Content

Monika Ermert, Technische Lösungen gefragt in:

VDI nachrichten, page 14 - 14

VDI nachrichten, Volume 74 (2020), Issue 30-31, ISSN: 0042-1758, ISSN online: 0042-1758, https://doi.org/10.51202/0042-1758-2020-30-31-14

Browse Volumes and Issues: VDI nachrichten

VDI Verlag, Düsseldorf
Bibliographic information
14 TECHNIK & WIRTSCHAFT 24. Juli 2020 · Nr. 30/31 Technische Lösungen gefragt Von Monika Ermert D ie Weitergabe persönlicher Daten von EU-Bürgern in die USA auf der Basis des Privacy Shield widerspricht EU- Recht. Das attestierte der Europäische Gerichtshof (EuGH) am letzten Freitag. Zum zweiten Mal hat der Österreicher Max Schrems damit die Regeln für die EU-US-Datentransfers zu Fall gebracht. Bei den IT-Verbänden Bitkom und Eco herrscht kurz danach Panik, wie es mit der Datenhaltung und ganzen Geschäftsmodellen weiter gehen soll. Datenschützern und Verantwortlichen an der Hochschule München dürfte das Urteil des EuGH vom 16. Juli ein paar schlaflose Nächte beschert haben. Die Hochschule, eine der größten Deutschlands, führt seit der vergangenen Woche Onlineprüfungen über die US-Videokonferenz- Plattform Zoom durch. Bis zu 100 Studierende werden dabei „online“ von mehreren Aufsichtspersonen überwacht. Zur Authentisierung mussten Ausweisdaten teils via Zoom vorgelegt werden. Vage Zusicherungen: Corona-Gewinner Zoom sichert in einer Datenschutzerklärung seiner Standardverträge etwa zu, dass Zugriffe durch US-Behörden oder Datenverluste den Zoom- Kunden mitgeteilt werden. Daten sollen durch technische Maßnahmen vor unerlaubten Zugriffen geschützt werden. Ob diese und weitere Zusicherungen ausreichen, ist ziemlich fraglich. Die Luxemburger Richter hatten im Urteil bereits deutlich gemacht, dass die US-Datenimporteure bei Vertragslösungen grundsätzliche Datenschutzstandards ihres Landes einhalten können müssen. Kein Entrinnen vor US-Sicherheitsbehörden: Deutsche Datenschützer verweisen wie der EuGH auf die verdeckten Zugriffsmöglichkeiten der Sicherheitsbehörden in den USA, die unter anderem im Foreign Intelligence Surveillance Act (Fisa) geregelt sind. Ausländer werden danach beim Rechtsschutz ausdrücklich schlechter gestellt. Zoom könne als US-Unternehmen dem Zugriff Datenschutz: Nachdem der Europäische Gerichtshof den Privacy Shield, die Regeln des EU-US-Datenaustauschs, gekippt hat, müssen Hochschulen, Autobauer und andere ihre Praktiken überdenken. der dortigen Sicherheitsbehörden nicht entgehen, erklärte Christoph Stein, Sprecher des Bundesbeauftragten für Informationsfreiheit und Datenschutz. Bislang seien ihm grundsätzlich noch keine Standardvertragsklauseln bekannt, die das von den europäischen Richtern bekräftigte hohe Datenschutzniveau erfüllten, so die erste Einschätzung. Ein weiterer Rettungsanker ist die sogenannte Einwilligungslösung nach Artikel 49 der Europäischen Datenschutzgrundverordnung, bei der Nutzer dezidiert auf die Risiken hingewiesen werden. Doch die, das haben Datenschützer schon im vergangenen Jahr klargemacht, müsse eine Ausnahme bleiben. Für regelmäßige, massenhafte Datenübertragung sei sie nicht vorgesehen. Viel Arbeit für Datenschützer: Niemand kann übersehen, wie lang die Liste der Dienste und Geschäftspraktiken ist, deren Datentransferpraktiken jetzt neu geprüft und möglicherweise umgestellt werden müssen. Ob die Lösungen die Anforderungen, die der EuGH jetzt hochgeschraubt hat, erfüllen, müssen die Datenschutzbehörden in den EU-Mitgliedsländern prüfen. Im Büro des Datenschutzbeauftragten in Baden-Württemberg gibt man sich pragmatisch. Auch Einzelfallprüfungen seien „grundsätzlich leistbar, wobei wir im Nachgang zu dem Urteil zunächst mit einer Erhöhung der Beratungsanfragen zur inhaltlichen Deutung des Urteils rechnen“. Ob Kooperationen zwischen Datenplattform-Betreibern wie Google oder Apple einerseits und den Autobauern im Land andererseits überhaupt noch rechtssicher möglich seien hänge sehr davon ab, wie die betroffenen Firmen nun auf das Urteil reagieren. Der EuGH fordere „zusätzliche Maßnahmen“ von den Firmen, die Standardvertragsklauseln verwenden. Besonderes Augenmerk, teilt Clarissa Henning, Sprecherin aus Stuttgart, mit, müsse auf „die technischen und