden. Die Deutsche Telekom als Datentreuhänder den Zugang zu Kundendaten überwachen und kontrollieren.

Dieser "Antwort" auf den Wegfall von Safe Harbor werden noch viele andere internationale Player folgen - auch zum Thema ECM Enterprise Content Management.

Am 8.7.2016 hat die Europäische Kommission dem Privacy Shield Abkommen mit den USA zugestimmt "Statement by Vice-President Ansip and Commissioner Jourová on the occasion of the adoption by Member States of the EU-U.S. Privacy Shield": http://bit.ly/EU-PrivacyShield  


Der Privacy Shield ist die Nachfolge des Safe Harbor Abkommens.Ähnlich wie Safe Harbor ist Privacy Shield bei Datenschützern umstritten, da die Einhaltung der Vorgaben kaum überprüfbar ist. In der Szene wird daher von "Business as Usual" - weiter wie bisher, gesprochen.


<Zitat aus der EU-Pressemitteilung"Today Member States have given their strong support to the EU-U.S. Privacy Shield, the renewed safe framework for transatlantic data flows. This paves the way for the formal adoption of the legal texts and for getting the EU-U.S. Privacy Shield up and running. The EU-U.S. Privacy Shield will ensure a high level of protection for individuals and legal certainty for business. It is fundamentally different from the old 'Safe Harbour': It imposes clear and strong obligations on companies handling the data and makes sure that these rules are followed and enforced in practice. For the first time, the U.S. has given the EU written assurance that the access of public authorities for law enforcement and national security will be subject to clear limitations, safeguards and oversight mechanisms and has ruled out indiscriminate mass surveillance of European citizens' data. And last but not least the Privacy Shield protects fundamental rights and provides for several accessible and affordable redress mechanisms. During the formal adoption process, the Commission has consulted as broadly as possible taking on board the input of key stakeholders, notably the independent data protection authorities and the European Parliament. Both consumers and companies can have full confidence in the new arrangement, which reflects the requirements of the European Court of Justice. Today's vote by the Member States is a strong sign of confidence." </Zitat>


Mehr Informationen zum Privacy Shield gibt es hier: http://europa.eu/rapid/press-release_IP-16-433_en.htm

 

Trump signs executive order stripping non-citizens of privacy rights 

#PrivacyShield #Privacy #Datenschutz http://bit.ly/TrumpPrivacy

"The six month-old Data Shield agreement between the US and EU is now in jeopardy. 

With a stroke of his pen, the president just potentially invalidated a transcontinental data flow agreement between the US and EU which took years to negotiate.

The US-EU Data Shield agreement is an authorization framework which enables companies to transfer the personal data of Europeans to the US while ensuring that the companies operate within compliance of Europe's more stringent privacy laws. It effectively ensured that a European's personal data -- that is, any personal data originating from the EU, not just that of EU citizens -- would be protected to the standards that the EU demands whether the data is sitting on a server in Paris, France or Paris, Texas.

More than 1,500 companies including Apple, Google and Microsoft had agreed to abide by the Data Shield agreement, which requires the US Department of Commerce to ensure that American companies are operating in compliance. It took the place of the earlier Safe Harbor agreement, which the European Court of Justice ruled ineffective and invalid after the Snowden leaks came to light in 2013.

This agreement -- as well as the legal ability for US companies to serve European customers -- in now in very real danger of unravelling. And it's all thanks to an Executive Order that Trump signed earlier this week. Specifically, it's Section 14, which reads:

Privacy Act. Agencies shall, to the extent consistent with applicable law, ensure that their privacy policies exclude persons who are not United States citizens or lawful permanent residents from the protections of the Privacy Act regarding personally identifiable information. 

Enforcing privacy policies that specifically "exclude persons who are not United States citizens or lawful permanent residents," while aimed at enhancing domestic immigration laws, effectively invalidates America's part of the Data Shield agreement, opens the current administration up to sanctions by the EU and could lead our allies across the Atlantic to suspend the agreement outright.

If that happens, things are going to get really uncomfortable for US companies trying to do digital business in the EU. Without that authorization framework in place, these companies will be forced to operate in a legal grey zone making it far more difficult for them to serve their European clients." http://bit.ly/TrumpPrivacy

 

Siehe hierzu auch

The White House
Executive Order: Enhancing Public Safety in the Interior of the United States
„Sec. 14. Privacy Act. Agencies shall, to the extent consistent with applicable law, ensure that their privacy policies exclude persons who are not United States citizens or lawful permanent residents from the protections of the Privacy Act regarding personally identifiable information.“
https://www.whitehouse.gov/the-press-office/2017/01/25/presidential-exe…


Kann man US-Cloud-Anbietern jetzt noch trauen?

