Wenn Sie auf "Alle Cookies akzeptieren" klicken, stimmen Sie der Speicherung von Cookies auf Ihrem Gerät zu, um die Navigation auf der Website zu verbessern, die Nutzung der Website zu analysieren und unsere Marketingaktivitäten zu unterstützen. Weitere Informationen finden Sie in unserer Datenschutzrichtlinie.

Datenschutzpräferenzen

Wenn Sie Websites besuchen, können diese Daten in Ihrem Browser speichern oder abrufen. Diese Speicherung ist häufig für die Grundfunktionen der Website erforderlich. Die Speicherung kann für Marketing, Analysen und die Personalisierung der Website verwendet werden, z. B. für die Speicherung Ihrer Präferenzen. Der Datenschutz ist uns wichtig, daher haben Sie die Möglichkeit, bestimmte Arten der Speicherung zu deaktivieren, die für die grundlegende Funktion der Website nicht erforderlich sind. Das Blockieren von Kategorien kann Ihre Erfahrung auf der Website beeinträchtigen.

Alle cookies ablehnen Alle cookies zulassen

Zustimmungspräferenzen nach Kategorie verwalten

Essential

Immer aktiv

Diese Elemente sind erforderlich, um die Grundfunktionen der Website zu ermöglichen.

Marketing

Essential

Diese Elemente werden verwendet, um Werbung zu liefern, die für Sie und Ihre Interessen relevanter ist. Sie können auch verwendet werden, um die Anzahl der Werbeeinblendungen zu begrenzen und die Wirksamkeit von Werbekampagnen zu messen. Werbenetzwerke platzieren sie in der Regel mit der Erlaubnis des Website-Betreibers.

Personalization

Essential

Diese Daten ermöglichen es der Website, sich an die von Ihnen getroffenen Entscheidungen zu erinnern (z. B. an Ihren Benutzernamen, Ihre Sprache oder die Region, in der Sie sich befinden) und erweiterte, persönlichere Funktionen anzubieten. Eine Website kann Ihnen zum Beispiel lokale Wetterberichte oder Verkehrsnachrichten anbieten, indem sie Daten über Ihren aktuellen Standort speichert.

Analytics

Essential

Diese Daten helfen dem Website-Betreiber zu verstehen, wie seine Website funktioniert, wie Besucher mit der Website interagieren und ob es möglicherweise technische Probleme gibt. Bei dieser Speicherart werden in der Regel keine Informationen gesammelt, die einen Besucher identifizieren.

Meine Einstellungen bestätigen und schließen

EU-U.S. Privacy Shield am Ende: eine Übersicht für Atlassian-Kunden

Stefan Haller

29.7.2020

Der Europäische Gerichtshof hat am 16. Juli 2020 das EU-U.S. Privacy Shield-Abkommen, welches die Gleichwertigkeit des EU-Datenschutzes in den USA sicherstellen sollte, für ungültig erklärt. Wir beleuchten vor diesem Hintergrund das Thema und die Handlungs- resp. Deployment-Optionen für Atlassian-Kunden.

Gemäss der seit Mai 2018 in Kraft gesetzten Europäischen Datenschutz-Grundverordnung DSGVO, dürfen Personendaten von natürlichen Personen nicht beliebig in Drittstaaten verarbeitet werden. Falls Firmen die Verarbeitung (Einsicht, Weitergabe, Bearbeitung, Speicherung usw.) von Personendaten in Drittstaaten vornehmen möchten, sind sie verantwortlich dafür, dies im Einklang mit der DSGVO zu tun und einen äquivalenten Datenschutz im Drittstaat sicherzustellen. Bei Verstössen können gegenüber den Firmen Bussen verhängt und deren Management kann unter Umständen gar persönlich Haftbar gemacht werden. Weitere Informationen zur Europäischen Datenschutz-Grundverordnung befinden sich in unserer Artikelserie aus den Jahren 2017/2018.

