Gibt es hier schon seitens DF Informationen? Ein quasi aussitzen wie LvivIT! wäre unschön. Gibt es beim Datenschutzbeauftragten hierzu Infos oder schweigt auch der sich wieder aus?

Was soll denn da kommen? Sofern keine Referenz auf das PrivacyShield in den Verträgen stehen, wird jetzt erstmal abgewartet ;-) Es wird in 12-18 Monaten wohö ein neues Abkommen mit neuem Namen geben und Schrems wird wieder klagen. Und dann wird wieder ein Urteil geben. Bis das Klagen endlich aufhört ;-)

Hallo zusammen,

wir werden uns zu dem Thema noch äußern und Details nennen. Selbstverständlich ist das Thema Datenschutz für uns enorm wichtig! Wir bitten noch um ein klein wenig Geduld.

Mit freundlichen Grüßen

Nils Dornblut

Hallo zusammen,

DomainFactory ist die Privatsphäre seiner Kunden wichtig und wir stellen DSGVO-konformen Datentransfer sicher. Verschiedene Mechanismen stellen sicher, dass wir unseren Kunden auch weiterhin den bestmöglichen Service bieten können. DomainFactory hat am EU-U.S.- und Schweiz-U.S.- Privacy Shield Framework („EU-US-Datenschutzschild“, Rahmenwerk zum Schutz persönlicher Daten) teilgenommen und ist für dessen Einhaltung zertifiziert. Darüber hinaus nutzen wir bereits die Standardvertragsklauseln (SCC) für die Übermittlung personenbezogener Daten zwischen EU- und Nicht-EU-Ländern, eine weiterhin zulässige Methode für DSGVO-konformen Datentransfer.

Zu welchem Zweck werden personenbezogene Daten ausserhalb von Deutschland / der EU verarbeitet?

so einfach ist die Sache nicht. Der EuGH hat im Falle der Standardvertragsklauseln den datenverarbeitenden Unternehmen auferlegt, die Wirksamkeit dieser Maßnahmen auch in der Praxis zu überprüfen. Hierbei ist entscheidend, ob hierdurch ein äquivalentes Datenschutzniveau im Zielland gewährleistet werden kann.

Das Problem mit den Vereinigten Staaten liegt aber in den FISA-Gesetzen, welche Geheimdiensten einen weitreichenden Zugriff auf Clouddaten ermöglicht. Der EuGH hat diesbezüglich eben geurteilt, dass dadurch kein äquivalentes Datenschutzniveau in den Vereinigten Staaten herrscht.

Die Datenschutzkonferenz hat dies nochmal hervorgehoben:

Wenn es Ihnen gelingt durch zusätzliche Schutzmaßnahmen als US-Unternehmen die Geheimdienste wirkungsvoll von den Daten fernzuhalten, dann kann der Einsatz der Standardvertragsklauseln rechtens sein. Das sind aber Hürden, welche de-facto durch kein US-Unternehmen reell zu leisten sind. Die Gesetzeslage in den USA ist diesbezüglich eindeutig und diese wird etwaige, anderslautende vertragliche Regelungen aushebeln.

Einige US-Unternehmen veröffentlichen Transparenzberichte bzgl. FISA auf Ihrer Homepage (z.B. Cloudflare). Es dürfte hier keine große Überraschung sein, dass diese Firmen eben derartigen Gesetzen unterliegen. Dieses Forum ist z.B. mittels Cloudflare abgesichert ... und liegt obendrein in der vBulletin-Cloud.

Es ist schlussendlich ein fundamentaler Widerspruch zwischen US-Überwachungsgesetzen und EU-Datenschutzgesetzen. Das ist aktuell nicht auflösbar. Der EuGH hat den Datenschutzbehörden darüber hinaus auferlegt, von sich aus tätig zu werden und die DSGVO durchzusetzen. Es ist ja schließlich anzunehmen, dass nicht jedes Unternehmen seinen Verpflichtungen nachkommen wird.

Meiner Meinung nach hat dF mit dem Urteil ein riesiges Problem.

Besonders konkret wird der Datenschutzbeauftragte in Berlin:

Vom BayLDA fehlt noch eine Stellungnahme. Da das BayLDA aber das Dokument der Datenschutzkonferenz auf der eigenen Homepage veröffentlicht hat, glaube ich kaum, dass hier eine anderslautende Meinung vertreten wird.

@Herr Kaufmann: Ich verstehe, dass das jüngste Urteil eine Menge Fragen aufwirft. Einen Grund für Ihren Optimismus kann ich aber nach den bisher veröffentlichten Stellungnahmen nicht erkennen.

Wir sind Teil eines internationalen Konzerns mit Konzernmutter in den USA. Außerdem arbeiten wir mit diversen Partnern zusammen, die entsprechend von uns und dem Konzern genutzte Dienstleistungen anbieten. Dies aber immer unter der Sicherstellung des DSGVO-konformen Datentransfers.

