IT und Recht, Cloud und mehr
Der Zugriff von Geheimdiensten und im Speziellen der US Geheimdienste ist keine neues Thema der letzten Monate durch die neue US Regierung, sondern schon seit einigen Jahren. In diesem Bereich wurden die Diskussionen und Risiken bereits durch das Verfahren vor dem höchsten Gericht, dem Surpreme Court, durch Microsoft geführt, bestimmt. Dazu kommt die FISA und der Patriot Act.
Heute ab 15:45 Uhr wurde das neue EU-US Data Protection Framework in einer Pressekonfernz vorgestellt und in diesem Moment auch veröffentlicht. Die 137 Seiten des Abkommens und diverse Webseiten sind nun abrufbar. Continue reading
Wir haben auf ein Update des Trans-Atlantic Data Privacy Framework gewartet als Nachfolger von Privacy Shield und Safe Harbor. Dies soll nun auch in Washington einen Schritt weiter gehen und vielleicht in diesem Jahr noch ein Abkommen bringen, hoffen wir.
Nach Safe Harbor folgte Privacy Shield und nun das Trans-Atlantic Data Privacy Framework. Die ersten beiden Abkommen zwischen der EU Kommission und des US Handelsministeriums zur Regelung des Datentransfers von personenbezogenen Daten europäische Bürger in die USA wurden durch den EuGH in den Urteilen Schrems I und Schrems II jeweils vom Berichterstatter Prof. von Danwitz (Deutschland) gekippt. Nun wird es ein neues Abkommen geben, welches die Fehler der vorherigen nicht wiederholen soll und aktiv ein Schrems III verhindern.
Im Rahmen des Einsatzes von Produkten und Services US-Amerikanischer Dienstleister steht nicht erst seit Schrems2, aber auch gerade deshalb, die Frage des US-Überwachungsrechts und der Überwachungsbefugnisse im Raum. Nun hat die DSK dazu ein Gutachten in den USA in Auftrag geben und ergänzt somit die Informationen aus der Literatur und dem Gutachten des Wissenschaftlichen Dienstes des Bundestages.
Der Einsatz von Microsoft Forms ist aus Sicht des Datenschutzes, Betriebsrat und Compliance Officers eine sehr spannende Einrichtung. Hierbei muss ein Rahmen für das doch sehr flexible Werkzeug gestellt werden.
Aktuell laufen immer wieder US-Behörden Anfragen zur Herausgabe von Kundendaten. Es trifft in letzter Zeit immer wieder den Messenger Signal, der wie wir wissen in Microsoft Azure Rechenzentren läuft und mit Azure confidential Computing konzipiert wird.
Es ist aus Urteilen(z.B. SchremsII), Gesetzestexten (z.B. PRISM) und Expertenkommissionen bekannt, dass es in den USA sogenannte „Secret Order“ gibt. Diese erlauben es den US Geheimdiensten, wie der NSA oder CIA, wenn zum Beispiel ein Verdacht des Terrorismus besteht, auf Kundendaten von US Cloud-Providern zuzugreifen. Dieser Zugriff soll geheim bleiben und dem Kunden gegenüber nicht geäußert werden. Dieser geheime Zugriff sind vielen ein Dorn im Auge und problematisch, da zum Beispiel auch nicht klar ist, ob nicht auch Wirtschaftsspionage so betrieben wird.
Nach dem Fall von Privacy Shield hätte die EU Kommission dies durch einen Angemessenheitsbeschluss aufheben können. Dies ist nicht geschehen, man erkennt das Ende von Privacy Shield an und verweist auf die gültigen EU-Standardvertragsklauseln.
Am 18. Oktober veröffentlichte die EU Kommission nun zum ersten Mal ihre jährliche Überprüfung des transatlantischen EU-US Privacy Shield Abkommen. Dieses dient als Basis zur Datenübermittlung in die USA und soll ein „angemessenes Schutzniveau für personenbezogene Daten“ gewährleisten. Die Kommission sieht Spielräume zu Verbesserungen.