Ankündigung

Einklappen
Keine Ankündigung bisher.

EuGH kippt EU-US-Datenschutzvereinbarung "Privacy Shield"

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    EuGH kippt EU-US-Datenschutzvereinbarung "Privacy Shield"

    Mit einem lange erwarteten Urteil hat der Europäische Gerichtshof (EuGH) am Donnerstag den transatlantischen "Privacy Shield" und damit eine der wichtigen Rechtsgrundlagen für den Transfer personenbezogener Daten europäischer Bürger in die USA für nichtig erklärt. Fall C-311/18

    Wie wird domainfactory damit umgehen bzw betrifft das von df eingesetzte Dienste?

    #2
    Zitat von mindflowmedia Beitrag anzeigen
    Wie wird domainfactory damit umgehen bzw betrifft das von df eingesetzte Dienste?
    Gibt es hier schon seitens DF Informationen? Ein quasi aussitzen wie LvivIT! wäre unschön. Gibt es beim Datenschutzbeauftragten hierzu Infos oder schweigt auch der sich wieder aus?

    Markus
    ---
    https://www.facebook.com/markus.weber.180410

    Kommentar


      #3
      Zitat von wecotec Beitrag anzeigen
      Ein quasi aussitzen wie LvivIT! wäre unschön. Gibt es beim Datenschutzbeauftragten hierzu Infos oder schweigt auch der sich wieder aus?
      Was soll denn da kommen? Sofern keine Referenz auf das PrivacyShield in den Verträgen stehen, wird jetzt erstmal abgewartet ;-) Es wird in 12-18 Monaten wohö ein neues Abkommen mit neuem Namen geben und Schrems wird wieder klagen. Und dann wird wieder ein Urteil geben. Bis das Klagen endlich aufhört ;-)



      Kommentar


        #4
        Hallo zusammen,

        wir werden uns zu dem Thema noch äußern und Details nennen. Selbstverständlich ist das Thema Datenschutz für uns enorm wichtig! Wir bitten noch um ein klein wenig Geduld.

        Mit freundlichen Grüßen

        Nils Dornblut
        Blog - Facebook - Twitter
        Communitybetreiber: domainfactory GmbH
        Impressum / Pflichtangaben

        Kommentar


          #5
          Hallo zusammen,

          DomainFactory ist die Privatsphäre seiner Kunden wichtig und wir stellen DSGVO-konformen Datentransfer sicher. Verschiedene Mechanismen stellen sicher, dass wir unseren Kunden auch weiterhin den bestmöglichen Service bieten können. DomainFactory hat am EU-U.S.- und Schweiz-U.S.- Privacy Shield Framework („EU-US-Datenschutzschild“, Rahmenwerk zum Schutz persönlicher Daten) teilgenommen und ist für dessen Einhaltung zertifiziert. Darüber hinaus nutzen wir bereits die Standardvertragsklauseln (SCC) für die Übermittlung personenbezogener Daten zwischen EU- und Nicht-EU-Ländern, eine weiterhin zulässige Methode für DSGVO-konformen Datentransfer.





          Blog - Facebook - Twitter
          Communitybetreiber: domainfactory GmbH
          Impressum / Pflichtangaben

          Kommentar


            #6
            Zitat von Marcel Kaufmann Beitrag anzeigen
            Hallo zusammen,
            Darüber hinaus nutzen wir bereits die Standardvertragsklauseln (SCC) für die Übermittlung personenbezogener Daten zwischen EU- und Nicht-EU-Ländern, eine weiterhin zulässige Methode für DSGVO-konformen Datentransfer.
            Zu welchem Zweck werden personenbezogene Daten ausserhalb von Deutschland / der EU verarbeitet?
            Markus
            ---
            https://www.facebook.com/markus.weber.180410

            Kommentar


              #7
              Zitat von Marcel Kaufmann Beitrag anzeigen
              Hallo zusammen,

              DomainFactory ist die Privatsphäre seiner Kunden wichtig und wir stellen DSGVO-konformen Datentransfer sicher. Verschiedene Mechanismen stellen sicher, dass wir unseren Kunden auch weiterhin den bestmöglichen Service bieten können. DomainFactory hat am EU-U.S.- und Schweiz-U.S.- Privacy Shield Framework („EU-US-Datenschutzschild“, Rahmenwerk zum Schutz persönlicher Daten) teilgenommen und ist für dessen Einhaltung zertifiziert. Darüber hinaus nutzen wir bereits die Standardvertragsklauseln (SCC) für die Übermittlung personenbezogener Daten zwischen EU- und Nicht-EU-Ländern, eine weiterhin zulässige Methode für DSGVO-konformen Datentransfer.
              so einfach ist die Sache nicht. Der EuGH hat im Falle der Standardvertragsklauseln den datenverarbeitenden Unternehmen auferlegt, die Wirksamkeit dieser Maßnahmen auch in der Praxis zu überprüfen. Hierbei ist entscheidend, ob hierdurch ein äquivalentes Datenschutzniveau im Zielland gewährleistet werden kann.