Microsoft hat zwar jüngst in den USA vor Gericht durchgesetzt, dass sie Daten aus Irland nicht in den USA preisgeben dürfen. Nach dem heutigen Trump-Erlass wäre das aber wohl hinfällig. Trump nimmt einfach allen Nicht-US-Bürgern das Recht auf Schutz ihrer persönlichen Daten weg. 
Dies heißt nun auch wieder, dass man wohlweislich prüfen muss, wo man seine Daten in der Cloud lässt. US-Anbieter dürften es wieder schwerer haben. Da hilft selbst die beim Rechenzentrumsdienstleister in Deutschland betrieben Cloud-Lösung nicht. Der Argwohn wird wachsen. Angesichts der erratischen Bauch-Entscheidungen von Trump durchaus berechtigt. 

Bei der Cloud wird es nun wieder heißen "Germany First!"

 

Und ich muss jetzt wieder ein paar Folien in meinem Vortrag zu "Rechtsfragen" bei Privacy Shield und GDPR auf dem Update Information Management 2017 ändern, bzw. ergänzen :( http://bit.ly/S01_17S

Michael Kroker bringt es in seinem WirtschaftsWoche-Kommentar auf den Punkt: mit einer pro-US-Regierung-Entscheidung zur Herausgabe von Daten durch Cloud- und Internet-Provider ist die gesamte Cloud-Anbieterschaft bedroht. Das wichtigste Kapital, das Vertrauen in die Sicherheit und den Schutz der Informationen geht verloren. Blickt man dann noch auf die gesteigerten Anforderungen zum Schutz personenbezogener Daten nach den DS-GVO/GDPR kann das Geschäftsmodell für Anbieter aus dem Ausland komplett zusammenbrechen. Längst können lokale US-Richter nach FRCP Datenherausgabe auch von Ausländern verlangen, verlangt die US-Regierung Daten ungeachtet der Staatszugehörigkeit. Bestätigt nun noch der US Supreme Court das Recht auf Datenherausgabe, dann gibt es defacto keinen Datenschutz mehr im Internet und in der Cloud. Vordergründig geht es um Microsoft, die sich gegen die Herausgabe von Daten standhaft wehren, aber letztlich betrifft es jeden der großen Internet-Anbieter mit Cloud- und Social-Plattformen wie Amazon, Google, Facebook, Microsoft, IBM, AliBaba etc.  Müssen zukünftig auf Anforderungen US-amerikanischer Gerichte auch Daten ausländischer Nutzer übergeben werden, könnte sich die Cloud wieder massiv auf nationale Angebote reduzieren. Krokers RAM 2.3.2018 zu "Das Verfahren am US-Supreme-Court bedroht die gesamte Cloud-Industrie!" WiWo http://bit.ly/SC_Datenschutz

Nebenher, während der Diskussion um das Budget, hat der US Präsident den sogenannten "CLOUD Act" (Clarifying Lawful Overseas Use of Data) ratifiziert, der es US Behörden erlaubt auch im Ausland auf Daten zuzugreifen. US-Behörden sollen leichteren Zugriff auf im Ausland gespeicherte E-Mails bekommen. Das US-Justizministerium kann im Zuge den Cloud Act Abkommen mit anderen Staaten schließen, um entsprechende Anfragen zu beschleunigen und langwierige diplomatische Prozesse zu umgehen. Letztlich ist das eine Legalisierung was die Geheimdienste längst tun. Ende Juni wird die Entscheidung des Supreme Court erwartet. Dann wird auch der Rechtsstreit um Microsofts Weigerung, Daten aus dem Ausland herauszugeben, zum Ende kommen.

Datenschützer in der EU und in Deutschland sind aufgeschreckt:
Kann man zukünftig noch Google-Mail oder Outlook-Mail einsetzen?
Darf man seine Daten der Google-, Amazon- oder Microsoft-Cloud anvertrauen?
Ist Office365 bei Microsoft noch eine Option (oder muss man wirklich die rückständige Version der Telekom nehmen?)?
Die Entwicklung wird für die Akzeptanz der Cloud noch einmal kritisch - aber wie hieß es so schön - Bequemlichkeit schlägt Datenschutzbedenken.

