Europe flag

BREAKING NEWS: EuGH entscheidet, dass US-Cloud-Dienste grundlegend unvereinbar mit EU-Datenschuntzgesetzen sind

BREAKING NEWS: EuGH entscheidet, dass US-Cloud-Dienste grundlegend unvereinbar mit EU-Datenschuntzgesetzen sind

INHALT
  1. BREAKING NEWS: EuGH entscheidet, dass US-Cloud-Dienste grundlegend unvereinbar mit EU-Datenschuntzgesetzen sind
  2. Konsequenz: US-Cloud-Services nicht GDPR-konform
  3. Datenschutzbeauftragter Baden-Württembergs empfiehlt Nextcloud Talk
  4. Die Analyse weist darauf hin, dass bei der Entscheidung für eine Lösung
  5. Es gibt Optionen:
  6. EuGH(CJEU) urteilt, dass der EU-US-Datenschutzschild ungültig ist
  7. Der Hintergrund
  8. Urteil in Bezug auf SCCs
  9. Urteil in Bezug auf den EU-US-Datenschutzschild

Die US-amerikanische “Überwachungskultur” wurde heute von der EU stark zurückgedrängt, als der Europäische Gerichtshof gegen die Legitimität der Standardvertragsklauseln der EU als Mittel zur Übertragung von Daten an Rechtssysteme außerhalb der Union entschied. Wie wir bereits vor zwei Jahren schrieben, erklärte der Österreicher Max Schrems, der für die frühere Ablehnung des “Safe Harbour”-Abkommens zwischen den USA und der EU verantwortlich war, dass sein Nachfolger “Privacy Shield verschwindet, sobald sich EU-Gerichte beraten”. Es scheint, dass er Recht hatte.

Wie gestern bei Euroactiv berichtet:

Schrems Besorgnis ist, dass Abschnitt 702 des US Foreign Intelligence Surveillance Act (FISA) es der Nationalen Sicherheitsbehörde erlaubt, ausländische Geheimdienstinformationen von Nicht-Amerikanern außerhalb der USA zu sammeln, indem sie deren bei Anbietern elektronischer Kommunikationsdienste wie Facebook gespeicherte Daten erhält.

Tatsächlich haben Regulierungen wie der Cloud Act bereits dazu geführt, dass US-amerikanische Cloud-Firmen den Kampf um den Datenschutz aufgegeben haben, was europäische Cloud-Giganten dazu veranlasst hat, sich zusammenzuschließen und eine Alternative anzubieten.

Heutiges Urteil: kein “Privacy Shield” mehr

Heute annulliert das CJEU-Urteil “Privacy Shield” in einem US-Überwachungsfall. Die erste Stellungnahme von Max Schrems Organisationen NOYB zum CJEU-Urteil kann hier nachgelesen werden.

In ihrer Erklärung wird festgestellt, dass die EU-Kommission dem Druck der USA nachgeben hat, indem sie keine tief greifende Prüfung der US-Überwachungsgesetze vornahm, sondern Privacy Shield schnell passierte, um die Geschäfte von US-Unternehmen zum Nachteil der Privatsphäre und der Sicherheit der EU-Bürger zu schützen.

Herwig Hofmann, Juraprofessor an der Universität Luxemburg und einer der Anwälte, die die Schrems-Fälle vor dem CJEU vertreten, zitiert:

Der CJEU hat die zweite Entscheidung der Kommission, die die grundlegenden Datenschutzrechte der EU verletzt, für ungültig erklärt.

Es darf keinen Datentransfer in ein Land mit Formen der Massenüberwachung geben. Solange das US-Recht seiner Regierung die Befugnis einräumt, EU-Daten beim Transit in die USA zu vakuumisieren, werden solche Instrumente immer wieder außer Kraft gesetzt.

Mit der Annahme der US-Überwachungsgesetze durch die Kommission im Rahmen der Entscheidung über den “Privacy Shield” blieben diese ohne Verteidigung.

Viele deutsche Datenschutzbehörden sind bereits an verschiedenen Stellen zu dem Schluss gekommen, dass die Nutzung von Office 365 in Schulen illegal ist und die Nutzung von im Ausland gehosteten Chat- und Videokommunikationsdiensten Compliance-Probleme aufwirft, und empfehlen stattdessen Nextcloud Talk.

