Warum die Cloud den Datenschutzschild zwischen der EU und den USA bedeutungslos macht

Michael Laurie, 28. April 2016
Thumbnail

Es ist fair zu sagen, dass Europa in Bezug auf den Datenschutz von einem riesigen Sturm von Edward Snowden getroffen wurde. Die Enthüllungen des Hinweisgebers, dass die Nationale Sicherheitsbehörde der Vereinigten Staaten die personenbezogenen Daten privater EU-Bürger gesammelt hat, haben den Kontinent in Gefahr gebracht. Das Urteil des Europäischen Gerichtshofs vom Oktober 2015 zur Ungültigmachung von Safe Harbor - einer kollektiven Vereinbarung, die zuvor die Datenübertragung zwischen der EU und den USA regelte - hat Europa auf den Fersen gehalten.

Im Februar 2016 versuchte die Europäische Kommission, die Ängste durch die Ankündigung des Vorschlags abzubauen EU-US-Datenschutzschild als neue Regelung für die Übermittlung personenbezogener Daten in der EU und den USA.

"Zum ersten Mal", sagte Kommissarin Vera Jourova, "haben die Vereinigten Staaten der EU verbindliche Zusicherungen gegeben, dass der Zugang von Behörden zu nationalen Sicherheitszwecken klaren Einschränkungen, Schutzmaßnahmen und Überwachungsmechanismen unterliegen wird."

eIDAS und elektronische Signaturen: Eine rechtliche Perspektive

eIDAS und elektronische Signaturen: Eine rechtliche Perspektive

Lorna Brazell von Osbourne Clarke LLP steuert die neue eIDAS-Verordnung

Laden Sie das Whitepaper herunter

Löcher im Sichtschutz?

Dennoch bleiben viele unruhig. Erstens wird der Datenschutzschild erst im späten Frühjahr oder Frühsommer offiziell unterzeichnet. das umfassendere datenrecht, die allgemeine datenschutzverordnung der EU ( DSGVO ), ist mindestens zwei Jahre von der formellen Genehmigung entfernt.

Aber die Mehrdeutigkeit von Daten verblasst im Vergleich zur Mehrdeutigkeit von Sprache und Absicht. Der Datenschutzschild schlägt "solide Verpflichtungen hinsichtlich der Verarbeitung personenbezogener Daten und der Gewährleistung individueller Rechte" vor, diese "robusten Verpflichtungen" bleiben jedoch vage.

Darüber hinaus liegt die Aufrechterhaltung der Grenzen zwischen den Datenschutzrechten der EU-Bürger und den nationalen Sicherheitsinteressen der USA in den Händen der NSA, einer Institution, die bekanntermaßen undurchsichtig und bekanntermaßen in der Lage ist, ihre Aktivitäten zu verschleiern.

Schließlich, und vielleicht am alarmierendsten, gibt es die Mittel, um selbst Abhilfe zu schaffen. Nach den neuen Regeln müsste ein geschädigter EU-Bürger innerhalb einer Nicht-EU-Gerichtsbarkeit, den Vereinigten Staaten, Gerechtigkeit suchen, indem er eine Beschwerde beim US-Handelsministerium und der US-amerikanischen Federal Trade Commission einreicht.

Ein britischer Anwalt, der sich auf Datenschutzfälle spezialisiert hat, Dai Davis findet den gesamten Prozess problematisch. "In den USA gibt es in der US-Verfassung keinen Schutz für die europäischen Bürger oder ihre Rechte", stellt er fest. "Außerdem, warum sollte jemand aus Manchester in die USA gehen müssen, um Gerechtigkeit für etwas zu bekommen, das in Manchester passiert ist?"

Geschäftsoptionen für die Überwachung der Datenübertragung

Für Unternehmen sind die Risiken hoch. Der EU-Bürger, der sich verletzt fühlt, kann das EU-Geschäft verklagen, mit dem dieser Bürger seinen Daten vertraut hat. Das mögliche Bußgelder , Nach einigen Berechnungen können bis zu vier Prozent des weltweiten Jahresumsatzes eines Unternehmens erzielt werden.

Was ist ein Geschäft zu tun?

Die offensichtliche Antwort lautet Compliance: Einhaltung des EU-US-Datenschutzschilds, Einhaltung der neuen DSGVO. Diese sich weiterentwickelnden Vorschriften stellen jedoch ständig wechselnde Ziele dar, und es gibt keine Garantie dafür, dass ihre Bestimmungen vor Gericht Bestand haben oder dass die Einhaltung der Vorschriften den angegriffenen Unternehmen eine ausreichende rechtliche Absicherung bietet.