Cloud Act SPIEGEL ONLINE
Cloud Act Geekwire  
Cloud Act NBC News

Datenschutz/USA Netzpolitik.org

Facebook/Cambridge Analytics Netzpolitik.org

Supreme Court/Microsoft SPIEGEL ONLINE

Diskussion Cloud Act auf Facebook


 

Trump ratifiziert den "Cloud Act" ... und die meisten Leser und die meisten Kommentare gibt es auf Facebook ;) Passt dies zusammen?

Zum Schutz persönlicher personenbezogener Daten, Kernpunkt der EU DS-GVO (GDPR) wie auch den kommenden EU ePrivacy-Richtlinie, muss auch der Schutz betrieblicher Information, besonders der vertraulichen, geheimen und für ein Unternehmen existentiellen Daten gehören. Auf den Schutz betrieblicher Information zielt die "RICHTLINIE (EU)
2016/943 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 8. Juni 2016 über den Schutz vertraulichen Knowhows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung“
. Diese "Geschäftsgeheimnisse-Richtlinie" tritt ohne deutsches Umsetzungsgesetz 1:1 am 1.6.2018 in Deutschland in Kraft. 

Entscheidend ist dabei die Definition von „Geschäftsgeheimnis“:

  • „Informationen, die geheim sind,
  • die einen kommerziellen Wert haben weil sie geheim sind,
  • und die Gegenstand angemessener Geheimhaltungsmaßnahmen sind.“

Nur entsprechend nachgewiesene und geschützte Geschäftsgeheimnisse können bei Mißbrauch, Diebstahl oder
Veröffentlichung vor Gericht eingeklagt werden. Hieraus leiten sich neue Anforderungen an den betrieblichen
Datenschutz ab:

  • Klassifizierung von geheimen und vertraulichen Informationen
  • Besonders geschützte Speicherorte für vertrauliche Information (wichtige "Records") mit kontrollierter Redundanz der Systeme 
  • Auslegung und Nachhaltung der Berechtigungen im Berechtigungssystem
  • Gegebenenfalls Schutz auf Objekt-Ebene oder durch Speicher, die nicht im Netz angeschlossen sind
  • Anpassung Verträge, NDAs und viele Datensicherheits-/Datenschutzprozesse
  • bis hin zur Beinflussung von Entscheidungen zu Patent-Anmeldungen oder interner/externer Geheimhaltung

Hier benötigt man - ähnlich wie bei der DS-GVO - Informationslandkarten, Verfahrensverzeichnisse und Dokumentationen der Schutzmaßnahmen.

Nimmt man diese Anforderungen des betrieblichen Datenschutzes zu den bereits diskutierten Anforderungen rund um die personenbezogenen Daten hinzu, verschärft sich die Diskussion um die Sicherheit von Informationen in öffentlichen Netzen und Plattformen noch zusätzlich: kann man in einer Public Cloud vertrauliche Informationen geheimhalten, kann man sie in öffentlichen Netzen per Standard-E-Mail-Software geheim übertragen? Es geht hier um Wirtschaftsspionage, "Chinese Walls", interlektuelle Assets und Werte von Unternehmen. Der Wert von Information definiert letztlich auch die Sicherheitsauslegung der Systeme und führt zu der Frage, ob man wichtige Unternehmensinformationen in Cloud-Lösungen US-amerikanischer Anbieter speichern -kann-/-darf-/-sollte-. Hier wird die Entscheidung des Supreme Court im Microsoft-Fall Aufschluss geben, die jetzt für Juni 2018 erwartet wird,

Sehr widersprüchliche Nachrichten gibt es zur Zeit zum CLOUD Act von Trump.

Noch vor wenigen Tagen hieß es, dass die US-Regierung möchte, dass der Microsoft-Fall abgeschlossen wird: "Trump administration asks court to drop Microsoft email case. After a new law, enacted on 23 March as part of the massive spending bill, laid out rules for international data requests by law enforcement, the US government has asked court to drop Microsoft email case" (http://bit.ly/2GA0rLA).
Die Washington Post schrieb "Justice Department asks Supreme Court to moot Microsoft email case, citing new law" (https://wapo.st/2JexLJH)

