Cloud und Privacy Shield: Bedeutung für KMU´s

· 0 Kommentare

Im Oktober 2015 wurde dem Safe-Harbor-Abkommen zwischen der EU und der USA ein Ende gesetzt und im Juli 2016 wurde mit Privacy Shield der Nachfolger verabschiedet.

Viele haben die Entscheidung des europäischen Gerichtshofs bejubelt. Für Unternehmen und Cloud-Computing-Anbieter bedeutete dies, dass die personenbezogenen Daten von europäischen Unternehmen und Bürger nicht mehr ungeschützt in die USA weitergeleitet und verwendet werden konnten. Patriot Act hin oder her.

Europäische Kommission und die amerikanische Handelskammer mussten sich somit wieder an den Verhandlungstisch setzen und ein Folgeabkommen aushandeln, welches die europäische Judikative überzeugen soll.

So wurde im Juli 2016 der EU-US Privacy Shield als Folgelösung zum Safe Harbor verabschiedet.

Privacy Shield

Mit dem unaufhaltsamen Vormarsch des Cloud-Computing in allen Formen stellt sich nun für Unternehmen die Frage, was das neue Abkommen tatsächlich bedeutet. So ist dies nicht nur für große Unternehmen von entscheidender Bedeutung, sondern auch für KMU´s, die immer mehr Gefallen an IT-Lösungen aus der “Datenwolke” finden.

KMU´s aus der DACH-Region sind vom Privacy Shield betroffen, wenn sie Cloud-Dienste nutzen, deren Server in den USA stehen. Im folgenden werden die Eckdaten des neuen Abkommen aufgeführt und deren Bedeutung für KMU´s.

Prinzip der Selbstzertifizierung im Privacy Shield

Unternehmen, die personenbezogene Daten in den USA empfangen, müssen in einer Selbstzertifizierung bestätigen, dass Daten ausschliesslich gemäss europäischen Richtlinien zum Datenschutz verarbeitet und genutzt werden. Richtet man sich nicht an diese Vorgaben, muss man mit tiefgreifenden Sanktionen rechnen.

Einhaltung der Privacy-Regeln

Selbstzertifizierte Unternehmen müssen sich an die so genannten Privacy-Regeln halten, die sich an den europäischen Datenschutzgrundsätzen orientieren. Unter dem “Notice Principal” muss über die Nutzung von Daten informiert werden. Gemäss dem “Choice Principal” müssen dem betroffenen Unternehmen oder Cloud-Benutzer bestimmte Widerrufsmöglichkeiten gewährleistet werden, während die “Data Integrity and Purpose Limitation Rule” eine Zwecklimitierung sicherstellen soll.

Vorsogeverpflichtung

Unternehmen müssen nun auch angemessene und verhältnismässige Sichermassnahmen ergreifen, das so genannte “Security Principle”. Zur Erfüllung dieser Anforderung müssen amerikanische Unternehmen auch mit Subunternehmen schriftliche Verträge abschliessen, die wiederum alle Privacy-Principles beinhalten.

Weitere Pflichten

Bei den weiteren Pflichten handelt es sich um die Auskunftspflicht (“Access Principle”), der Beschränkungspflicht zur Weitergabe von personenbezogenen Daten (“Accountability for Onward Transfer Principle”) und der Rechtsschutzmöglichkeiten (“Recurs, Enforcement and Liability Principle”). Ferner sind amerikanische Unternehmen verpflichtet, Betroffene über ihre Teilnahme am Privacy Shield zu informieren.

Bedeutung für Unternehmen aus der DACH-Region

Inwiefern das Privacy Shield in der Praxis das Vertrauen von Cloud-User gewinnen wird muss noch abgewartet werden. Der langfristige Erfolg des Abkommen hängt auch stark von der künftigen Haltung des europäischen Gerichtshofs ab. So wird erwartet, dass dieser die Einigung zwischen der EU und den USA genauso auf Herz und Nieren prüfen wird wie schon sein Vorgänger, dem Safe-Harbor-Abkommen.

Für KMU´s in der Schweiz bedeutet dies, dass aufgrund Datenqualifizierung festgelegt werden muss, welche Daten bei einem Anbieter mit Rechenzentren in Europa bzw. der Schweiz und welche in einer Public Cloud mit Rechenzentren in den USA gespeichert werden.

Die Daten in den Microsoft Rechenzentren (für Azure, Office 365 etc.) werden in Amsterdam und Dublin gespeichert und unterliegen damit dem strengen EU Recht. Im Microsoft Trust Center finden Sie alle Informationen zur Datensicherheit in der Microsoft Cloud.

Der erste Schritt für Ihr erfolgreiches ICT-Projekt

Tragen Sie das Ergebnis folgender Rechnung ein:

Ihr direkter Kontakt zu uns

Tragen Sie das Ergebnis folgender Rechnung ein:

photo1

Adresse:
A. Baggenstos & Co. AG
IT Services and Solutions
Neugutstrasse 14
CH-8304 Wallisellen

Öffnungszeiten:
Montag bis Freitag
08.00 – 12.00 Uhr
13.00 – 17.30 Uhr

Allgemeine Anfragen:
info@baggenstos.ch
Telefon +41 44 832 66 66
Fax +41 44 832 66 60

Support:
ithelp@baggenstos.ch
Telefon +41 44 832 65 50
Fax +41 44 832 65 31