Ankündigung

Einklappen
Keine Ankündigung bisher.

EuGH kippt EU-US-Datenschutzvereinbarung "Privacy Shield"

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • User23
    antwortet
    Zitat von Rainer.D Beitrag anzeigen

    Das ist mir klar. Die Rechtskonformität hinzubekommen ist aber bereits bei einem Deutschen Anbieter ein Kraftakt. Wenn der Anbieter aber letztendlich ein US-Konzern ist nimmt das alles kein Ende. Selbst wenn man sich bei DF irgendwann in den nächsten Monaten bezüglich der aktuellen Rechslage sortiert hat und ggf. Änderungen vorgenommen hat ist es doch eine Frage der Zeit bis wieder entsprechende EU-Gesetze geändert werden (oder auf US-Seite ändert sich was). Und dann geht alles wieder von vorne los.

    Für eine private Hobby-Seite mag das noch gehen, im geschäftlich/gewerblichen Bereich ist DF als Anbieter eher raus. Das lässt sich alles nicht mehr sauber darstellen.
    Vor den US Wahlen geschieht nichts mehr, bis dahin wird der aktuelle Stand der Dinge bleiben. Da hast Du Recht.

    Zum Thema DF als Anbieter: Ich habe mir ja wie oben geschrieben mal den Rest der bekannten Hoster Stichproben artig angesehen. Wo ist da wer schlechter oder besser?
    Quasi alle DE Anbieter sind deutsche Legal Entities, haben brav ihr DSGVO Singsang und Papierzeug parat, aber eben Subunternehmer/Softwarepartner auch ausserhalb des EWR. Ich wüsste da nicht, wer hier direkt erkennbare Vorteile bietet.
    Die Frage der Fragen wäre: Welcher Hoster schafft es, eine belastbare Garantie für EU SCCs zu geben, feature-rich zu sein und keine non EU Subcontractors zu nutzen? Wir brauchen kein Name-dropping, aber ich fand die letzten Stunden keinen...
    Eigentlich eine top Opportunity, sich jetzt mit Alleinstellungsmerkmal am Markt zu positionieren.

    Einen Kommentar schreiben:


  • Rainer.D
    antwortet
    Zitat von dfgvo Beitrag anzeigen
    wir reden nicht davon, ob die Nutzung von US-Datenverarbeitern einen persönlich stört oder egal ist. Wir sprechen davon, ob eine Verarbeitung personenbezogener Daten rechtskonform oder illegal ist.
    Das ist mir klar. Die Rechtskonformität hinzubekommen ist aber bereits bei einem Deutschen Anbieter ein Kraftakt. Wenn der Anbieter aber letztendlich ein US-Konzern ist nimmt das alles kein Ende. Selbst wenn man sich bei DF irgendwann in den nächsten Monaten bezüglich der aktuellen Rechslage sortiert hat und ggf. Änderungen vorgenommen hat ist es doch eine Frage der Zeit bis wieder entsprechende EU-Gesetze geändert werden (oder auf US-Seite ändert sich was). Und dann geht alles wieder von vorne los.

    Für eine private Hobby-Seite mag das noch gehen, im geschäftlich/gewerblichen Bereich ist DF als Anbieter eher raus. Das lässt sich alles nicht mehr sauber darstellen.

    Einen Kommentar schreiben:


  • Benutzername
    antwortet
    User23 Danke für Deine Beiträge! Das macht mir noch mal ein paar Zusammenhänge klarer.

