Ankündigung

Einklappen
Keine Ankündigung bisher.

EuGH kippt EU-US-Datenschutzvereinbarung "Privacy Shield"

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    #16
    Meiner Einschätzung nach sind die Verträge, AVV und alles Weitere bei DF zunächst unkritisch, es gibt aber tatsächlich ein paar konkrete Punkte zu klären.

    Auffällig sind im aktuellen Kontext:

    - Die Liste der DF Subunternehmer enthält keine Informationen zu non-EU Unternehmen bzw. weist die Unternehmen nicht explizit aus. Namen alleine geben keinen Aufschluss. Dadurch ist eine Prüfung der Datenschutzrichtlinien dieser Unternehmen für Kunden aktuell nicht möglich.

    - Die DF Datenschutzrichtlinie ist EU-SCC bzw. basiert auf ihnen, verweist jedoch auf die Nutzung von Cloudflare und Securi. Die Eingrenzung beider Anbieter hinsichtlich des Einsatzes für DF Corporate Webseite und DF Kundenmenü hilft, könnte aber unzureichend sein.

    Wichtig ist nun, dass DF die Zugriffsmöglichkeiten für US Unternehmen klar identifiziert, ausweist und somit die Relevanz für Kunden entsprechend präzisiert. Gemäß der Schrems-II FAQ unter

    https://edpb.europa.eu/sites/edpb/fi...uc31118_en.pdf

    gilt bereits die Zugriffsmöglichkeit für Dritte als Datentransfer, wodurch die Compliance des Empfängers zum Zeitpunkt der Bereitstellung der Zugriffsmöglichkeit entsprechend sicherzustellen ist:

    11) The contract you have concluded with your processor in accordance with Article 28.3 GDPR must provide whether transfers are authorised or not (it should be borne in mind that even providing access to data from a third country, for instance for administration purposes, also amounts to a transfer).

    Diesen Job kann DF meines Erachtens nun recht leicht erledigen. Hat jemand aus einem non EU Wirtschaftsraum Zugriff, sind die Garantien entsprechend EU-SCC nachzuweisen. Ansonsten ist dieser Zugriff ein Datentransfer, welcher im Beispiel USA durch den Wegfall des EU-US-Privacy Shield nun nicht mehr legal ist.
    Selbstverständlich ist es dabei wie oben beschrieben wichtig, den Terminus Zugriff so abzugrenzen, dass Kunden dies verstehen - ob ein US Unternehmen den Datenverkehr auf der normalen, non-Kundenmenü-Webseite mitliest ist ein anderer Sachverhalt als der Zugriff auf Kundenaccounts und Inhalte derer Pakete.

    Kommentar


      #17
      https://noyb.eu/en/101-complaints-eu-us-transfers-filed

      Es bleibst spannend, insbesondere da viele Firmen das Urteil bisher schlichtweg ignorieren.

      Kommentar


        #18
        Zitat von Nils Dornblut Beitrag anzeigen
        Wir sind Teil eines großen Konzerns und naturgemäß daher nicht in allen Punkten unabhängig tätig. Die Akzeptanz dessen muss Grundlage für eine Zusammenarbeit mit uns sein, alles andere wäre abwegig und illusorisch.
        Genau so ist es. Wenn die Akzeptanz nicht mehr die Grundlage ist: Es gibt zahlreiche Deutsche Qualitätshoster, mit Deutschem Rechenzentrum und Administratoren vor Ort. (Let's Encrypt ist überwiegend selbstverständlich). Also wechselt man einfach ...

        Niemand ist gezwungen sein Projekt bei einem US-Konzern (oder einer Marke/Tochterunternehmen von diesem) zu hosten, die sich daraus ergebende Diskussion kann man unendlich lange durchführen ohne zu irgend einem abschließenden Ergebnis zu gelangen ... Zeitverschwenung.

        Kommentar


          #19
          Zitat von Rainer.D Beitrag anzeigen

          Genau so ist es. Wenn die Akzeptanz nicht mehr die Grundlage ist: Es gibt zahlreiche Deutsche Qualitätshoster, mit Deutschem Rechenzentrum und Administratoren vor Ort. (Let's Encrypt ist überwiegend selbstverständlich). Also wechselt man einfach ...

          Niemand ist gezwungen sein Projekt bei einem US-Konzern (oder einer Marke/Tochterunternehmen von diesem) zu hosten, die sich daraus ergebende Diskussion kann man unendlich lange durchführen ohne zu irgend einem abschließenden Ergebnis zu gelangen ... Zeitverschwenung.
          wir reden nicht davon, ob die Nutzung von US-Datenverarbeitern einen persönlich stört oder egal ist. Wir sprechen davon, ob eine Verarbeitung personenbezogener Daten rechtskonform oder illegal ist. Du als Reseller bist darüber hinaus bei der Verarbeitung der personenbezogener Daten Deiner Kunden verpflichtet, eine rechtskonforme Datenverarbeitung sicherzustellen. Also ich würde persönlich von meinen Auftragsverarbeitern erwarten, dass ihnen die rechtskonforme Datenverarbeitung nicht egal ist. Abgesehen davon sollte Jeder Unternehmer sich der Gefahr, insbesondere hinsichtlich empfindlicher Bußgelder sehr wohl bewusst sein (20 Mio. EUR oder 4% Jahresumsatz). Ganz abgesehen von dem Risiko, dass die Aufsichtsbehörden Deinem geschäftlichen Tun jederzeit einen Riegel vorschieben können.