Die Schweden und Niederländer sind wiederholt zum gleichen Schluss gekommen. Der CJEU entscheidet, dass die Datenschutzbehörden die Pflicht haben, Maßnahmen zu ergreifen und sich nicht unter politischen Druck zu beugen, wie es bereits wiederholt geschehen ist. Einfach wegschauen ist keine Lösung.

BREAKING NEWS: EuGH entscheidet, dass US-Cloud-Dienste grundlegend unvereinbar mit EU-Datenschuntzgesetzen sind

Konsequenz: US-Cloud-Services nicht GDPR-konform

US-Cloud-Unternehmen wie Microsoft stellen bereits regelmäßig die europäischen Datenschutzgesetze in Frage, wie sie kürzlich erneut in einer umfassenden Datenschutzfolgenabschätzung von Office 365 durch die niederländische Regierung zeigten, in der Dutzende von GDPR-Verletzungen aufgedeckt wurden.

Mit diesen jüngsten Urteil stellt der EuGH einen weiteren wichtigsten Meilenstein für US-Cloud-Dienste dar, indem er die grundlegende Prämisse in Frage stellt, dass sie eine praktikable Lösung für den Einsatz mit allen datenschutzsensiblen Daten darstellen.

Unternehmen, Schulen und Regierungsorganisationen, die Daten ihrer Mitarbeiter, Kunden, Studenten und Bürger auf Office 365, Goolge G Suite oder einen der Dutzenden anderen US-amerikanischen SaaS-Dienste stellen, riskieren nun massive Geldstrafen im Rahmen des GDPR.

Die Mitte 2020 von der niederländischen Regierung in Aufrag gegebene DPIA zeigt eine Reihe von Problemen in Office 365.

BREAKING NEWS: EuGH entscheidet, dass US-Cloud-Dienste grundlegend unvereinbar mit EU-Datenschuntzgesetzen sind

Datenschutzbeauftragter Baden-Württembergs empfiehlt Nextcloud Talk

Die Covid-19-Krise übt einen großen Druck auf die Organisationen aus, damit sie Arbeit und Zusammenarbeit aus der Ferne ermöglichen. Die einfache Bereitstellung von Cloud-Lösungen bedeutet, dass dieser Weg häufig beschritten wird, aber er ist mit erheblichen Risiken für den Datenschutz verbunden.

Der Datenschutzbeauftragte des deutschen Bundeslandes Baden-Württembergs hat kürzlich eine Analyse dieser Herausforderungen veröffentlicht und empfiehlt den Einsatz von “Vor-Ort”-Lösungen gegenüber Software-as-a-Service-Lösungen.

BREAKING NEWS: EuGH entscheidet, dass US-Cloud-Dienste grundlegend unvereinbar mit EU-Datenschuntzgesetzen sind

Die Analyse weist darauf hin, dass bei der Entscheidung für eine Lösung

Darauf geachtet werden sollte, dass der Anbieter weder Metadaten auswertet (wer mit wem und wann kommuniziert hat) noch die Inhaltsdaten der Kommunikation für eigene Zwecke auswertet oder an Dritte weitergibt.

BREAKING NEWS: EuGH entscheidet, dass US-Cloud-Dienste grundlegend unvereinbar mit EU-Datenschuntzgesetzen sind

Es gibt Optionen:

Es gibt zahlreiche Lösungen auf der Basis von Open-Source-Software (z.B. Nextcloud Talk, Jitsi Meet, RocketChat oder Matrix), die datenschutzkonform eingesetzt werden können.

Sie warnen davor, dass sich gezeigt hat, dass vor allem mobile Anwendungen manchmal ihre Macher oder sogar Dritte erreichen (wie Zoom, dass kürzlich gezeigt wurde, um Benutzerdaten mit Facebook zu teilen, unabhängig davon, ob der Benutzer ein Facebook Konto hat), und dies ist ein Risiko, vor dem sich ein Datenschutzbeauftragter in Acht nehmen muss.

Sie als Organisation sind dafür verantwortlich, wo die Daten Ihrer Nutzer landen, und sie zu einer Lösung mit schrecklichen Nutzungsbedingungen zu drängen, ist rechtlich riskant.

