Wirtschaftsspiegel Thüringen – Ausgabe 02/2021

IT-Sicherheit 40 Foto: photolars -stock.adobe.com Sind Videokonferenzsysteme datenschutzkonform? Datenschutz in der Cloud Der Europäische Gerichtshof hat nach dem „Safe-Harbor“-Abkommen in sei- nem Urteil vom 16.07.2020 (C-311/18) nun auch den EU-US-Privacy-Shield (im Folgenden: „Privacy Shield“) für unwirk- sam erklärt. Begründet wurde die Entscheidung damit, dass aufgrund der Befugnisse der US-Geheimdienste und der Rechtslage in den Vereinigten Staa- ten ein angemessenes Datenschutz- Niveau, das dem der DS-GVO entspricht, nicht sichergestellt werden könne. Denn US-Anbieter elektronischer Kommuni- kation, wie zum Beispiel Google, Face- book, Dropbox, Microsoft, Amazon (AWS) und Apple sind gesetzlich dazu ver- pflichtet, den US-Geheimdiensten den Zugriff auf sämtliche Nutzerdaten im Hinblick auf den Datenaustausch bei elektronischer Kommunikation zu ge- währen. Mit dem EuGH-Urteil wurde die wich- tigste Rechtsgrundlage für den Daten- transfer zwischen der EU und den Ver- einigten Staaten beseitigt. Dieser Umstand hat bei den Anwendern aus Wirtschaft und Verwaltung zu großer Verunsiche- rung hinsichtlich des Einsatzes von US-Diensten ge- führt. Betroffen sind davon alle Institutionen, die Handelsbeziehungen mit einem Unternehmen pfle- gen, das seinen Sitz in den USA hat und mit dem sie personenbezogene Daten austauschen, sowie Firmen, die US-Unternehmen als Auftragsverarbeiter einsetzen und auch jene, die für die Verarbeitung personenbezo- gener Daten in den USA (mit)verantwortlich sind. Damit zählen hierzu auch Unternehmen, die personen- bezogene Daten in einer Cloud speichern, die von ei- nem Unternehmen in den USA bzw. auf einem Server in den USA gehostet werden. Ferner betrifft es alle Institutionen, die Videokonferenzsysteme eines US- amerikanischen Anbieters nutzen, der die personenbe- zogenen Daten der Teilnehmenden erhebt und auf Servern in den USA speichert oder dorthin übermittelt. Streng genommen dürften diese US-Dienste aus da- tenschutzrechtlichen Gründen von Institutionen in der EU nicht mehr genutzt werden und es müsste eine Löschung der bislang übertragenen personenbezoge- nen Daten verlangt werden. Andernfalls drohen Bußgelder und Abmahnungen. Die Unternehmen könnten selbst Sicherheitsvorkeh- rungen treffen, wie Ende-zu-Ende-Verschlüsselung und Pseudonymisierung oder Anonymisierung perso- nenbezogener Daten. Die bislang einbe- zogenen Standardvertragsklauseln bie- ten nach Auffassung der Datenschützer indes keine ausreichende Rechtssicher- heit, weil sie nur zwischen den Ver- tragspartnern wirken und keine gesetz- liche Verpflichtung für die Behörden in den USA darstellen. Viele größere US- Konzerne bieten bereits die Möglich- keit, die personenbezogenen Daten der Nutzer ausschließlich auf Servern in der EU zu hosten, auf die US-Behörden und Geheimdienste keinen Zugriff haben. Dabei wird auch teilweise in deren AGB oder deren Datenschutzerklärung zuge- sichert, dass keine Übertragung von per- sonenbezogenen Daten in die USA er- folgt. So verhält es sich beispielsweise auch bei Microsoft, welches sich aus- drücklich der DS-GVO unterworfen hat und in Deutschland sowie in der EU ei- gene Rechenzentren betreibt. Dennoch kam die Datenschutzkonferenz, beste- hend aus den Landesdatenschutzbeauf- tragten und dem Bundesdatenschutz- beauftragten, im Juli 2020 zu dem Er- gebnis, dass ein datenschutzgerechter Einsatz von Microsoft Office 365 nicht Der 15. April 2021 stand ganz im Zeichen der IT-Sicherheit. Rund 70 Teilnehmende lauschten gespannt den Vorträgen und Diskussionen beim ersten Thüringer IT-Sec-Day. Eines der Themen war der Datenschutz in der Cloud. Hier sind besonders die derzeit gängigen Videokonferenzsysteme in den Fokus der Datenschützer gelangt. Dr. jur. Nadin Staupendahl ist Fachanwältin für IT-Recht. In ihrem Fachbeitrag beleuchtet sie das Thema einge- hender.