          Ich würde schon erwarten, dass das rechtskonforme Handeln im Geschäftsleben das absolute Minimum darstellen sollte. Dass man darüber überhaupt diskutieren muss ...
          Zuletzt geändert von dfgvo; 19.08.2020, 03:35.

          Kommentar


            #20
            Ich glaube, man muss die Sache aus der Perspektive der US-Mütter betrachten, um die Taktik des Abwartens zu verstehen - bis auf Google, die gerade den Switch Richtung SCCs ankündigten, meine ich damit quasi alle Unternehmen und mir geht es jetzt nicht um DF.
            Als US Unternehmen hast Du die legal obligations Richtung Cloud Act, FISA, Privacy Shield und damit eine Administration, welche sich per Gesetz in Deine Daten und Overseas Themen einschalten darf. Sie tun dies, weil sie früher erkennen wollen, wo sich die bösen Jungs zum Terroranschlag verabreden, weil sie das eigene Land schützen wollen.
            Nun kommt der EuGH und erklärt die Garantien aus dem Privacy Shield für unzureichend, kippt dieses und sagt quasi SCC-only, please. Die SCC sehen aber nicht vor, dass Du die legal obligations weiter erfüllen kannst. Deshalb kann man als US Company nicht einfach SCC sagen, weil Du damit US Recht beschneiden würdest.
            Du als US Company bekommst das also mit und Dein Legal gibt es an die Compliance Jungs, die sagen sorry, denn wir tun was wir laut US Act 1,2,3 im Fall der Fälle tun müssen, bspw. die NSA ranlassrn. Nun wird die Produktabteilung für die Region EU nervös, denn man hat in 2018 doch gerade erst GDPR erledigt, indem man brav sagte, dass einem Kundendaten ach so wichtig sind und man sie nie hergeben wird (ausser Ausnahme a,b,c zieht - bspw. einer der Acts, steht so in allen Policies der großen US Companies).
            99% der EU Kunden und damit auch die Grosskunden bzw. EU-Corporates waren zufrieden, haben in diemdie Cloud-FirsthCloud-First Tröte geblasen und mit C5 Zertifizierungen und haste-nich-gesehen Info-Pages zum Thema klargestellt, dass man GDPR Compliant sei und war froh, dass der Rest mit Privacy Shield geregelt war.
            Jetzt haben wir 2020, Corona und quasi jede Company läuft mit M365, Teams ist das neue Telefon und ohne Office Online kann man sich als Arbeitnehmer höchstens was zum Essen bestellen. Abhängigkeit im Allzeithoch.
            Die Menge an Unternehmen, welche bei einem DE Provider VMware oder Kubernetes hosted, oder gar ein eigenes RZ betreibt ist unfassbar klein geworden. Mein Punkt ist: Wenn AWS, Azure und Co. nicht sind bzw. den Stecker ziehen, kannst Du die meisten Firmen einfach dicht machen.
            Jetzt bist Du AWS und musst entscheiden was Du tust. Sie taten: Verweis darauf, dass die SCCs als Vertragsgrundlage vorhanden sind und Kunden grundsätzlich die Kontrolle über die Region haben, in der ihr Compute stattfindet. Dazu sind die Verträge meist mit bspw. deiner Luxemburger oder Dublinschen Entity geschlossen. Du wartest also einfach ab, in dem Wissen, dass niemand sein Unternehmen mal eben abschaltet, nur weil der EuGH ein Urteil fällt und sagst quasi, wieso ist doch alles tutto bene.
            Kunden reagieren zu 50% so, dass sie das Thema 1:1 glauben und übernehmen ("AWS sagt doch, alles sei ok und so, also passt es"), die andere Hälfte teilt sich auf in je 1/3 "unser Legal wird mit unserem Key Account bei AWS sprechen und das klären" (ja genau, lol...), "wir holen uns jetzt einen DE Provider und machen einen Migrationsplan" (technisch organisatorische Massnahme, das wäre sauber und by the books) und "wenn legal mein Thema stoppt, eskaliere ich das" (intern rumdiskutieren, bringt nix).
            Soweit meine Beobachtungen, Einschätzungen und Erfahrungen.
            Zu DF: Die DF TOMs sind eigentlich ausreichend, eine TOM ist u.a. das Verpflichten aller Subunternehmer auf dieselben Regelungen und Bestimmungen. Was aktuell wurmt, ist eigentlich nur das Wissen um die US Mutter, welche per se nur wirtschaftlich in Erscheinung tritt, sowie die internationalen non-EU Subunternehmer.
            Als DF würde ich genau analysieren, was die Regierungen/Administrationen der Länder dieser Subunternehmer in den Verträgen einräumen und wie die ADV mit denen aussieht, was sie technisch können und inwieweit US-Acts oder andere über EU-SCC hinausgehende Regelungen in place sind und ein Risiko darstellen. Wie ich DF kenne, tun sie das auch. Nur sprechen tun sie darüber noch nicht, was wichtig wäre. So würden dann auch die Endkunden und Reseller klarer sehen.

