Europe flag

BREAKING NEWS: EuGH entscheidet, dass US-Cloud-Dienste grundlegend unvereinbar mit EU-Datenschuntzgesetzen sind

BREAKING NEWS: EuGH entscheidet, dass US-Cloud-Dienste grundlegend unvereinbar mit EU-Datenschuntzgesetzen sind

Die US-amerikanische “Überwachungskultur” wurde heute von der EU stark zurückgedrängt, als der Europäische Gerichtshof gegen die Legitimität der Standardvertragsklauseln der EU als Mittel zur Übertragung von Daten an Rechtssysteme außerhalb der Union entschied. Wie wir bereits vor zwei Jahren schrieben, erklärte der Österreicher Max Schrems, der für die frühere Ablehnung des “Safe Harbour”-Abkommens zwischen den USA und der EU verantwortlich war, dass sein Nachfolger “Privacy Shield verschwindet, sobald sich EU-Gerichte beraten”. Es scheint, dass er Recht hatte.

Wie gestern bei Euroactiv berichtet:

Schrems Besorgnis ist, dass Abschnitt 702 des US Foreign Intelligence Surveillance Act (FISA) es der Nationalen Sicherheitsbehörde erlaubt, ausländische Geheimdienstinformationen von Nicht-Amerikanern außerhalb der USA zu sammeln, indem sie deren bei Anbietern elektronischer Kommunikationsdienste wie Facebook gespeicherte Daten erhält.

Tatsächlich haben Regulierungen wie der Cloud Act bereits dazu geführt, dass US-amerikanische Cloud-Firmen den Kampf um den Datenschutz aufgegeben haben, was europäische Cloud-Giganten dazu veranlasst hat, sich zusammenzuschließen und eine Alternative anzubieten.

Heutiges Urteil: kein “Privacy Shield” mehr

Heute annulliert das CJEU-Urteil “Privacy Shield” in einem US-Überwachungsfall. Die erste Stellungnahme von Max Schrems Organisationen NOYB zum CJEU-Urteil kann hier nachgelesen werden.

In ihrer Erklärung wird festgestellt, dass die EU-Kommission dem Druck der USA nachgeben hat, indem sie keine tief greifende Prüfung der US-Überwachungsgesetze vornahm, sondern Privacy Shield schnell passierte, um die Geschäfte von US-Unternehmen zum Nachteil der Privatsphäre und der Sicherheit der EU-Bürger zu schützen.

Herwig Hofmann, Juraprofessor an der Universität Luxemburg und einer der Anwälte, die die Schrems-Fälle vor dem CJEU vertreten, zitiert:

Der CJEU hat die zweite Entscheidung der Kommission, die die grundlegenden Datenschutzrechte der EU verletzt, für ungültig erklärt.

Es darf keinen Datentransfer in ein Land mit Formen der Massenüberwachung geben. Solange das US-Recht seiner Regierung die Befugnis einräumt, EU-Daten beim Transit in die USA zu vakuumisieren, werden solche Instrumente immer wieder außer Kraft gesetzt.

Mit der Annahme der US-Überwachungsgesetze durch die Kommission im Rahmen der Entscheidung über den “Privacy Shield” blieben diese ohne Verteidigung.

Viele deutsche Datenschutzbehörden sind bereits an verschiedenen Stellen zu dem Schluss gekommen, dass die Nutzung von Office 365 in Schulen illegal ist und die Nutzung von im Ausland gehosteten Chat- und Videokommunikationsdiensten Compliance-Probleme aufwirft, und empfehlen stattdessen Nextcloud Talk.

Die Schweden und Niederländer sind wiederholt zum gleichen Schluss gekommen. Der CJEU entscheidet, dass die Datenschutzbehörden die Pflicht haben, Maßnahmen zu ergreifen und sich nicht unter politischen Druck zu beugen, wie es bereits wiederholt geschehen ist. Einfach wegschauen ist keine Lösung.

