Tag Schrems II

Von Constanze Fuchs

Bereits Mitte 2021 hatte Ulrich Kühn, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit die Senatskanzlei der Hansestadt Hamburg vor dem geplanten Einsatz unsicherer Videokonferenzlösungen. Denn bei der Übermittlung personenbezogener Daten in Drittländer bestehe dann kein ausreichender Schutz. Dies aber würde gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen.

Ulrich verweist auf das sogenannte Schrems-II-Urteil des Europäischen Gerichtshof (EuGH) vom 16. Juli 2020, demzufolge „das US-Recht kein Schutzniveau bietet, das dem in der EU im Wesentlichen gleichwertig ist“. Die Begründung des EuGH: Die nachrichtendienstlichen Erhebungsbefugnisse, die in den USA gelten, stehen den Anforderungen an den Schutz personenbezogener Daten, die sich in Europa aus der (DSGVO) ergeben, entgegen. „Die Daten von Behördenbeschäftigten und externen Gesprächsbeteiligten werden auf diese Weise der Gefahr einer anlasslosen staatlichen Massenüberwachung in den USA ausgesetzt“, so der Hamburgische Datenschutzbeauftragte.

Das Schrems-II-Urteil des EuGH ist seit Juli 2020 rechtskräftig und hat weitreichende Folgen für viele Unternehmen. Denn personenbezogene Daten sind oft ungewollt in ein Drittland übermittelt. Beispielsweise wenn bestimmte Programme, Cloud-Dienste oder natürlich auch Systeme für die Videokommunikation genutzt werden, die der geltenden Rechtsgrundlage des EuGH nicht entsprechen.

Videolösungen wie zum Beispiel „Vidyo“ (https://enghouseinteractive.de/vidyo-die-sichere-videokommunikations-loesung/) von Enghouse gehen komplett konform mit den Vorgaben der DSGVO.
Daher empfehlen Experten, um empfindliche Geldbußen zu vermeiden:

1. Sind Softwareprodukte lokal installiert (On-premise) oder aber auf Cloud-Servern innerhalb der EU gespeichert, greift das Schrems-II-Urteil des EuGH erst gar nicht. Nur derartige Umgebungen bieten hundertprozentige Sicherheit. Denn ohne Übermittlung von Daten an Drittländer erübrigen sich auch Zusatzbestimmungen.
2. Aktualisierung der sogenannten Standardvertragsklauseln (SCCs) der EU-Kommission für die Übermittlung personenbezogener Daten. Diese SCCs sind zwar nach dem Schrems-II-Urteil weiterhin gültig, allerdings nur, wenn der Empfängerstaat ein der EU gleichwertiges Schutzniveau bieten kann. Ist dies nicht der Fall, wie im Beispiel USA, müssen die SSCs durch wirksame Maßnahmen entsprechend der Datenschutzgrundverordnung (DSGVO) ergänzt werden. Welche Anforderungen diese Maßnahmen erfüllen müssen, hat die EU-Kommission im Juni 2021 definiert.

Autor: Constanze Fuchs ist Mitgesellschafter und Geschäftsführerin der Fuchs Pressedienst und Partner PartG, Königsbrunn, cf@fuchs-pressedienst.de

Fuchs Pressedienst und Partner ist spezialisiert auf die Presse- und Öffentlichkeitsarbeit für Unternehmen und Organisationen aus Wirtschaft, Kultur und Sport. Schwerpunkte sind u.a. internationales Content Marketing und Social Media Promotion.