              Das Problem mit den Vereinigten Staaten liegt aber in den FISA-Gesetzen, welche Geheimdiensten einen weitreichenden Zugriff auf Clouddaten ermöglicht. Der EuGH hat diesbezüglich eben geurteilt, dass dadurch kein äquivalentes Datenschutzniveau in den Vereinigten Staaten herrscht.

              Die Datenschutzkonferenz hat dies nochmal hervorgehoben:

              Zitat von https://www.datenschutzkonferenz-online.de/media/pm/20200616_pm_schrems2.pdf
              Der EuGH hat das Pri-vacy Shield für ungültig erklärt, weil das durch den EuGH bewertete US-Recht kein Schutzniveau bietet, das dem in der EU im Wesentlichen gleichwertig ist.

              Nach dem Urteil des EuGH reichen bei Datenübermittlungen in die USA Standardvertragsklauseln ohne zusätzliche Maß-nahmen grundsätzlich nicht aus.

              Die Wertungen des Urteils finden auch auf andere Garantien nach Artikel 46 DSGVO Anwendungwie verbindliche interne Datenschutzvorschriften („binding corporate rules“-BCR)
              Wenn es Ihnen gelingt durch zusätzliche Schutzmaßnahmen als US-Unternehmen die Geheimdienste wirkungsvoll von den Daten fernzuhalten, dann kann der Einsatz der Standardvertragsklauseln rechtens sein. Das sind aber Hürden, welche de-facto durch kein US-Unternehmen reell zu leisten sind. Die Gesetzeslage in den USA ist diesbezüglich eindeutig und diese wird etwaige, anderslautende vertragliche Regelungen aushebeln.

              Einige US-Unternehmen veröffentlichen Transparenzberichte bzgl. FISA auf Ihrer Homepage (z.B. Cloudflare). Es dürfte hier keine große Überraschung sein, dass diese Firmen eben derartigen Gesetzen unterliegen. Dieses Forum ist z.B. mittels Cloudflare abgesichert ... und liegt obendrein in der vBulletin-Cloud.

              Es ist schlussendlich ein fundamentaler Widerspruch zwischen US-Überwachungsgesetzen und EU-Datenschutzgesetzen. Das ist aktuell nicht auflösbar. Der EuGH hat den Datenschutzbehörden darüber hinaus auferlegt, von sich aus tätig zu werden und die DSGVO durchzusetzen. Es ist ja schließlich anzunehmen, dass nicht jedes Unternehmen seinen Verpflichtungen nachkommen wird.

              Meiner Meinung nach hat dF mit dem Urteil ein riesiges Problem.

              Besonders konkret wird der Datenschutzbeauftragte in Berlin:

              Zitat von https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2020/20200717-PM-Nach_SchremsII_Digitale_Eigenstaendigkeit.pdf
              Die BerlinerBeauftragte für Datenschutz und Informationsfreiheit fordert daher sämtliche ihrer Aufsicht unterliegenden Verantwortlichen auf, die Entscheidung des EuGH zu beachten. Verantwortliche, die –insbesondere bei der Nutzung von Cloud-Diensten –personenbezogene Daten in die USA übermitteln, sind nun angehalten, umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau zu wechseln.
              Vom BayLDA fehlt noch eine Stellungnahme. Da das BayLDA aber das Dokument der Datenschutzkonferenz auf der eigenen Homepage veröffentlicht hat, glaube ich kaum, dass hier eine anderslautende Meinung vertreten wird.

              @Herr Kaufmann: Ich verstehe, dass das jüngste Urteil eine Menge Fragen aufwirft. Einen Grund für Ihren Optimismus kann ich aber nach den bisher veröffentlichten Stellungnahmen nicht erkennen.
              Zuletzt geändert von dfgvo; 30.07.2020, 22:14.

              Kommentar


                #8

                Zitat von wecotec Beitrag anzeigen

                Zu welchem Zweck werden personenbezogene Daten ausserhalb von Deutschland / der EU verarbeitet?
                Wir sind Teil eines internationalen Konzerns mit Konzernmutter in den USA. Außerdem arbeiten wir mit diversen Partnern zusammen, die entsprechend von uns und dem Konzern genutzte Dienstleistungen anbieten. Dies aber immer unter der Sicherstellung des DSGVO-konformen Datentransfers.