Es gibt eine Reihe weiterer Tipps, unter anderem zur Nutzung des Video-Chats, und wir empfehlen deutschen Lesern die gesamte Empfehlung.

BREAKING NEWS: EuGH entscheidet, dass US-Cloud-Dienste grundlegend unvereinbar mit EU-Datenschuntzgesetzen sind

EuGH(CJEU) urteilt, dass der EU-US-Datenschutzschild ungültig ist

Am 16. Juni 2020 hat der Gerichtshof der Europäischen Union (CJEU) den Beschluss 2016/1250 für ungültig erklärt und damit den Schutz, der Datentransfers im Rahmen des EU-US-Datenschutzschildes gewährt wird, für unzureichend erklärt.

BREAKING NEWS: EuGH entscheidet, dass US-Cloud-Dienste grundlegend unvereinbar mit EU-Datenschuntzgesetzen sind

Der Hintergrund

Der Fall hat seinen Ursprung in einer Beschwerde von Herrn Max Schrems gegen Facebook Irland bezüglich der Übermittlung seiner persönlichen Daten als Facebook-Nutzer an die Facebook Inc. mit Sitz in den USA zur weiteren Bearbeitung. Herr Schrems reichte eine Beschwerde bei der irischen Aufsichtsbehörden ein, um diese Übertragungen zu verbieten.

Er behauptete, dass die Gesetzte und Praktiken in den Vereinigten Staaten keinen ausreichenden Schutz gegen den Zugriff der Behörden auf die in die USA übermitteln Daten bieten. Diese Beschwerde wurde mit der Begründung zurückgewiesen, dass die Kommission in der Entscheidung 2000/5205, der Safe-Harbour-Entscheidung, festgestellt habe, dass die Vereinigten Staaten ein angemessenes Schutzniveau gewährleisten. In einem Urteil vom 6. Oktober 2015 erklärte der CJEU, dem der High Court of Ireland Fragen zur Vorabentscheidung vorgelegt hatte, diese Entscheidung für ungültig, was zu dem Urteil Schrems I führte.

Das heutige Urteil im Fall Schrems II geht auf den Antrag des irischen High Court an Herrn Schrems zurück, seine ursprüngliche Beschwerde umzuformulieren, da das Safe Harbour Agreement als unzureichend erachtet worden war. In der Folge formulierte Herr Schrems seine Beschwerde um und behauptete, dass die Vereinigten Staaten keinen ausreichenden Schutz der in dieses Land übermittelten Daten bieten.

Er beantragt die Aussetzung künftiger Übertragungen seiner persönlichen Daten aus der EU in die Vereinigten Staaten, die Facebook Irland nun gemäß den Standardvertragsklauseln (SCCs) im Anhang des Beschlusses 2010/87 durchführt. Nach der Einleitung dieses Verfahrens nahm die Kommission die Entscheidung 2016/1250 über die Angemessenheit des Schutzes durch den EU-US-Datenschutzschild an.

In seinem Vorabentscheidungsersuchen fragte das vorlegende Gericht den EuGH, ob das DSGVO(GDPR) auf die Übermittlung personenbezogene Daten im Rahmen der SCCs anwendbar sein, welches Schutzniveau das DSGVO im Zusammenhang mit einer solchen Übermittlung verlange und welche Verpflichtungen den Aufsichtsbehörden unter diesen Umständen obliegen. Der irische High Court of Ireland warf auch die Frage nach der Gültigkeit der beiden Beschlüsse, Beschluss 2010/87 und Beschluss 2016/1250, auf.

BREAKING NEWS: EuGH entscheidet, dass US-Cloud-Dienste grundlegend unvereinbar mit EU-Datenschuntzgesetzen sind

Urteil in Bezug auf SCCs

In seinen Urteilen hat der CJEU erklärt, dass er nach Prüfung der Obersten Gerichtshöfe im Lichte der Charta der Grundrechte nichts gefunden habe, was die Gültigkeit der Obersten Gerichtshöfe und des Beschlusses 2010/87 beeinträchtigte.