Der einfachste Weg um dies in Drittstaaten sicherzustellen ist, sich auf einen Äquivalenzentscheid der EU Kommission abzustützen. Beispielsweise gilt der gesetzliche Datenschutz in der Schweiz als mit der EU gleichwertig. Da in den USA die Datenschutzgesetze nicht den gleichen Datenschutz sicherstellen, versuchten die EU und die USA bisher den Datenschutz derart sicherzustellen, dass US-Firmen sich freiwillig den höheren europäischen Standards unterwerfen. Zuerst wurden dafür die Safe Harbour Privacy Principles zwischen der EU und den USA vereinbart. Diese Rahmenvereinbarung wurde jedoch vom Europäischen Gerichtshof für ungültig erklärt, da sie eine blosse Compliance-Deklaration der US-Firmen voraussetzte und keinerlei Kontrollmechanismen vorgesehen waren. Als Nachfolgelösung dazu hat die EU mit den USA das EU-U.S. Privacy Shield Framework ausgehandelt, welches diesen Mangel behebt und den entsprechend partizipierenden US-Firmen wiederum einen gleichwertigen Datenschutz attestierte.

Bereits in unserer Artikelserie zur Einführung des Datenschutzes prognostizierten wir, dass auch das EU-U.S. Privacy Shield kurzlebig sein dürfte. Dies ist nun eingetreten. Der Europäische Gerichtshof hat am 16. Juli 2020 auch dieses Abkommen für ungültig erklärt. Verantwortlich dafür sind diesmal die US-Gesetzgebungen zur Massenüberwachung durch den Staat. Dabei handelt es sich gemäss Computerworld einerseits um den Foreign Intelligence Surveillance Act (FISA) mit deren Überwachungsprogrammen PRISM und UPSTREAM sowie die Executive Order 12333. Konkret weist PRISM die Anbieter von Internet-Diensten an, der NSA, dem FBI und der CIA, alle Mitteilungen betreffend bestimmten Personen zur Verfügung zu stellen. UPSTREAM weist Telekommunikationsprovider an, das Kopieren und Filtern des Internet-Traffics zu gestatten. Die Executive Order 12333 erlaubt der NSA den Zugang zu den Seekabeln im Atlantik, um Datentransfers dort abgreifen zu können. Auch der Schweizer Datenschutzbeauftragte prüft nun den Entscheid des EU Gerichtshofs und die Auswirkungen auf das analoge, noch gültige Swiss-US Privacy Shield.

Für Verarbeitungen in den USA kann dadurch nicht mehr auf einen Äquivalenzentscheid der EU Kommission abgestützt werden. Als wichtigste Alternative sind die sogenannten Standardvertragsklauseln vorgesehen, wie sie zum Beispiel auch linkyard zusätzlich zum Verweis auf den Äquivalenzentscheid ihren Kunden unterbreitet. Im Falle der USA besteht nun aber das Problem, dass private Verträge die erwähnten nationalen Gesetzgebungen auch nicht aushebeln können. Entsprechend dürfte mit den von den Gesetzen betroffenen US Firmen (Betreiber von Internetdiensten und Telekommunikationsanbieter) keine Lösung über Standardvertragsklauseln möglich sein, ohne dass vorgängig die USA ihre Gesetzgebung anpassen. Damit bleiben wohl in erster Linie noch die wenigen Ausnahmen nach Art. 49 DSGVO, insbesondere das Einholen einer expliziten Zustimmung (opt-in) bei jeder betroffenen Person, zu der Daten gespeichert werden, als Ausweg.

Der Entscheid ist zum Zeitpunkt dieses Artikels noch ganz frisch und die verschiedenen, spezialisierten Rechtsanwälte werden sich nun Gedanken machen, wie diesem Problem mit den tiefsten Risiken begegnet werden kann. Wir widmen uns im Weiteren den technischen Spezifika die für die Betrachtung des Themas Datenschutz relevant sind.

linkyard ist Spezialistin für den sicheren Betrieb von Collaboration Services. Rund 100 Kunden - darunter viele aus Branchen mit besonders hohen Informationssicherheits- und Datenschutzanforderungen wie Banken, Versicherungen, öffentliche Verwaltung, kritische Infrastrukturen oder Rüstung - zählen auf unsere Dienstleistungen. Das Informationssicherheits-Managementsystem von linkyard ist nach ISO 27001:2013 zertifiziert.