Alternativ können Unternehmen ihre eigenen verbindlichen Unternehmensregeln (Binding Corporate Rules, BCR) im Rahmen ihrer eigenen vertraglichen Vereinbarungen festlegen. Diese BCRs müssen jedoch zwischen jedem einzelnen Geschäftspartner ausgehandelt und von den nationalen Datenschutzbehörden (DPA), die diese Parteien überwachen, genehmigt werden. Für die meisten Unternehmen sind BCRs verwirrend komplex - teuer in der Verwaltung und für die meisten Unternehmen unpraktisch.

Glücklicherweise gibt es eine dritte praktikable Option.

Raus aus dem Datenübertragungsgeschäft

Das Grundproblem liegt nicht in den Daten, sondern in ihrer Übertragung. Solange die Daten eines Bürgers innerhalb seiner nationalen Grenzen bleiben, gibt es keinen rechtlichen Grund zur Besorgnis des Unternehmens. Und es gibt wirklich keinen Grund, warum Daten grenzüberschreitend übertragen werden müssen, wenn man die Verfügbarkeit von Cloud-Instanzen in einer Region mit einem Rechenzentrum berücksichtigt.

Klingt zu offensichtlich? Traditionell war das geschäftliche Hindernis der Bauaufwand: Bau von Rechenzentren, in denen Kundeninformationen von Land zu Land gehostet werden. Heutzutage ermöglichen sichere Cloud-Hosting-Anbieter Cloud-Service-Anbietern jedoch, eine Instanz ihrer Lösung überall bereitzustellen, sodass Unternehmen überall Geschäfte tätigen können, ohne überhaupt im Datenübertragungsgeschäft tätig zu sein.

Einwände und Vorteile

Nach den geltenden Datenschutzgesetzen können EU-Bürgerdaten frei in jedes EU-Land übertragen und dort gespeichert werden und erfüllen die EU-Datenschutzanforderungen. Dies deutet darauf hin, dass Organisationen regionale Lösungen innerhalb der EU in Betracht ziehen könnten.

Die EU erlaubt auch die Speicherung von Daten außerhalb der EU in „weiß gekennzeichneten“ Ländern wie Kanada, deren Datenschutzbestimmungen als genauso streng oder stärker als die EU gelten.

Bis zur Übernahme der Allgemeinen Datenschutzverordnung (DSGVO) in ein paar Jahren gibt es in den 28 EU-Ländern genügend Unterschiede in den Datenschutzgesetzen, so dass sich viele Anwälte mit der Datenresidenz im Land möglicherweise wohler fühlen.

Und ehrlich gesagt sind zusätzliche Geschäftsvorteile zu berücksichtigen. Wenn Ihr Unternehmen über eine große geografische Reichweite verfügt, bietet die Datenresidenz im Land über die Cloud eine bessere Netzwerkleistung und überlegene Antwortzeiten bei wesentlich geringeren Bereitstellungskosten.

Unterschiede in Formaten, Bräuchen, Gesetzen und vor allem in der Sprache sind auf lokaler Ebene viel einfacher zu handhaben. Jedes Land erhält eine eigene Instanz Ihrer Anwendung, die genau auf seine Bedürfnisse zugeschnitten ist. Skalierbarkeit, eine Belastung für zentralisierte Systeme, wird in der Cloud zum Kinderspiel.

Während Inland die ultimative Lösung ist, müssen die Kosten und das Management der Speicherung und Verarbeitung im Land möglicherweise gegen eine regionale Lösung wie eine Kombination aus primären und sekundären Cloud-Instanzen in zwei oder mehr EU-Staaten abgewogen werden.

Lassen Sie uns unsere Köpfe in die Wolke legen

Unabhängig davon, wie die Chips mit den aufkommenden Vorschriften fallen, wird der Schutz des Datenschutzes jedem Unternehmen, das Daten über Grenzen hinweg übertragen muss, Kopfschmerzen bereiten. Die Datenresidenz in der Cloud in einem Land und in einer Region bietet Unternehmen eine einfache und kostengünstige Möglichkeit, das Problem insgesamt zu vermeiden. Wenn wir uns nicht um das Verschieben von Daten kümmern müssen, können wir uns stattdessen darauf konzentrieren, Geschäftsdynamik aufzubauen.

Quelle: Michael Laurie, Vice President für Produktstrategie bei eSignLive, VASCO

Dieser Artikel wurde erstmals in veröffentlicht Informationszeitalter