In Bezug auf die Übermittlung personenbezogener Daten in Drittländer macht der EuGH geltend, dass die im DSGVO für solche Zwecke festgelegten Anforderungen hinsichtlich angemessener Garantien, einklagbarer Rechte und wirksamer rechtlicher Maßnahmen so auszulegen sind, dass den betroffenen Personen, deren personenbezogene Daten in ein Drittland übermittelt werden, ein Schutzniveau gewährt werden muss, dass im Wesentlichen dem Schutzniveaus entspricht, dass das DSGVO innerhalb der Europäischen Union gewährt.

Die Datenschutzbehörden müssen, sofern die Kommission keine Angemessenheitsentscheidung getroffen hat, verpflichtet sein, die Übermittlung personenbezogener Daten in ein Drittland, dass diese Anforderungen nicht erfüllt, auszusetzen oder zu verbieten.

Der DSGVO ist der Ansicht, dass die SKG nach wie vor wirksame Mechanismen sind, die es ermöglichen, die Einhaltung eines von der Europäischen Union geforderten Schutzniveaus zu gewährleisten. In diesem Zusammenhang weist der EuGH darauf hin, dass sich daraus für den Datenexporteur und den Empfänger der Daten die Verpflichtung ergibt, vor jeder Übermittlung zur prüfen, ob dieses Schutzniveau in dem betreffenden Drittland eingehalten wird, und die Übermittlung der personenbezogenen Daten auszusetzen, wenn dies nicht der Fall ist.

BREAKING NEWS: EuGH entscheidet, dass US-Cloud-Dienste grundlegend unvereinbar mit EU-Datenschuntzgesetzen sind

Urteil in Bezug auf den EU-US-Datenschutzschild

Der EuGH kam nach eingehender Prüfung zu dem Schluss, dass der EU-US-Datenschutzschild keinen angemessen Schutz für Überstellungen in die USA bietet.

Dieses Ergebnis ergibt sich aus der Tatsache, dass die weitreichende US-amerikanischen Überwachungsgesetze im Widerspruch zu den Grundrechten der EU stehen. Die USA beschränken den größten Teil ihres Schutzes personenbezogener Daten aus der staatlichen Überwachung auf US-Bürger, dehnen diesen Schutz aber nicht auf die personenbezogene Daten von Bürgern anderer Länder aus.

Im Wesentlichen werden die Beschränkungen des Schutzes personenbezogener Daten, die sich aus dem innerstaatlichen Recht der USA über den Zugang zu und die Nutzung von aus der Europäischen Union übermittelten Daten durch US-Behörden ergeben, nicht in einer Weise eingeschränkt, die Anforderungen erfüllt, die den Anforderungen des EU-Rechts gleichwertig sind, die oben in Bezug auf die SCCS erwähnt wurden. Nach dem Grundsatz der Verhältnismäßigkeit sind die auf diesen Bestimmungen beruhenden Überwachungsprogramme nicht auf das unbedingt erforderliche Maß beschränkt.

Sofern keine Ermächtigung und Unabhängigkeit der Ombudsperson erfolgt, die die Befugnis zur Annahme von Entscheidungen geben würde, die für die US-Geheimdienste bindend sind, gibt es keinen wesentlichen Grund gür Klagen.


Unser Team an E-Learning Experten bietet Ihnen zuerst eine umfassende Beratung und konzeptionelle Schritte für Ihre E-Learning-Plattform.

Unser Ziel: Ihnen das beste Resultat zu liefern, von Anfang an.
Ihre Lernenden zu begeistern und zu engagieren. Lösungen zu entwickeln die Ihren individuellen Anforderungen entsprechen.

Wir sind Experten für E-Learning Technologie. Wählen Sie uns, um Ihre kundenspezifische LMS Lösungen anzubieten.

PREGA Design setzt die führende LMS Technologie von LearnDash ein, die Nummer 1 weltweit unter den

  • Fortune-500-Unternehmen
  • großen Universitäten
  • Schulungsorganisationen
  • Unternehmen weltweit
  • Für die Erstellung (und den Verkauf) ihrer Online-Kurse

Die LMS Technologie die Ihr Unternehmen, Ihre Organisation, für den Betrieb einer unternehmenseigenen Lernplattform optimal befähigt.