    Einen Kommentar schreiben:


  • User23
    antwortet
    Nachtrag: Ich habe mir rein zur Information eben drei andere top Hoster in DE angesehen, die volle Kanne mit Deutschland als Standort auf die Pauke hauen. Auch bei deren Datenschutzerklärungen sag ich nur: Uiuiui.
    Beim einen steht dann halt "alle Subunternehmer werden auf dasselbe Datenschutzniveau verpflichtet", beim anderen ist ein CDN aus den USA Standard... aktuell würde ich sagen, dass DF Kunden in der Risikobetrachtung ziemlich weit hinten angesiedelt sind. Als Kunde einer der großen Companies mit US Mutter, um die es primär geht, wäre man ganz vorne dabei. Sind aber auch nur meine Gedanken und ich will nichts relativieren - wenn es jedoch keine Alternativen gibt, kann man auch als EU nicht erwarten, dass die Unternehmen jetzt einfach mal ihren Betrieb einstellen.
    Will sagen: Auch ich sehe keine einfache Lösung, welche über das Wählen eines DE Anbieters mit Zusicherung aller SCC Garantien (wäre bei DF beides gegeben) hinausgeht. Wenn DF das nochmal bekräftigen würde, wäre es gut. Hätte ich eine Firma, würde ich mir ggf. alles zurück ins Haus holen (eigenes RZ) bzw. das in jedem Fall mal von vorne bis hinten durchkalkulieren.

    Einen Kommentar schreiben:


  • User23
    antwortet
    Ich glaube, man muss die Sache aus der Perspektive der US-Mütter betrachten, um die Taktik des Abwartens zu verstehen - bis auf Google, die gerade den Switch Richtung SCCs ankündigten, meine ich damit quasi alle Unternehmen und mir geht es jetzt nicht um DF.
    Als US Unternehmen hast Du die legal obligations Richtung Cloud Act, FISA, Privacy Shield und damit eine Administration, welche sich per Gesetz in Deine Daten und Overseas Themen einschalten darf. Sie tun dies, weil sie früher erkennen wollen, wo sich die bösen Jungs zum Terroranschlag verabreden, weil sie das eigene Land schützen wollen.
    Nun kommt der EuGH und erklärt die Garantien aus dem Privacy Shield für unzureichend, kippt dieses und sagt quasi SCC-only, please. Die SCC sehen aber nicht vor, dass Du die legal obligations weiter erfüllen kannst. Deshalb kann man als US Company nicht einfach SCC sagen, weil Du damit US Recht beschneiden würdest.
    Du als US Company bekommst das also mit und Dein Legal gibt es an die Compliance Jungs, die sagen sorry, denn wir tun was wir laut US Act 1,2,3 im Fall der Fälle tun müssen, bspw. die NSA ranlassrn. Nun wird die Produktabteilung für die Region EU nervös, denn man hat in 2018 doch gerade erst GDPR erledigt, indem man brav sagte, dass einem Kundendaten ach so wichtig sind und man sie nie hergeben wird (ausser Ausnahme a,b,c zieht - bspw. einer der Acts, steht so in allen Policies der großen US Companies).
    99% der EU Kunden und damit auch die Grosskunden bzw. EU-Corporates waren zufrieden, haben in diemdie Cloud-FirsthCloud-First Tröte geblasen und mit C5 Zertifizierungen und haste-nich-gesehen Info-Pages zum Thema klargestellt, dass man GDPR Compliant sei und war froh, dass der Rest mit Privacy Shield geregelt war.
    Jetzt haben wir 2020, Corona und quasi jede Company läuft mit M365, Teams ist das neue Telefon und ohne Office Online kann man sich als Arbeitnehmer höchstens was zum Essen bestellen. Abhängigkeit im Allzeithoch.
    Die Menge an Unternehmen, welche bei einem DE Provider VMware oder Kubernetes hosted, oder gar ein eigenes RZ betreibt ist unfassbar klein geworden. Mein Punkt ist: Wenn AWS, Azure und Co. nicht sind bzw. den Stecker ziehen, kannst Du die meisten Firmen einfach dicht machen.
    Jetzt bist Du AWS und musst entscheiden was Du tust. Sie taten: Verweis darauf, dass die SCCs als Vertragsgrundlage vorhanden sind und Kunden grundsätzlich die Kontrolle über die Region haben, in der ihr Compute stattfindet. Dazu sind die Verträge meist mit bspw. deiner Luxemburger oder Dublinschen Entity geschlossen. Du wartest also einfach ab, in dem Wissen, dass niemand sein Unternehmen mal eben abschaltet, nur weil der EuGH ein Urteil fällt und sagst quasi, wieso ist doch alles tutto bene.
    Kunden reagieren zu 50% so, dass sie das Thema 1:1 glauben und übernehmen ("AWS sagt doch, alles sei ok und so, also passt es"), die andere Hälfte teilt sich auf in je 1/3 "unser Legal wird mit unserem Key Account bei AWS sprechen und das klären" (ja genau, lol...), "wir holen uns jetzt einen DE Provider und machen einen Migrationsplan" (technisch organisatorische Massnahme, das wäre sauber und by the books) und "wenn legal mein Thema stoppt, eskaliere ich das" (intern rumdiskutieren, bringt nix).
    Soweit meine Beobachtungen, Einschätzungen und Erfahrungen.
    Zu DF: Die DF TOMs sind eigentlich ausreichend, eine TOM ist u.a. das Verpflichten aller Subunternehmer auf dieselben Regelungen und Bestimmungen. Was aktuell wurmt, ist eigentlich nur das Wissen um die US Mutter, welche per se nur wirtschaftlich in Erscheinung tritt, sowie die internationalen non-EU Subunternehmer.
    Als DF würde ich genau analysieren, was die Regierungen/Administrationen der Länder dieser Subunternehmer in den Verträgen einräumen und wie die ADV mit denen aussieht, was sie technisch können und inwieweit US-Acts oder andere über EU-SCC hinausgehende Regelungen in place sind und ein Risiko darstellen. Wie ich DF kenne, tun sie das auch. Nur sprechen tun sie darüber noch nicht, was wichtig wäre. So würden dann auch die Endkunden und Reseller klarer sehen.