Firmenkontakt
Fuchs Pressedienst und Partner
Constanze Fuchs
Narzissenstraße 3b
86343 Königsbrunn
08231-6093538
cf@fuchs-pressedienst.de
www.fuchs-pressedienst.de

Pressekontakt
Fuchs Pressedienst und Partner
Franz Fuchs
Narzissenstraße 3b
86343 Königsbrunn
08231-6093536
info@fuchs-pressedienst.de
www.fuchs-pressedienst.de

(Bildquelle: Enghouse Interactive)

Die Übermittlung personenbezogener Daten in Länder ausserhalb Europas steht auf dem Prüfstand. Der Grund: Datentransfers in sogenannte Drittländer müssen nach der Datenschutzgrundverordnung (DSGVO) gewährleisten, dass das sogenannte Datenschutzniveau im Zielland dem der EU gleichwertig ist. Das hat der Europäischen Gerichtshof (EuGH) im Schrems-II-Urteil, das seit Mitte Juli 2020 rechtskräftig ist, so entschieden. Die USA beispielsweise gelten als unsicheres Drittland, weil sie kein solches vom EuGH gefordertes Schutzniveau bieten.

Ruhe vor dem Sturm

Obwohl beim Verstoß gegen das EuGH-Urteil empfindliche Geldbußen von bis zu 20 Millionen Euro drohen, war bislang kaum Bewegung in der Angelegenheit zu spüren. Das scheint sich nun zu ändern. Die Datenschutzaufsichtsbehörden überprüfen seit Juni 2021 länderübergreifend die Umsetzung der DSGVO bzw. des Schrems-II-Urteils. Stichprobenartig werden Unternehmen in einer Fragebogenaktion (https://datenschutz-hamburg.de/pages/fragebogenaktion/) zu einer entsprechenden Stellungnahme aufgefordert.

EuGH: Schutzniveau ist entscheidend

Im Mittelpunkt der Fragebogenaktion stehen dabei die sogenannten Standardvertragsklauseln (SCCs), mit denen die EU-Kommission die Übermittlung personenbezogener Daten regelt. Diese SCCs sind zwar nach dem Schrems-II-Urteil weiterhin gültig, allerdings nur, wenn der Empfängerstaat ein der EU gleichwertiges Schutzniveau bieten kann. Ist dies nicht der Fall, wie im Beispiel USA, müssen die SCCs durch wirksame Maßnahmen entsprechend der Datenschutzgrundverordnung (DSGVO) ergänzt werden. Welche Anforderungen diese Maßnahmen (https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32021D0914&from=DE) erfüllen müssen, hat die EU-Kommission im Juni 2021 definiert.

Was Unternehmen jetzt tun sollten

Der Knackpunkt: Die reine Unterzeichnung, also ein Vertragsschluss, der neuen SCCs reicht nicht aus. Vielmehr müssen Unternehmen überzeugend darlegen, dass und welche technischen Maßnahmen ergriffen worden sind. Erst wenn diese Maßnahmen den neuen SCCs entsprechen, ist ein Datentransfer in Drittländer datenschutzkonform. Unternehmen, die dies nicht leisten, können laut EuGH die Einhaltung der DSGVO nicht garantieren und dürfen daher personenbezogene Daten nicht mehr auf Basis der alten SCCs in ein als unsicher geltendes Drittland übertragen.

– Unternehmen, die mit Dienstleistern in den USA personenbezogene Daten austauschen, ist dringend geraten, die neuen SCCs zu nutzen, um doppelten Aufwand zu vermeiden. Denn die alten SCCs verlieren ihre Wirksamkeit Ende Dezember 2022. Unternehmen können sich bei Datenübermittlungen in Drittländer wie den USA also spätestens 2023 nicht mehr auf die alten SCCs berufen.
– Eine der dringlichsten Maßnahmen ist das Risiko-Management. In erster Linie muss beantwortet werden, welche Technik eingesetzt wird und welche Daten betroffen sind.
– Unternehmen sollten Listen mit ihren Dienstleistern aus Drittländern erstellen und anhand von Fallkonstellationen prüfen, wie die SCCs ergänzt werden müssen. Sinnvoll dabei ist die Unterstützung durch einen externen Datenschutzbeauftragten, mit dem das Ergebnis dokumentiert wird.
– In jedem Fall sollte die Speicherung von Daten in Europa vereinbart werden. Kann ein Dienstleister dies nicht erfüllen, ist der Umstieg auf einen Dienstleister erwägenswert, der beispielsweise Softwareprodukte lokal installiert (On-premise) oder aber auf Cloud-Servern innerhalb der EU speichert.