                Mit freundlichen Grüßen

                Nils Dornblut
                Blog - Facebook - Twitter
                Communitybetreiber: domainfactory GmbH
                Impressum / Pflichtangaben

                Kommentar


                  #9
                  Hallo zusammen,

                  es ist absolut richtig, dass dieses Thema sehr interessant und wichtig ist. Was wir hier jedoch nicht leisten können, ist eine rechtliche Detaildiskussion gerade bei einem solchen frischen Thema. Eine Einschätzung von uns haben Sie in der von Herrn Kaufmann veröffentlichten Stellungnahme bekommen. Falls darüber hinaus es Punkte im Bereich Datenschutz gibt, die unsere Geschäftsbeziehung mit Ihnen betreffen, dann bitten wir um Kontaktaufnahme mit unserem Datenschutzbeauftragten, dessen Adresse bzw. Telefonnummer Sie hier finden:

                  https://www.df.eu/de/datenschutz/

                  Mit freundlichen Grüßen

                  Nils Dornblut
                  Blog - Facebook - Twitter
                  Communitybetreiber: domainfactory GmbH
                  Impressum / Pflichtangaben

                  Kommentar


                    #10
                    Zitat von Nils Dornblut Beitrag anzeigen
                    Was wir hier jedoch nicht leisten können, ist eine rechtliche Detaildiskussion gerade bei einem solchen frischen Thema.
                    Es ist mehr der Elefant im Raum als nur ein Detail. Aber ich verstehe, dass natürlich im Rahmen des Forums der Klärung von Rechtsfragen Grenzen gesetzt sind.

                    Zitat von Nils Dornblut Beitrag anzeigen
                    Falls darüber hinaus es Punkte im Bereich Datenschutz gibt, die unsere Geschäftsbeziehung mit Ihnen betreffen, dann bitten wir um Kontaktaufnahme mit unserem Datenschutzbeauftragten, dessen Adresse bzw. Telefonnummer Sie hier finden:

                    https://www.df.eu/de/datenschutz/
                    und sofern das nicht zur Klärung beiträgt und wir schon bei Links sind, mag mir noch folgender Verweis gestattet sein: https://www.lda.bayern.de/de/beschwerde.html

                    Kommentar


                      #11
                      Eine Randbemerkung noch: Das Urteil des EuGH hat nicht nur Auswirkung auf die Datenverarbeitung in den USA. Betroffen ist grundsätzliches jedes Drittland. Die Standardvertragsklauseln müssen auch hier durch den Datenverarbeiter auf deren tatsächliche Wirksamkeit vor dem Hintergrund der jeweiligen Gesetzeslage im Zielland überprüft werden.

                      Insofern wird dF auch die Datenverarbeitung in der Ukraine nochmal neu bewerten müssen. Über welche Befugnisse verfügt z.B. der ukrainische Geheimdienst SBU?

                      Es wäre wünschenswert, wenn die Aufsichtsbehörden derartige Prüfungen von sich aus durchführen und entsprechende Länderlisten veröffentlichen. Da sich Gesetze in diesen Ländern auch fortwährend ändern und die Datenverarbeitung stets auf's neue geprüft werden muss, bedeutet dies für jede Datenverarbeitung in Drittländern massive Risiken. Denn jede neue Überwachungsbefugnis kann von heute auf morgen die Legitimität der Datenverarbeitung in dem betroffenen Land zunichte machen.

                      Schlussendlich steht die Frage im Raum, wie ernst wir Europäer den Datenschutz nehmen möchten. Bei einem Privacy Shield war allen Beteiligten klar, dass dieses genau dieselben Schwachstellen aufweist wie Safe Harbour und die eigentlichen Probleme der ausufernden Überwachungsgesetze nicht löst. Das war eine rein politische Veranstaltung, welche mit echtem Datenschutz nichts zu tun hatte. Insofern empfinde ich das EuGH-Urteil nur als konsequent und begrüßenswert, insbesondere da der EuGH hervorhebt, dass ein Datenschutz nicht nur auf dem Papier, sondern eben in der Praxis gewährleistet sein muss.

                      Der internationale Datentransfer ist mit voller Wucht gegen die Wand gefahren.
                      Zuletzt geändert von dfgvo; 31.07.2020, 08:20.