    Einen Kommentar schreiben:


  • dfgvo
    antwortet
    Zitat von Rainer.D Beitrag anzeigen

    Genau so ist es. Wenn die Akzeptanz nicht mehr die Grundlage ist: Es gibt zahlreiche Deutsche Qualitätshoster, mit Deutschem Rechenzentrum und Administratoren vor Ort. (Let's Encrypt ist überwiegend selbstverständlich). Also wechselt man einfach ...

    Niemand ist gezwungen sein Projekt bei einem US-Konzern (oder einer Marke/Tochterunternehmen von diesem) zu hosten, die sich daraus ergebende Diskussion kann man unendlich lange durchführen ohne zu irgend einem abschließenden Ergebnis zu gelangen ... Zeitverschwenung.
    wir reden nicht davon, ob die Nutzung von US-Datenverarbeitern einen persönlich stört oder egal ist. Wir sprechen davon, ob eine Verarbeitung personenbezogener Daten rechtskonform oder illegal ist. Du als Reseller bist darüber hinaus bei der Verarbeitung der personenbezogener Daten Deiner Kunden verpflichtet, eine rechtskonforme Datenverarbeitung sicherzustellen. Also ich würde persönlich von meinen Auftragsverarbeitern erwarten, dass ihnen die rechtskonforme Datenverarbeitung nicht egal ist. Abgesehen davon sollte Jeder Unternehmer sich der Gefahr, insbesondere hinsichtlich empfindlicher Bußgelder sehr wohl bewusst sein (20 Mio. EUR oder 4% Jahresumsatz). Ganz abgesehen von dem Risiko, dass die Aufsichtsbehörden Deinem geschäftlichen Tun jederzeit einen Riegel vorschieben können.

    Ich würde schon erwarten, dass das rechtskonforme Handeln im Geschäftsleben das absolute Minimum darstellen sollte. Dass man darüber überhaupt diskutieren muss ...
    Zuletzt geändert von dfgvo; 19.08.2020, 03:35.