            Kommentar


              #21
              Nachtrag: Ich habe mir rein zur Information eben drei andere top Hoster in DE angesehen, die volle Kanne mit Deutschland als Standort auf die Pauke hauen. Auch bei deren Datenschutzerklärungen sag ich nur: Uiuiui.
              Beim einen steht dann halt "alle Subunternehmer werden auf dasselbe Datenschutzniveau verpflichtet", beim anderen ist ein CDN aus den USA Standard... aktuell würde ich sagen, dass DF Kunden in der Risikobetrachtung ziemlich weit hinten angesiedelt sind. Als Kunde einer der großen Companies mit US Mutter, um die es primär geht, wäre man ganz vorne dabei. Sind aber auch nur meine Gedanken und ich will nichts relativieren - wenn es jedoch keine Alternativen gibt, kann man auch als EU nicht erwarten, dass die Unternehmen jetzt einfach mal ihren Betrieb einstellen.
              Will sagen: Auch ich sehe keine einfache Lösung, welche über das Wählen eines DE Anbieters mit Zusicherung aller SCC Garantien (wäre bei DF beides gegeben) hinausgeht. Wenn DF das nochmal bekräftigen würde, wäre es gut. Hätte ich eine Firma, würde ich mir ggf. alles zurück ins Haus holen (eigenes RZ) bzw. das in jedem Fall mal von vorne bis hinten durchkalkulieren.

              Kommentar


                #22
                User23 Danke für Deine Beiträge! Das macht mir noch mal ein paar Zusammenhänge klarer.
                Es grüßt freundlich
                Ihr Benutzername

                Kommentar


                  #23
                  Zitat von dfgvo Beitrag anzeigen
                  wir reden nicht davon, ob die Nutzung von US-Datenverarbeitern einen persönlich stört oder egal ist. Wir sprechen davon, ob eine Verarbeitung personenbezogener Daten rechtskonform oder illegal ist.
                  Das ist mir klar. Die Rechtskonformität hinzubekommen ist aber bereits bei einem Deutschen Anbieter ein Kraftakt. Wenn der Anbieter aber letztendlich ein US-Konzern ist nimmt das alles kein Ende. Selbst wenn man sich bei DF irgendwann in den nächsten Monaten bezüglich der aktuellen Rechslage sortiert hat und ggf. Änderungen vorgenommen hat ist es doch eine Frage der Zeit bis wieder entsprechende EU-Gesetze geändert werden (oder auf US-Seite ändert sich was). Und dann geht alles wieder von vorne los.

                  Für eine private Hobby-Seite mag das noch gehen, im geschäftlich/gewerblichen Bereich ist DF als Anbieter eher raus. Das lässt sich alles nicht mehr sauber darstellen.

                  Kommentar


                    #24
                    Zitat von Rainer.D Beitrag anzeigen

                    Das ist mir klar. Die Rechtskonformität hinzubekommen ist aber bereits bei einem Deutschen Anbieter ein Kraftakt. Wenn der Anbieter aber letztendlich ein US-Konzern ist nimmt das alles kein Ende. Selbst wenn man sich bei DF irgendwann in den nächsten Monaten bezüglich der aktuellen Rechslage sortiert hat und ggf. Änderungen vorgenommen hat ist es doch eine Frage der Zeit bis wieder entsprechende EU-Gesetze geändert werden (oder auf US-Seite ändert sich was). Und dann geht alles wieder von vorne los.

                    Für eine private Hobby-Seite mag das noch gehen, im geschäftlich/gewerblichen Bereich ist DF als Anbieter eher raus. Das lässt sich alles nicht mehr sauber darstellen.
                    Vor den US Wahlen geschieht nichts mehr, bis dahin wird der aktuelle Stand der Dinge bleiben. Da hast Du Recht.

                    Zum Thema DF als Anbieter: Ich habe mir ja wie oben geschrieben mal den Rest der bekannten Hoster Stichproben artig angesehen. Wo ist da wer schlechter oder besser?
                    Quasi alle DE Anbieter sind deutsche Legal Entities, haben brav ihr DSGVO Singsang und Papierzeug parat, aber eben Subunternehmer/Softwarepartner auch ausserhalb des EWR. Ich wüsste da nicht, wer hier direkt erkennbare Vorteile bietet.
                    Die Frage der Fragen wäre: Welcher Hoster schafft es, eine belastbare Garantie für EU SCCs zu geben, feature-rich zu sein und keine non EU Subcontractors zu nutzen? Wir brauchen kein Name-dropping, aber ich fand die letzten Stunden keinen...
                    Eigentlich eine top Opportunity, sich jetzt mit Alleinstellungsmerkmal am Markt zu positionieren.

                    Kommentar

                    Lädt...
                    X