EuGH Privacy Shield-Urteil: Keine Gnadenfrist durch EU-Datenschützer
Am 16 Juli 2020 erklärte der Europäische Gerichtshof (EuGH) das bisher für den Datenverkehr zwischen Europa und den USA geltende Abkommen, den so genannten EU-US Privacy Shield, für ungültig. Begründung des EuGH: In den USA können die Unternehmen dazu verpflichtet werden, die – auch in Europa – generierten User-Daten US-Behörden wie der NSA oder dem FBI zur Verfügung zu stellen. Das sei aber mit dem geltenden EU-Datenschutz, insbesondere im Rahmen der Datenschutzgrundverordnung (DSGVO), nicht vereinbar. Der Rechtsschutz der europäischen Anwender könne nicht gewährleistet werden.
Rechtsgrundlage für die Nutzung entzogen
Für Unternehmen, die Cloud Computing-Lösungen von US-amerikanischen Anbietern einsetzen, bedeutet dies, dass ihnen die Rechtsgrundlage für diese Nutzung entzogen wurde. Wer nun hoffte, dass es zumindest eine Übergangsfrist geben werde, bis es zur Umsetzung des Urteils kommt, wurde bereits eine Woche nach Veröffentlichung des Urteils eines Besseren belehrt.
Bereits am 24.7.2020 berichtete heise.de, dass der “Europäische Datenschutzausschuss (EDSA) […]Antworten zu den wichtigsten Fragen zu den Konsequenzen aus dem Urteil des Europäischen Gerichtshofs (EuGH) zum Datentransfer in Länder außerhalb der EU („Schrems II“) gefunden habe. Laut den Aufsichtsbehörden in der EU gebe es keine „Gnadenfrist“ für Datenverarbeitungen auf Grundlage des vom EuGH für ungültig erklärten „Privacy Shield“.
Es drohen saftige Sanktionen
Unternehmen, so der EDSA laut heise.de weiter, die noch unter dem transatlantischen Datenschutzschild personenbezogene Informationen aus der EU in die USA übermitteln, müssten ihre Praktiken „ohne Verzögerung“ umstellen, erläuterte der Bundesdatenschutzbeauftragte Ulrich Kelber. Andernfalls drohen auf Basis der Datenschutzgrundverordnung (DSGVO) saftige Sanktionen.
Unternehmen, die Cloud Computing-Lösungen einsetzen, sollten also unbedingt sofort handeln und überprüfen, wo die Daten, die sie mit ihren cloudbasierten Lösungen verarbeiten, am Ende landen. Ansonsten riskieren sie die oben skizzierten Sanktionen. Besonders wichtig ist diese Überprüfung bei Cloud-Lösungen, die zwar von einem deutschen bzw. europäischen Anbieter angeboten, aber auf der Cloud-Plattform eines amerikanischen Cloud Service-Providers (Amazon Web Services, Google Cloud, Microsoft Cloud, etc.) betrieben werden. Gerade in diesen Fällen muss sichergestellt sein, dass die Daten deutscher bzw. europäischer Nutzer nicht vom Plattform-Betreiber in die USA transferiert werden, z.B. im Zuge der Archivierung oder beim nächtlichen Backup. Denn genau dieser Transfer ist seit der EuGH-Entscheidung vom 16.7.2020 nicht mehr zulässig.
Secure Content als Lösung
Die Lösung stellen sogenannte Secure Content-Plattformen, wie FTAPI dar. FTAPI ist komplett in Deutschland entwickelt, betrieben und gehostet. Anhänge können hier in beliebiger Größe übertragen werden. Die Inhalte der Dateien werden zudem durch asymmetrische Verschlüsselung geschützt. Die Verifizierung von Empfängern rundet das Sicherheitskonzept ab. Die Anhänge können ausschließlich vom Absender und durch diesen berechtigte Empfänger entschlüsselt werden. Auch FTAPI hat entsprechend des „Zero-Knowledge“-Prinzips keinen Zugriff auf die Inhalte.
Der Datentransfer mit FTAPI lässt sich ohne Aufwand in bestehende Kommunikationsprozesse integrieren. Auch sehr große Dateien wie Baupläne, BIM oder Videos lassen sich einfach von der vertrauten E-Mail-Umgebung aus verschicken, direkt aus Microsoft Outlook, über plattformunabhängige Webapplikation. Eventuelle Restriktionen von E-Mail-Providern spielen dabei keine Rolle, da Ihre Empfänger die Anhänge über eine sichere Kommunikationsplattform abrufen.
In den FTAPI Datenräumen können Dateien und Dokumente Ende-zu-Ende-verschlüsselt abgelegt und für Kollegen, Partner oder Kunden freigegeben werden. Nur die Mitglieder der Datenräume können die darin sicher abgespeicherten Dateien entschlüsseln. Anders als bei üblichen Cloud-Anbietern können weder Server-Betreiber, Provider oder die US-Regierungsstellen die Dateien einsehen. Die FTAPI Mobile App ermöglicht darüber hinaus die ortsunabhängige Erreichbarkeit aller Unterlagen.