    Einen Kommentar schreiben:


  • Rainer.D
    antwortet
    Zitat von Nils Dornblut Beitrag anzeigen
    Wir sind Teil eines großen Konzerns und naturgemäß daher nicht in allen Punkten unabhängig tätig. Die Akzeptanz dessen muss Grundlage für eine Zusammenarbeit mit uns sein, alles andere wäre abwegig und illusorisch.
    Genau so ist es. Wenn die Akzeptanz nicht mehr die Grundlage ist: Es gibt zahlreiche Deutsche Qualitätshoster, mit Deutschem Rechenzentrum und Administratoren vor Ort. (Let's Encrypt ist überwiegend selbstverständlich). Also wechselt man einfach ...

    Niemand ist gezwungen sein Projekt bei einem US-Konzern (oder einer Marke/Tochterunternehmen von diesem) zu hosten, die sich daraus ergebende Diskussion kann man unendlich lange durchführen ohne zu irgend einem abschließenden Ergebnis zu gelangen ... Zeitverschwenung.

    Einen Kommentar schreiben:


  • dfgvo
    antwortet
    https://noyb.eu/en/101-complaints-eu-us-transfers-filed

    Es bleibst spannend, insbesondere da viele Firmen das Urteil bisher schlichtweg ignorieren.

    Einen Kommentar schreiben:


  • User23
    antwortet
    Meiner Einschätzung nach sind die Verträge, AVV und alles Weitere bei DF zunächst unkritisch, es gibt aber tatsächlich ein paar konkrete Punkte zu klären.

    Auffällig sind im aktuellen Kontext:

    - Die Liste der DF Subunternehmer enthält keine Informationen zu non-EU Unternehmen bzw. weist die Unternehmen nicht explizit aus. Namen alleine geben keinen Aufschluss. Dadurch ist eine Prüfung der Datenschutzrichtlinien dieser Unternehmen für Kunden aktuell nicht möglich.

    - Die DF Datenschutzrichtlinie ist EU-SCC bzw. basiert auf ihnen, verweist jedoch auf die Nutzung von Cloudflare und Securi. Die Eingrenzung beider Anbieter hinsichtlich des Einsatzes für DF Corporate Webseite und DF Kundenmenü hilft, könnte aber unzureichend sein.

    Wichtig ist nun, dass DF die Zugriffsmöglichkeiten für US Unternehmen klar identifiziert, ausweist und somit die Relevanz für Kunden entsprechend präzisiert. Gemäß der Schrems-II FAQ unter

    https://edpb.europa.eu/sites/edpb/fi...uc31118_en.pdf

    gilt bereits die Zugriffsmöglichkeit für Dritte als Datentransfer, wodurch die Compliance des Empfängers zum Zeitpunkt der Bereitstellung der Zugriffsmöglichkeit entsprechend sicherzustellen ist:

    11) The contract you have concluded with your processor in accordance with Article 28.3 GDPR must provide whether transfers are authorised or not (it should be borne in mind that even providing access to data from a third country, for instance for administration purposes, also amounts to a transfer).

    Diesen Job kann DF meines Erachtens nun recht leicht erledigen. Hat jemand aus einem non EU Wirtschaftsraum Zugriff, sind die Garantien entsprechend EU-SCC nachzuweisen. Ansonsten ist dieser Zugriff ein Datentransfer, welcher im Beispiel USA durch den Wegfall des EU-US-Privacy Shield nun nicht mehr legal ist.
    Selbstverständlich ist es dabei wie oben beschrieben wichtig, den Terminus Zugriff so abzugrenzen, dass Kunden dies verstehen - ob ein US Unternehmen den Datenverkehr auf der normalen, non-Kundenmenü-Webseite mitliest ist ein anderer Sachverhalt als der Zugriff auf Kundenaccounts und Inhalte derer Pakete.