Mit freundlichen Grüßen

Nils Dornblut

Hallo zusammen,

es ist absolut richtig, dass dieses Thema sehr interessant und wichtig ist. Was wir hier jedoch nicht leisten können, ist eine rechtliche Detaildiskussion gerade bei einem solchen frischen Thema. Eine Einschätzung von uns haben Sie in der von Herrn Kaufmann veröffentlichten Stellungnahme bekommen. Falls darüber hinaus es Punkte im Bereich Datenschutz gibt, die unsere Geschäftsbeziehung mit Ihnen betreffen, dann bitten wir um Kontaktaufnahme mit unserem Datenschutzbeauftragten, dessen Adresse bzw. Telefonnummer Sie hier finden:



Mit freundlichen Grüßen

Nils Dornblut

Es ist mehr der Elefant im Raum als nur ein Detail. Aber ich verstehe, dass natürlich im Rahmen des Forums der Klärung von Rechtsfragen Grenzen gesetzt sind.

und sofern das nicht zur Klärung beiträgt und wir schon bei Links sind, mag mir noch folgender Verweis gestattet sein: https://www.lda.bayern.de/de/beschwerde.html

Eine Randbemerkung noch: Das Urteil des EuGH hat nicht nur Auswirkung auf die Datenverarbeitung in den USA. Betroffen ist grundsätzliches jedes Drittland. Die Standardvertragsklauseln müssen auch hier durch den Datenverarbeiter auf deren tatsächliche Wirksamkeit vor dem Hintergrund der jeweiligen Gesetzeslage im Zielland überprüft werden.

Insofern wird dF auch die Datenverarbeitung in der Ukraine nochmal neu bewerten müssen. Über welche Befugnisse verfügt z.B. der ukrainische Geheimdienst SBU?

Es wäre wünschenswert, wenn die Aufsichtsbehörden derartige Prüfungen von sich aus durchführen und entsprechende Länderlisten veröffentlichen. Da sich Gesetze in diesen Ländern auch fortwährend ändern und die Datenverarbeitung stets auf's neue geprüft werden muss, bedeutet dies für jede Datenverarbeitung in Drittländern massive Risiken. Denn jede neue Überwachungsbefugnis kann von heute auf morgen die Legitimität der Datenverarbeitung in dem betroffenen Land zunichte machen.

Schlussendlich steht die Frage im Raum, wie ernst wir Europäer den Datenschutz nehmen möchten. Bei einem Privacy Shield war allen Beteiligten klar, dass dieses genau dieselben Schwachstellen aufweist wie Safe Harbour und die eigentlichen Probleme der ausufernden Überwachungsgesetze nicht löst. Das war eine rein politische Veranstaltung, welche mit echtem Datenschutz nichts zu tun hatte. Insofern empfinde ich das EuGH-Urteil nur als konsequent und begrüßenswert, insbesondere da der EuGH hervorhebt, dass ein Datenschutz nicht nur auf dem Papier, sondern eben in der Praxis gewährleistet sein muss.

Der internationale Datentransfer ist mit voller Wucht gegen die Wand gefahren.

Das beantwortet meine Frage nicht. Warum haben andere, ausser DF, Zugriff auf meine persönlichen Daten? Was bringt es konkret Partner X wenn dieser Zugriff auf persönliche Daten hat, die ich DF anvertraut habe?

Wenn DF nur noch Schnittmenge X an anfallenden Jobs selbst erledigt und alles andere aus Synergiegründen an konzernweite Dienstleister ausgelagert ist, wird sich das nicht umgehen lassen.

Und, wird der Datentransfer einstellt? Oder wird eher nach einem neuen Namen für ein neues Abkommen gesucht?
Da auch die EU die Strafverfolgung auf Datenzugriffe in der EU- und Drittländer ausdehnen möchte, bin ich da mal gespannt. Es wird eine gute Fiktion werden, bis Schrems in ein paar Jahren erneut klagt ;-)

Wie überprüft der df-Reseller denn z.B. LvivIT! -Ukraine? Was bedeutet "Bereitstellung von operativer Plattformsunterstützung", wobei hierfür dann Kundenkonteninformationen ausgetauscht werden.
Da der Reseller nicht selber im Rechenzentrum und Verwaltung rumturnt, bleibt ja nur ein Zertifikat durch Dritte (In Zeiten von WireCard und Wirtschaftsprüfertestaten auch fraglich).

Wir bieten Ihnen Dienstleistungen an. Hierbei ist uns Datenschutz und Datensicherheit sehr wichtig und wir halten uns nach unserer Einschätzung an alle entsprechenden Vorschriften. Auch stellen wir das entsprechend transparent dar. Um die Dienstleistungen für Sie so anbieten zu können, brauchen wir Unterstützung aus unterschiedlichen Gründen und Zusammenhängen.

Was uns leider nicht möglich ist, ist genau darzustellen, warum wir uns für Dienstleister XY entschieden haben oder warum genau bestimmte Wege so sind oder so sein müssen. Jede Antwort auf diese Fragen würde naturgemäß viele andere Fragen aufwerfen und es kann natürlich immer so oder so gesehen werden.

Wir sind Teil eines großen Konzerns und naturgemäß daher nicht in allen Punkten unabhängig tätig. Die Akzeptanz dessen muss Grundlage für eine Zusammenarbeit mit uns sein, alles andere wäre abwegig und illusorisch.

Aus den Zusammenhängen stellt sich die Frage, was wir hier beantworten sollen? Klar, die angesprochene Entscheidung könnte Auswirkungen auf uns haben, genauso wie auf viele andere Firmen. Was wir versichern können ist, dass wir die Thematik sehr ernst nehmen und natürlich sofern nötig Anpassungen vornehmen würden. Naturgemäß ist es aber sehr schwer über solche rechtlichen Themen hier zu reden. Recht ist ja keine eindeutige Sache, sondern oft gibt es viele Rechtsmeinungen, denen man sich anschließen kann. Oft ist es eine Abwägung und keine Eindeutigkeit in jedem Punkt. Hier etwas öffentlich dann dazulegen ist aus sicher verständlichen Gründen nicht möglich, da wir uns dann in einer riesigen Diskussion befinden würden, die von Fachleuten ja nicht einmal eindeutig geführt werden kann. Von daher wird keiner der Fragen vermutlich für keine Seite auch nur annähernd befriedigend beantwortet werden können.

Mit freundlichen Grüßen

Nils Dornblut