Mit Enghouse UC auf Nummer sicher

Gemäß den amerikanischen Überwachungsgesetzen FISA-Act und Executive Order 12333 müssen US-Unternehmen personenbezogene Daten auch aus der EU an Nachrichtendienste weitergeben. Aktuell ist nicht davon auszugehen, dass die USA von dieser Praxis abweichen.
Um zu vermeiden, dass irgendwann ein Brief von einer Datenschutzbehörde mit einem Bußgeldbescheid in Millionenhöhe ins Haus flattert oder ein Rechtsanwalt vor der Tür steht, müssen EU-Unternehmen ihren Datentransfer in Drittländer entsprechend der DSGVO und dem Schrems-II-Urteil wie oben dargestellt datenschutzkonform gestalten.
Die Alternative sind Lösungen, bei denen ein Datentransfer in Drittländer überhaupt nicht stattfindet, weil alle Daten auf Servern innerhalb der EU gespeichert sind, wie dies beispielsweise bei Enghouse UC (https://enghouseinteractive.de/loesungen/enghouse-uc/) der Fall ist. Diese Kollaborations- und Video-Lösung kann lokal installiert (On-premise) oder auf Cloud-Servern in der EU gespeichert. Dies garantiert DSGVO- und Schrems-II-Konformität und damit größtmögliche Sicherheit im Umgang mit personenbezogenen Daten.

Enghouse Interactive (EI) ist ein weltweit führender Anbieter von Contact-Center- und Videolösungen, der seit über 35 Jahren Tausende von Kunden betreut. Die Lösungen von EI ermöglichen es Kunden, überzeugende Kundenerlebnisse zu liefern, indem sie das Contact Center von einer Kostenstelle in einen leistungsstarken Wachstumsmotor verwandeln. Enghouse Interactive hat Tausende von Kunden weltweit, um die sich ein globales Netz von Partnern und engagierte Mitarbeiter an 66 internationalen Standorten kümmert. Unter anderem an den deutschen Standorten Leipzig, München und Ahlen, im österreichischen Wien und im belgischen Temse.Enghouse Interactive ist die Tochtergesellschaft von Enghouse Systems Limited, einer Software- und Dienstleistungsgesellschaft, die an der Toronto-Börse (TSX) unter dem Symbol „ENGH“ notiert ist. Gegründet im Jahr 1984 ist Enghouse Systems ein nachhaltig profitables Unternehmen, das sowohl organisch als auch durch den Erwerb von hoch angesehenen Spezialisten einschließlich Andtek, Arc, CosmoCom, Datapulse, IAT, IT Sonix/Elsbeth, Presence Technology, Reitek, Safeharbor, Syntellect, Telrex, Trio, Voxtron, Survox, Zeacom und Vidyo gewachsen ist. Informationen: http://www.enghouseinteractive.de

Firmenkontakt
Enghouse AG
Judith Schuder
Neumarkt 29-33
04109 Leipzig
+49 341 33 97 55 61
judith.schuder@enghouse.com
https://www.enghouseinteractive.de

Pressekontakt
Fuchs Pressedienst und Partner
Franz Fuchs
Narzissenstr. 3b
86343 Königsbrunn
+49 8231 609 35 36
info@fuchs-pressedienst.de

Zielorientierte PR- und Pressearbeit ist der Rohstoff für den Erfolg

Die Videokonferenzlösung von Enghouse Interactive ist DSGVO-konform und bietet umfassende Datensicherheit.