    Einen Kommentar schreiben:


  • Nils Dornblut
    antwortet
    Zitat von wecotec Beitrag anzeigen

    Das beantwortet meine Frage nicht. Warum haben andere, ausser DF, Zugriff auf meine persönlichen Daten? Was bringt es konkret Partner X wenn dieser Zugriff auf persönliche Daten hat, die ich DF anvertraut habe?
    Wir bieten Ihnen Dienstleistungen an. Hierbei ist uns Datenschutz und Datensicherheit sehr wichtig und wir halten uns nach unserer Einschätzung an alle entsprechenden Vorschriften. Auch stellen wir das entsprechend transparent dar. Um die Dienstleistungen für Sie so anbieten zu können, brauchen wir Unterstützung aus unterschiedlichen Gründen und Zusammenhängen.

    Was uns leider nicht möglich ist, ist genau darzustellen, warum wir uns für Dienstleister XY entschieden haben oder warum genau bestimmte Wege so sind oder so sein müssen. Jede Antwort auf diese Fragen würde naturgemäß viele andere Fragen aufwerfen und es kann natürlich immer so oder so gesehen werden.

    Wir sind Teil eines großen Konzerns und naturgemäß daher nicht in allen Punkten unabhängig tätig. Die Akzeptanz dessen muss Grundlage für eine Zusammenarbeit mit uns sein, alles andere wäre abwegig und illusorisch.

    Aus den Zusammenhängen stellt sich die Frage, was wir hier beantworten sollen? Klar, die angesprochene Entscheidung könnte Auswirkungen auf uns haben, genauso wie auf viele andere Firmen. Was wir versichern können ist, dass wir die Thematik sehr ernst nehmen und natürlich sofern nötig Anpassungen vornehmen würden. Naturgemäß ist es aber sehr schwer über solche rechtlichen Themen hier zu reden. Recht ist ja keine eindeutige Sache, sondern oft gibt es viele Rechtsmeinungen, denen man sich anschließen kann. Oft ist es eine Abwägung und keine Eindeutigkeit in jedem Punkt. Hier etwas öffentlich dann dazulegen ist aus sicher verständlichen Gründen nicht möglich, da wir uns dann in einer riesigen Diskussion befinden würden, die von Fachleuten ja nicht einmal eindeutig geführt werden kann. Von daher wird keiner der Fragen vermutlich für keine Seite auch nur annähernd befriedigend beantwortet werden können.

    Mit freundlichen Grüßen

    Nils Dornblut

    Einen Kommentar schreiben:


  • jelox
    antwortet
    Zitat von dfgvo Beitrag anzeigen
    Der internationale Datentransfer ist mit voller Wucht gegen die Wand gefahren.
    Und, wird der Datentransfer einstellt? Oder wird eher nach einem neuen Namen für ein neues Abkommen gesucht?
    Da auch die EU die Strafverfolgung auf Datenzugriffe in der EU- und Drittländer ausdehnen möchte, bin ich da mal gespannt. Es wird eine gute Fiktion werden, bis Schrems in ein paar Jahren erneut klagt ;-)

    Wie überprüft der df-Reseller denn z.B. LvivIT! -Ukraine? Was bedeutet "Bereitstellung von operativer Plattformsunterstützung", wobei hierfür dann Kundenkonteninformationen ausgetauscht werden.
    Da der Reseller nicht selber im Rechenzentrum und Verwaltung rumturnt, bleibt ja nur ein Zertifikat durch Dritte (In Zeiten von WireCard und Wirtschaftsprüfertestaten auch fraglich).

    Einen Kommentar schreiben:


  • [headcrash]
    antwortet
    Wenn DF nur noch Schnittmenge X an anfallenden Jobs selbst erledigt und alles andere aus Synergiegründen an konzernweite Dienstleister ausgelagert ist, wird sich das nicht umgehen lassen.