                      Kommentar


                        #12
                        Zitat von Nils Dornblut Beitrag anzeigen
                        Wir sind Teil eines internationalen Konzerns mit Konzernmutter in den USA. Außerdem arbeiten wir mit diversen Partnern zusammen, die entsprechend von uns und dem Konzern genutzte Dienstleistungen anbieten. Dies aber immer unter der Sicherstellung des DSGVO-konformen Datentransfers.
                        Das beantwortet meine Frage nicht. Warum haben andere, ausser DF, Zugriff auf meine persönlichen Daten? Was bringt es konkret Partner X wenn dieser Zugriff auf persönliche Daten hat, die ich DF anvertraut habe?
                        Markus
                        ---
                        https://www.facebook.com/markus.weber.180410

                        Kommentar


                          #13
                          Wenn DF nur noch Schnittmenge X an anfallenden Jobs selbst erledigt und alles andere aus Synergiegründen an konzernweite Dienstleister ausgelagert ist, wird sich das nicht umgehen lassen.

                          Kommentar


                            #14
                            Zitat von dfgvo Beitrag anzeigen
                            Der internationale Datentransfer ist mit voller Wucht gegen die Wand gefahren.
                            Und, wird der Datentransfer einstellt? Oder wird eher nach einem neuen Namen für ein neues Abkommen gesucht?
                            Da auch die EU die Strafverfolgung auf Datenzugriffe in der EU- und Drittländer ausdehnen möchte, bin ich da mal gespannt. Es wird eine gute Fiktion werden, bis Schrems in ein paar Jahren erneut klagt ;-)

                            Wie überprüft der df-Reseller denn z.B. LvivIT! -Ukraine? Was bedeutet "Bereitstellung von operativer Plattformsunterstützung", wobei hierfür dann Kundenkonteninformationen ausgetauscht werden.
                            Da der Reseller nicht selber im Rechenzentrum und Verwaltung rumturnt, bleibt ja nur ein Zertifikat durch Dritte (In Zeiten von WireCard und Wirtschaftsprüfertestaten auch fraglich).

                            Kommentar


                              #15
                              Zitat von wecotec Beitrag anzeigen

                              Das beantwortet meine Frage nicht. Warum haben andere, ausser DF, Zugriff auf meine persönlichen Daten? Was bringt es konkret Partner X wenn dieser Zugriff auf persönliche Daten hat, die ich DF anvertraut habe?
                              Wir bieten Ihnen Dienstleistungen an. Hierbei ist uns Datenschutz und Datensicherheit sehr wichtig und wir halten uns nach unserer Einschätzung an alle entsprechenden Vorschriften. Auch stellen wir das entsprechend transparent dar. Um die Dienstleistungen für Sie so anbieten zu können, brauchen wir Unterstützung aus unterschiedlichen Gründen und Zusammenhängen.

                              Was uns leider nicht möglich ist, ist genau darzustellen, warum wir uns für Dienstleister XY entschieden haben oder warum genau bestimmte Wege so sind oder so sein müssen. Jede Antwort auf diese Fragen würde naturgemäß viele andere Fragen aufwerfen und es kann natürlich immer so oder so gesehen werden.

                              Wir sind Teil eines großen Konzerns und naturgemäß daher nicht in allen Punkten unabhängig tätig. Die Akzeptanz dessen muss Grundlage für eine Zusammenarbeit mit uns sein, alles andere wäre abwegig und illusorisch.

                              Aus den Zusammenhängen stellt sich die Frage, was wir hier beantworten sollen? Klar, die angesprochene Entscheidung könnte Auswirkungen auf uns haben, genauso wie auf viele andere Firmen. Was wir versichern können ist, dass wir die Thematik sehr ernst nehmen und natürlich sofern nötig Anpassungen vornehmen würden. Naturgemäß ist es aber sehr schwer über solche rechtlichen Themen hier zu reden. Recht ist ja keine eindeutige Sache, sondern oft gibt es viele Rechtsmeinungen, denen man sich anschließen kann. Oft ist es eine Abwägung und keine Eindeutigkeit in jedem Punkt. Hier etwas öffentlich dann dazulegen ist aus sicher verständlichen Gründen nicht möglich, da wir uns dann in einer riesigen Diskussion befinden würden, die von Fachleuten ja nicht einmal eindeutig geführt werden kann. Von daher wird keiner der Fragen vermutlich für keine Seite auch nur annähernd befriedigend beantwortet werden können.

                              Mit freundlichen Grüßen

                              Nils Dornblut
                              Blog - Facebook - Twitter
                              Communitybetreiber: domainfactory GmbH
                              Impressum / Pflichtangaben

                              Kommentar

                              Lädt...
                              X