BREAKING NEWS: EuGH entscheidet, dass US-Cloud-Dienste grundlegend unvereinbar mit EU-Datenschuntzgesetzen sind

Konsequenz: US-Cloud-Services nicht GDPR-konform

US-Cloud-Unternehmen wie Microsoft stellen bereits regelmäßig die europäischen Datenschutzgesetze in Frage, wie sie kürzlich erneut in einer umfassenden Datenschutzfolgenabschätzung von Office 365 durch die niederländische Regierung zeigten, in der Dutzende von GDPR-Verletzungen aufgedeckt wurden.

Mit diesen jüngsten Urteil stellt der EuGH einen weiteren wichtigsten Meilenstein für US-Cloud-Dienste dar, indem er die grundlegende Prämisse in Frage stellt, dass sie eine praktikable Lösung für den Einsatz mit allen datenschutzsensiblen Daten darstellen.

Unternehmen, Schulen und Regierungsorganisationen, die Daten ihrer Mitarbeiter, Kunden, Studenten und Bürger auf Office 365, Goolge G Suite oder einen der Dutzenden anderen US-amerikanischen SaaS-Dienste stellen, riskieren nun massive Geldstrafen im Rahmen des GDPR.

Die Mitte 2020 von der niederländischen Regierung in Aufrag gegebene DPIA zeigt eine Reihe von Problemen in Office 365.

BREAKING NEWS: EuGH entscheidet, dass US-Cloud-Dienste grundlegend unvereinbar mit EU-Datenschuntzgesetzen sind

Datenschutzbeauftragter Baden-Württembergs empfiehlt Nextcloud Talk

Die Covid-19-Krise übt einen großen Druck auf die Organisationen aus, damit sie Arbeit und Zusammenarbeit aus der Ferne ermöglichen. Die einfache Bereitstellung von Cloud-Lösungen bedeutet, dass dieser Weg häufig beschritten wird, aber er ist mit erheblichen Risiken für den Datenschutz verbunden.

Der Datenschutzbeauftragte des deutschen Bundeslandes Baden-Württembergs hat kürzlich eine Analyse dieser Herausforderungen veröffentlicht und empfiehlt den Einsatz von “Vor-Ort”-Lösungen gegenüber Software-as-a-Service-Lösungen.

BREAKING NEWS: EuGH entscheidet, dass US-Cloud-Dienste grundlegend unvereinbar mit EU-Datenschuntzgesetzen sind

Die Analyse weist darauf hin, dass bei der Entscheidung für eine Lösung

Darauf geachtet werden sollte, dass der Anbieter weder Metadaten auswertet (wer mit wem und wann kommuniziert hat) noch die Inhaltsdaten der Kommunikation für eigene Zwecke auswertet oder an Dritte weitergibt.

BREAKING NEWS: EuGH entscheidet, dass US-Cloud-Dienste grundlegend unvereinbar mit EU-Datenschuntzgesetzen sind

Es gibt Optionen:

Es gibt zahlreiche Lösungen auf der Basis von Open-Source-Software (z.B. Nextcloud Talk, Jitsi Meet, RocketChat oder Matrix), die datenschutzkonform eingesetzt werden können.

Sie warnen davor, dass sich gezeigt hat, dass vor allem mobile Anwendungen manchmal ihre Macher oder sogar Dritte erreichen (wie Zoom, dass kürzlich gezeigt wurde, um Benutzerdaten mit Facebook zu teilen, unabhängig davon, ob der Benutzer ein Facebook Konto hat), und dies ist ein Risiko, vor dem sich ein Datenschutzbeauftragter in Acht nehmen muss.

Sie als Organisation sind dafür verantwortlich, wo die Daten Ihrer Nutzer landen, und sie zu einer Lösung mit schrecklichen Nutzungsbedingungen zu drängen, ist rechtlich riskant.