    Einen Kommentar schreiben:


  • wecotec
    antwortet
    Zitat von Nils Dornblut Beitrag anzeigen
    Wir sind Teil eines internationalen Konzerns mit Konzernmutter in den USA. Außerdem arbeiten wir mit diversen Partnern zusammen, die entsprechend von uns und dem Konzern genutzte Dienstleistungen anbieten. Dies aber immer unter der Sicherstellung des DSGVO-konformen Datentransfers.
    Das beantwortet meine Frage nicht. Warum haben andere, ausser DF, Zugriff auf meine persönlichen Daten? Was bringt es konkret Partner X wenn dieser Zugriff auf persönliche Daten hat, die ich DF anvertraut habe?

    Einen Kommentar schreiben:


  • dfgvo
    antwortet
    Eine Randbemerkung noch: Das Urteil des EuGH hat nicht nur Auswirkung auf die Datenverarbeitung in den USA. Betroffen ist grundsätzliches jedes Drittland. Die Standardvertragsklauseln müssen auch hier durch den Datenverarbeiter auf deren tatsächliche Wirksamkeit vor dem Hintergrund der jeweiligen Gesetzeslage im Zielland überprüft werden.

    Insofern wird dF auch die Datenverarbeitung in der Ukraine nochmal neu bewerten müssen. Über welche Befugnisse verfügt z.B. der ukrainische Geheimdienst SBU?

    Es wäre wünschenswert, wenn die Aufsichtsbehörden derartige Prüfungen von sich aus durchführen und entsprechende Länderlisten veröffentlichen. Da sich Gesetze in diesen Ländern auch fortwährend ändern und die Datenverarbeitung stets auf's neue geprüft werden muss, bedeutet dies für jede Datenverarbeitung in Drittländern massive Risiken. Denn jede neue Überwachungsbefugnis kann von heute auf morgen die Legitimität der Datenverarbeitung in dem betroffenen Land zunichte machen.

    Schlussendlich steht die Frage im Raum, wie ernst wir Europäer den Datenschutz nehmen möchten. Bei einem Privacy Shield war allen Beteiligten klar, dass dieses genau dieselben Schwachstellen aufweist wie Safe Harbour und die eigentlichen Probleme der ausufernden Überwachungsgesetze nicht löst. Das war eine rein politische Veranstaltung, welche mit echtem Datenschutz nichts zu tun hatte. Insofern empfinde ich das EuGH-Urteil nur als konsequent und begrüßenswert, insbesondere da der EuGH hervorhebt, dass ein Datenschutz nicht nur auf dem Papier, sondern eben in der Praxis gewährleistet sein muss.

    Der internationale Datentransfer ist mit voller Wucht gegen die Wand gefahren.
    Zuletzt geändert von dfgvo; 31.07.2020, 08:20.

    Einen Kommentar schreiben:


  • dfgvo
    antwortet
    Zitat von Nils Dornblut Beitrag anzeigen
    Was wir hier jedoch nicht leisten können, ist eine rechtliche Detaildiskussion gerade bei einem solchen frischen Thema.
    Es ist mehr der Elefant im Raum als nur ein Detail. Aber ich verstehe, dass natürlich im Rahmen des Forums der Klärung von Rechtsfragen Grenzen gesetzt sind.

    Zitat von Nils Dornblut Beitrag anzeigen
    Falls darüber hinaus es Punkte im Bereich Datenschutz gibt, die unsere Geschäftsbeziehung mit Ihnen betreffen, dann bitten wir um Kontaktaufnahme mit unserem Datenschutzbeauftragten, dessen Adresse bzw. Telefonnummer Sie hier finden:

    https://www.df.eu/de/datenschutz/
    und sofern das nicht zur Klärung beiträgt und wir schon bei Links sind, mag mir noch folgender Verweis gestattet sein: https://www.lda.bayern.de/de/beschwerde.html

    Einen Kommentar schreiben:

Lädt...
X