LEITFADEN: EINFÜHRUNG LMS IN IHREM UNTERNEHMEN

BREAKING NEWS: EuGH entscheidet, dass US-Cloud-Dienste grundlegend unvereinbar mit EU-Datenschuntzgesetzen sind 1
MIT EINEM KLICK LADEN SIE UNSER E-BOOK KOSTENFREI HERUNTER

BREAKING NEWS: EuGH entscheidet, dass US-Cloud-Dienste grundlegend unvereinbar mit EU-Datenschuntzgesetzen sind 2

Ein Lern Management System (LMS) ist eine Softwareanwendung für die Verwaltung, Bereitstellung, Verfolgung und Berichterstattung von Online-eLearning-Programmen.

Unternehmen und Organisationen verwenden LMS, um ihren internen Mitarbeitern und Mitarbeitern Onboarding-Schulungen, Compliance-Schulungen und berufliche Weiterbildung anzubieten.

Unser Leitfaden bietet Ihnen eine wertvolle Unterstützung bei der Planung einer LMS Einführung im Unternehmen.

Related Posts

Wie mobiles Lernen die Fernarbeit unterstützt 4

05

Feb
Unkategorisiert

Wie mobiles Lernen die Fernarbeit unterstützt

  • 5. Februar 2024
Die Revolution der Arbeitswelt: Wie mobiles Lernen die Fernarbeit unterstützt In den letzten vier Jahren hat sich die Arbeitswelt einer tiefgreifenden Transformation unterzogen. Was einst als Nischenoption für Freelancer und Outsourcing-Unternehmen galt, hat sich zu einer dominanten Arbeitsform entwickelt: die Fernarbeit. Diese Entwicklung zwingt Unternehmen zu einer grundlegenden Überarbeitung ihrer [...]
Beitrag lesen
Revolutionäre Lernplattform für deutsche Unternehmen 6

31

Jan
AKTUELLES ZU E-LEARNING, Baby Boomer Lernen, Business Solutions, micro learning, Online Lernen, Unkategorisiert

Revolutionäre Lernplattform für deutsche Unternehmen

“Die Zukunft des Lernens: Revolutionäre Lernplattform für deutsche Unternehmen” In einer zunehmend digitalisierten Welt ist es für Unternehmen unerlässlich, ihre Mitarbeiter kontinuierlich weiterzubilden und ihnen die Werkzeuge zur Verfügung zu stellen, um ihr volles Potenzial auszuschöpfen. In diesem Zusammenhang hat eine innovative Lernplattform den deutschen Markt erobert und verspricht, das[…]

Beitrag lesen
Wie KI Ihre Schulungsmodule auf ein neues Level bringt 8

29

Dez
AKTUELLES ZU E-LEARNING, All Topics, Baby Boomer Lernen, Business Solutions, LearnDash Auszeichnungen, micro learning, Online Lernen, World of Business

Wie KI Ihre Schulungsmodule auf ein neues Level bringt

  • 29. Dezember 2023
Ein luxuriöses Lernerlebnis: Wie KI Ihre Schulungsmodule auf ein neues Level bringt Willkommen in der exklusiven Welt des luxuriösen Lernens, wo Kreativität und Effizienz aufeinandertreffen und personalisierte Schulungsmodule Ihre Lernreise verbessern. In diesem Artikel werden wir gemeinsam erkunden, wie KI-gesteuerte Technologien den Prozess der Schulungsmodule revolutionieren können. Tauchen Sie ein[...]
Beitrag lesen
PREGA Design Lernplattform mit LearnDash und BuddyBoss ein unübertroffenes Angebot

06

Dez
Unkategorisiert

Lukas und die Transformation durch Compliance Training

  • 6. Dezember 2023
Lukas und die Transformation durch Compliance Training Es war einmal in den weitläufigen Korridoren eines Unternehmens, in dem die Schatten der Gleichgültigkeit und Missachtung ethischer Werte sich zu verdichten schienen. Doch in dieser Kulisse des Nachsichtslosen tauchte ein unerwarteter Held auf: Lukas, der Ethik-Ritter. Lukas war kein gewöhnlicher Angestellter. Sein[...]
Beitrag lesen