Es gibt eine Reihe weiterer Tipps, unter anderem zur Nutzung des Video-Chats, und wir empfehlen deutschen Lesern die gesamte Empfehlung.

BREAKING NEWS: EuGH entscheidet, dass US-Cloud-Dienste grundlegend unvereinbar mit EU-Datenschuntzgesetzen sind

EuGH(CJEU) urteilt, dass der EU-US-Datenschutzschild ungültig ist

Am 16. Juni 2020 hat der Gerichtshof der Europäischen Union (CJEU) den Beschluss 2016/1250 für ungültig erklärt und damit den Schutz, der Datentransfers im Rahmen des EU-US-Datenschutzschildes gewährt wird, für unzureichend erklärt.

BREAKING NEWS: EuGH entscheidet, dass US-Cloud-Dienste grundlegend unvereinbar mit EU-Datenschuntzgesetzen sind

Der Hintergrund

Der Fall hat seinen Ursprung in einer Beschwerde von Herrn Max Schrems gegen Facebook Irland bezüglich der Übermittlung seiner persönlichen Daten als Facebook-Nutzer an die Facebook Inc. mit Sitz in den USA zur weiteren Bearbeitung. Herr Schrems reichte eine Beschwerde bei der irischen Aufsichtsbehörden ein, um diese Übertragungen zu verbieten.

Er behauptete, dass die Gesetzte und Praktiken in den Vereinigten Staaten keinen ausreichenden Schutz gegen den Zugriff der Behörden auf die in die USA übermitteln Daten bieten. Diese Beschwerde wurde mit der Begründung zurückgewiesen, dass die Kommission in der Entscheidung 2000/5205, der Safe-Harbour-Entscheidung, festgestellt habe, dass die Vereinigten Staaten ein angemessenes Schutzniveau gewährleisten. In einem Urteil vom 6. Oktober 2015 erklärte der CJEU, dem der High Court of Ireland Fragen zur Vorabentscheidung vorgelegt hatte, diese Entscheidung für ungültig, was zu dem Urteil Schrems I führte.

Das heutige Urteil im Fall Schrems II geht auf den Antrag des irischen High Court an Herrn Schrems zurück, seine ursprüngliche Beschwerde umzuformulieren, da das Safe Harbour Agreement als unzureichend erachtet worden war. In der Folge formulierte Herr Schrems seine Beschwerde um und behauptete, dass die Vereinigten Staaten keinen ausreichenden Schutz der in dieses Land übermittelten Daten bieten.

Er beantragt die Aussetzung künftiger Übertragungen seiner persönlichen Daten aus der EU in die Vereinigten Staaten, die Facebook Irland nun gemäß den Standardvertragsklauseln (SCCs) im Anhang des Beschlusses 2010/87 durchführt. Nach der Einleitung dieses Verfahrens nahm die Kommission die Entscheidung 2016/1250 über die Angemessenheit des Schutzes durch den EU-US-Datenschutzschild an.

In seinem Vorabentscheidungsersuchen fragte das vorlegende Gericht den EuGH, ob das DSGVO(GDPR) auf die Übermittlung personenbezogene Daten im Rahmen der SCCs anwendbar sein, welches Schutzniveau das DSGVO im Zusammenhang mit einer solchen Übermittlung verlange und welche Verpflichtungen den Aufsichtsbehörden unter diesen Umständen obliegen. Der irische High Court of Ireland warf auch die Frage nach der Gültigkeit der beiden Beschlüsse, Beschluss 2010/87 und Beschluss 2016/1250, auf.

BREAKING NEWS: EuGH entscheidet, dass US-Cloud-Dienste grundlegend unvereinbar mit EU-Datenschuntzgesetzen sind

Urteil in Bezug auf SCCs

In seinen Urteilen hat der CJEU erklärt, dass er nach Prüfung der Obersten Gerichtshöfe im Lichte der Charta der Grundrechte nichts gefunden habe, was die Gültigkeit der Obersten Gerichtshöfe und des Beschlusses 2010/87 beeinträchtigte.