Heute berichtet das Online-Magazin "Sharepoint 360" http://bit.ly/2q4N6DP, dass es von Trump eine erneute Datenüberlassungsverfügung, nun nach CLOUD Act, an Microsoft gibt: "Trumps erster CLOUD Act: US-Regierung stellt Microsoft neuen Durchsuchungsbefehl für EU-E-Mails zu". Auch der neue Durchsuchungsbefehl betrifft wieder die EU-E-Mails in Irland.
So schreibt "The Register "Law's changed, now cough up: Uncle Sam serves Microsoft fresh warrant for Irish emails. Forget the old case, DoJ tells Supremes, all hail CLOUD act. The US government has issued Microsoft with a new warrant to get access to emails held on the firm's Irish servers, while asking the Supreme Court to dismiss the existing legal battle. The long-running wrangle began back in 2014, when Microsoft was taken to court by American prosecutors who wanted access to suspects' emails that Microsoft had stored overseas. The Feds demanded the private messages under section 2703 of the US Stored Communications Act, but Redmond refused, saying that the search warrant couldn't extend beyond US borders. In July 2016, the United States Court of Appeals for the Second Circuit ruled in Microsoft's favour – a decision the Department of Justice is in the process of appealing against in the Supreme Court. However, the passage of a new law, signed off last week, known as the CLOUD Act (Clarifying Lawful Overseas Use of Data Act) has thrown a huge question mark over the dispute. In contrast to existing laws, the CLOUD Act specifies that authorities can demand that firms pass on data, even if it's held outside the US. And so the DoJ has filed a motion (PDF) with the Supreme Court saying that, given the passage of the CLOUD Act, the court should vacate the judgment made by the Court of Appeals and dismiss the case as moot. The DoJ's argument is that the CLOUD Act now directly governs the warrant that is at the heart of the dispute, which it said settles the dispute. The US government insisted it was still possible for Microsoft to fully comply and disclose the information in question under the existing warrant, but complained Microsoft wasn't playing ball. "Microsoft has refused to acknowledge either that the CLOUD Act applies to the Section 2703 warrant at issue in this case or that Microsoft plans to disclose the required information under the original warrant," the document stated."

Es ist schon seltsam, wie Trump einerseits versucht den Supreme Court zu bremsen, in dem er - in fast unzulässiger -  Weise dazu auffordert den anhängigen Gerichtsfall auszusetzen; andererseits ein paar Tage später eine erneute Aufforderung zur Herausgabe von E-Mails aus der EU erfolgt. Das Thema Datenschutz ist unter Druck. Während wir in Europa mit Riesenaufwand die GDPR (DS-GVO) umsetzen, Daten sichern, dokumentieren, neue Prozesse implementieren, auditieren usw., versucht die USA jetzt formell auch die Hoheit über alle Daten weltweit zu erlangen. Überall wird das nicht klappen - so koppelt sich China gerade bewußt vom Internet ab (http://bit.ly/ChinaZensur). Da werden auch keine Trumpschen Erlässe mehr helfen. 

Das freie Internet ist in Gefahr. Von der Kontrolle durch Geheimdienste, durch Fake News und Cyber War, durch unterschiedliche Geschwindigkeiten, durch Skandale wie Facebook und Co. - kurz gesagt, das Internet hat seine Unschuld verloren. Die "guten alten Zeiten", wo man noch unbeschränkt surfen konnte, das Internet eine Riesenspielwiese war, wo Wissen überall kostenfrei und für jeden verfügbar war - dieses Internet gibt es nicht mehr:

R.I.P. Internet :( 

RIP INternet

 

Neuen Kommentar schreiben

Ich stimme zu, dass die von mir eingegebenen Daten einschließlich der personenbezogenen Daten an PROJECT CONSULT übermittelt und dort zur Prüfung der Freischaltung meines Kommentars verwendet werden. Bei Veröffentlichung meines Kommentars wird mein Name, jedoch nicht meine E-Mail und meine Webseite, angezeigt. Die Anzeige des Namens ist notwendig, um eine individuelle persönliche Kommunikation zu meinem Beitrag zu ermöglichen. Anonyme oder mit falschen Angaben eingereichte Kommentare werden nicht veröffentlicht. Zu Nutzung, Speicherung und Löschung meiner Daten habe die Datenschutzerklärung zur Kenntnis genommen.
Ich versichere, alle gültigen Vorgaben des Urheberrechts beachtet zu haben. Dies betrifft besonders die Nicht-Verwendung von urheberrechtlich geschütztem Material und die Nicht-Verwendung von Inhalten und Links zu Inhalten, die dem Leistungsschutz unterliegen. Für den Inhalt meines Kommentars bin ich trotz Prüfung und Freischaltung durch PROJECT CONSLT ausschließlich selbst verantwortlich. Meine Rechte am Beitrag werden bei PROJECT CONSULT nur durch die CC Creative Commons Vorgaben gewahrt. Für die Verfolgung mißbräuchlicher Nutzung meiner Beiträge durch Dritte bin ich selbst verantwortlich.

This question is for testing whether or not you are a human visitor and to prevent automated spam submissions.