organisatorischen Maßnahmen wie Verschlüsselungen gelegt werden“. Automobilindustrie unter Zeitdruck: Stefan Reindl, Professor am Institut für Automobilwirtschaft an der Hochschule für Wirtschaft und Umwelt Nürtingen-Geislingen (HfWU), hält die Folgen für den Automobilsektor für „erheblich“. In vielen Fahrzeugen sei Apple CarPlay oder Android Auto verbaut, sagt er. Fahrzeuge, die in den kommenden Monaten vom Band laufen, werden diese Systeme auch noch mitbringen. Zwar arbeiten die Autobauer an möglichen eigenen Betriebssystemen, „aber jetzt sind sie unter Zeitdruck damit – und sie sind ohnehin keine klassischen Softwarehersteller“. Reindl sieht zu allererst die US-Hersteller selbst gefragt. „Sie müssen mit entsprechenden Lösungen auf ihre Märkte zugehen“, fordert er. Chance für Sicherheitstechnik: Elmar Eperiesi- Beck, CEO des Softwareentwicklers Eperi, sieht das Urteil als Chance, sicherheitstechnisch bei Plattformen und Cloud-Diensten voranzukommen. Es sei wirklich nicht notwendig, Dienste komplett über Server in Europa abzuwickeln. „Das ist auch gar nicht möglich“, meint er. Möglich ist aus seiner Sicht aber zum einen die Verschlüsselung von Daten, bevor sie überhaupt das Hoheitsgebiet eines Unternehmens verlassen. Damit könnte im Ausland, gleich ob in den USA oder in China – auf dessen viel schlimmere Datenschutzgesetze aktuell US-Anwälte die Europäer verweisen – nur noch Datenmüll ausgelesen werden. „Die Nutzung von US-Cloud-Anbietern wird so datenschutzkonform möglich“, so Eperiesi-Beck. Selbst die Pseudonymisierung von Daten, etwa die Anmeldung von Mitarbeitern beim Videokonferenz-Dienstleister als Nummer, sei schon eine Verbesserung. Heilmittel Verschlüsselung: „Es müssen technische Lösungen her, unabhängig von den Verträgen“, sagt er, auch aus der Erfahrung heraus, dass das „Privacy-Shield-Abkommen letztlich ein Deckmäntelchen“ war. Zwar bräuchte man jetzt von den Datenschützern durchaus noch Hinweise, ob bestimmte Pseudonymsierungs-, Anonymsierungs- oder Multi-Cloud-Verschlüsselungslösungen gut genug seien. Wichtig sei aber nicht zuletzt, dass die Unternehmen die Gelegenheit ergriffen, um Datenverarbeitungspraktiken, die den rasanten Covid- 19-Digitalsierungsschub überdauern müssten, zu überprüfen. Dabei sieht Eperiesi-Beck auch Bewegung im Markt. Microsoft Office habe beispielsweise verlautbart, dass man sich kundenseitig verschlüsselte Cloud-Lösungen vorstellen kann, sagt er. „Zoom will das noch nicht, wegen der einfachen Bedienbarkeit – vorerst.“ Der Datenaustausch zwischen Europa und den USA muss jetzt neu geregelt werden. Während die EU-Kommission von einem neuen Abkommen spricht, will das US- Handelsministerium am Privacy-Shield- Programm festhalten. Foto: PantherMedia/Antartis Privacy Shield: kurze Halbwertszeit n Bis zum 16. Juli 2020 regelte das Privacy Shield die Weitergabe persönlicher Daten von EU-Bürgern in die USA. Das Abkommen wurde 2015/16 zwischen der EU-Kommission und dem US-Handelsministerium ausgehandelt. n Mit dem Abkommen erklärte die EU-Kommission das amerikanische Datenschutzniveau als gleichwertig mit den EU-Bestimmungen. n Datenschutzaktivist Max Schrems hatte 2015 bereits den Vorgänger, das Safe-Harbour-Abkommen aus dem Jahr 2000, zu Fall gebracht. Er hatte sich mit der ersten Klage gegen Facebooks Übertragung seiner Daten von Europa in die USA gewandt. n Schon bei der Verabschiedung des Nachfolgeabkommens warnten Datenschützer und das Europäische Parlament, dass die Nachbesserungen im Privacy Shield trotz einzelner Verbesserungen unzureichend seien. Das EU-Parlament forderte 2018 sogar die Aussetzung des Abkommens. n Der Europäische Gerichtshof (EuGH) gab mit dem Urteil vom 16. Juli erneut Max Schrems (Schrems II) Recht und erklärte das Privacy Shield für ungültig, ebenso wie die Entscheidung, dass das Datenschutzniveau in den USA dem in der EU entspreche. Damit werden Transfers auf der Basis von Standardvertragsklauseln unhaltbar. n US-Handelsminister Wilbur Ross erklärte, man wolle am Programm zunächst festhalten und sei mit der EU im Gespräch. Die EU-Kommission versprach ein neues Abkommen. Ob der Nachfolger von „Hafen“ und „Schild“ länger hält, muss man abwarten.

Chapter Preview