In Bezug auf die Übermittlung personenbezogener Daten in Drittländer macht der EuGH geltend, dass die im DSGVO für solche Zwecke festgelegten Anforderungen hinsichtlich angemessener Garantien, einklagbarer Rechte und wirksamer rechtlicher Maßnahmen so auszulegen sind, dass den betroffenen Personen, deren personenbezogene Daten in ein Drittland übermittelt werden, ein Schutzniveau gewährt werden muss, dass im Wesentlichen dem Schutzniveaus entspricht, dass das DSGVO innerhalb der Europäischen Union gewährt.

Die Datenschutzbehörden müssen, sofern die Kommission keine Angemessenheitsentscheidung getroffen hat, verpflichtet sein, die Übermittlung personenbezogener Daten in ein Drittland, dass diese Anforderungen nicht erfüllt, auszusetzen oder zu verbieten.

Der DSGVO ist der Ansicht, dass die SKG nach wie vor wirksame Mechanismen sind, die es ermöglichen, die Einhaltung eines von der Europäischen Union geforderten Schutzniveaus zu gewährleisten. In diesem Zusammenhang weist der EuGH darauf hin, dass sich daraus für den Datenexporteur und den Empfänger der Daten die Verpflichtung ergibt, vor jeder Übermittlung zur prüfen, ob dieses Schutzniveau in dem betreffenden Drittland eingehalten wird, und die Übermittlung der personenbezogenen Daten auszusetzen, wenn dies nicht der Fall ist.

BREAKING NEWS: EuGH entscheidet, dass US-Cloud-Dienste grundlegend unvereinbar mit EU-Datenschuntzgesetzen sind

Urteil in Bezug auf den EU-US-Datenschutzschild

Der EuGH kam nach eingehender Prüfung zu dem Schluss, dass der EU-US-Datenschutzschild keinen angemessen Schutz für Überstellungen in die USA bietet.

Dieses Ergebnis ergibt sich aus der Tatsache, dass die weitreichende US-amerikanischen Überwachungsgesetze im Widerspruch zu den Grundrechten der EU stehen. Die USA beschränken den größten Teil ihres Schutzes personenbezogener Daten aus der staatlichen Überwachung auf US-Bürger, dehnen diesen Schutz aber nicht auf die personenbezogene Daten von Bürgern anderer Länder aus.

Im Wesentlichen werden die Beschränkungen des Schutzes personenbezogener Daten, die sich aus dem innerstaatlichen Recht der USA über den Zugang zu und die Nutzung von aus der Europäischen Union übermittelten Daten durch US-Behörden ergeben, nicht in einer Weise eingeschränkt, die Anforderungen erfüllt, die den Anforderungen des EU-Rechts gleichwertig sind, die oben in Bezug auf die SCCS erwähnt wurden. Nach dem Grundsatz der Verhältnismäßigkeit sind die auf diesen Bestimmungen beruhenden Überwachungsprogramme nicht auf das unbedingt erforderliche Maß beschränkt.

Sofern keine Ermächtigung und Unabhängigkeit der Ombudsperson erfolgt, die die Befugnis zur Annahme von Entscheidungen geben würde, die für die US-Geheimdienste bindend sind, gibt es keinen wesentlichen Grund gür Klagen.



Unser Team an E-Learning Experten bietet Ihnen zuerst eine umfassende Beratung und konzeptionelle Schritte für Ihre E-Learning-Plattform.

Unser Ziel: Ihnen das beste Resultat zu liefern, von Anfang an.
Ihre Lernenden zu begeistern und zu engagieren. Lösungen zu entwickeln die Ihren individuellen Anforderungen entsprechen.

Wir sind Experten für E-Learning Technologie. Wählen Sie uns, um Ihre kundenspezifische LMS Lösungen anzubieten.

PREGA Design setzt die führende LMS Technologie von LearnDash ein, die Nummer 1 weltweit unter den

  • Fortune-500-Unternehmen
  • großen Universitäten
  • Schulungsorganisationen
  • Unternehmen weltweit
  • Für die Erstellung (und den Verkauf) ihrer Online-Kurse

Die LMS Technologie die Ihr Unternehmen, Ihre Organisation, für den Betrieb einer unternehmenseigenen Lernplattform optimal befähigt.

LEITFADEN: EINFÜHRUNG LMS IN IHREM UNTERNEHMEN

BREAKING NEWS: EuGH entscheidet, dass US-Cloud-Dienste grundlegend unvereinbar mit EU-Datenschuntzgesetzen sind 2

Ein Lern Management System (LMS) ist eine Softwareanwendung für die Verwaltung, Bereitstellung, Verfolgung und Berichterstattung von Online-eLearning-Programmen.

Unternehmen und Organisationen verwenden LMS, um ihren internen Mitarbeitern und Mitarbeitern Onboarding-Schulungen, Compliance-Schulungen und berufliche Weiterbildung anzubieten.

Unser Leitfaden bietet Ihnen eine wertvolle Unterstützung bei der Planung einer LMS Einführung im Unternehmen.

Ähnliche Beiträge

Business people having a meeting in office

09

Sep
AKTUELLES ZU E-LEARNING

Ein Wertesystem am Arbeitsplatz ist nicht auf eLearning beschränkt

Ein Wertesystem am Arbeitsplatz ist nicht auf eLearning beschränkt In jedem Unternehmen ist es von entscheidender Bedeutung, ein solches Wertesystem zu entwickeln und jedem Mitarbeiter zu vermitteln. Es hilft einem dabei, schwierige Entscheidungen leicht zu treffen, ohne dass das Schwert des “Big Brother” zuschaut, mit vollem Vertrauen in die Entscheidung. […]

Business people working on computers in office

08

Sep
AKTUELLES ZU E-LEARNING

Wie ein Compliance-Training LMS die Bedeutung der Sicherheit am Arbeitsplatz unterstreicht.

Wie ein Compliance-Training LMS die Bedeutung der Sicherheit am Arbeitsplatz unterstreicht. Die korporative Version eines Klapses auf die Hand sind Geldstrafen. Es könnte aber auch mehr auf dem Spiel stehen. In diesem Artikel untersuche ich, wie ein Compliance-Training LMS die Bedeutung der Sicherheit am Arbeitsplatz unterstreicht. Jenseits von Strafen und[…]

Health Care Workers In Hospital With Computer And Equipment

08

Sep
AKTUELLES ZU E-LEARNING

Wie eLearning die Zukunft der Gesundheitsversorgung ist

Wie eLearning die Zukunft der Gesundheitsversorgung ist Wo Patienten oft Qualitätseinbußen hinnehmen müssen, ist der Geldbeutel gefragt, aber die Telemedizin macht es nicht nur billiger für Fachkräfte, sich weiterzubilden, sondern, was noch wichtiger ist, sie ermöglicht es den Patienten, ihre Behandlungskosten zu senken und letztlich ihre Optionen zu verbessern. Erfahren[…]

Select language. Learning, translate languages or audio guide co

07

Sep
AKTUELLES ZU E-LEARNING

Top 10 eLearning-Trends für die Sprachschulung im Jahr 2020

Top 10 eLearning-Trends für die Sprachschulung im Jahr 2020 Heutzutage ist die Online-Bildung so beliebt wie nie zuvor. Millionen von Menschen auf der ganzen Welt erhalten auf diese Weise ihre Abschlüsse, tauchen in eine neue Umgebung ein und lernen einzigartige Trends des Wissenserwerbs kennen. 10 Sprachtrends beim eLearning, die an[…]