(Bildquelle: Enghouse Interactive)

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Ulrich Kühn hat die Senatskanzlei der Freien und Hansestadt Hamburg vor dem geplanten Einsatz der Videokonferenzlösung Zoom gewarnt. Diese verstoße gegen die Datenschutz-Grundverordnung (DSGVO), da sie personenbezogene Daten in die USA übermittle.

Die Nachricht hatte eingeschlagen wie eine Bombe. Ulrich Kühn, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat die Senatskanzlei der Freien und Hansestadt Hamburg vor dem geplanten Einsatz der Videokonferenzlösung Zoom gewarnt. „Dies verstößt gegen die Datenschutz-Grundverordnung (DSGVO), da eine solche Nutzung mit der Übermittlung personenbezogener Daten in die USA verbunden ist“, argumentierte Kühn. Und in diesem Drittland, so der Datenschutzexperte, bestehe kein ausreichender Schutz für solche Daten.

Bezug auf Schrems-II-Urteil des EUGH

Ulrich beruft sich dabei auf das sogenannte Schrems-II-Urteil des Europäischen Gerichtshof (EuGH) vom 16. Juli 2020, demzufolge „das US-Recht kein Schutzniveau bietet, das dem in der EU im Wesentlichen gleichwertig ist“. Die Begründung des EuGH: Die nachrichtendienstlichen Erhebungsbefugnisse, die in den USA gelten, stehen den Anforderungen an den Schutz personenbezogener Daten, die sich in Europa aus der (DSGVO) ergeben, entgegen. „Die Daten von Behördenbeschäftigten und externen Gesprächsbeteiligten werden auf diese Weise der Gefahr einer anlasslosen staatlichen Massenüberwachung in den USA ausgesetzt“, so der Hamburgische Datenschutzbeauftragte.

Empfindliche Geldbußen bis zu 20 Millionen Euro

Das Schrems-II-Urteil des EuGH ist seit Juli 2020 rechtskräftig und hat weitreichende Folgen für viele Unternehmen. Denn personenbezogene Daten sind oft ungewollt und schneller als gedacht in ein Drittland übermittelt. Beispielsweise wenn bestimmte Programme, Cloud-Dienste oder natürlich auch Systeme für die Videokommunikation genutzt werden, die der geltenden Rechtsgrundlage des EuGH nicht entsprechen.

Für diesen Fall drohen empfindliche Geldbußen von bis zu 20 Millionen Euro. Um dies zu vermeiden, gibt es zwei Auswege:

1. Aktualisierung der sogenannten Standardvertragsklauseln (SCCs) der EU-Kommission für die Übermittlung personenbezogener Daten. Diese SCCs sind zwar nach dem Schrems-II-Urteil weiterhin gültig, allerdings nur, wenn der Empfängerstaat ein der EU gleichwertiges Schutzniveau bieten kann. Ist dies nicht der Fall, wie im Beispiel USA, müssen die SSCs durch wirksame Maßnahmen entsprechend der Datenschutzgrundverordnung (DSGVO) ergänzt werden. Welche Anforderungen diese Maßnahmen (https://ec.europa.eu/germany/news/20210604-datentransfers-eu_de) erfüllen müssen, hat die EU-Kommission im Juni 2021 definiert. Werden personenbezogene Daten in ein Drittland übermittelt, ohne dass die DSGVO-Anforderungen erfüllt sind, drohen o.g. Bußgelder.
2. Sind Softwareprodukte lokal installiert (On-premise) oder aber auf Cloud-Servern innerhalb der EU gespeichert, greift das Schrems-II-Urteil des EuGH erst gar nicht. Nur derartige Umgebungen bieten hundertprozentige Sicherheit. Denn ohne Übermittlung von Daten an Drittländer erübrigen sich auch Zusatzbestimmungen.

„Vidyo“ bietet umfassende Datensicherheit und ist DSGVO- und Schrems-II-konform

Eine solche Datensouveränität bietet „Vidyo“ von Enghouse Interactive. Diese Videokommunikations-Lösung kann sowohl On-premise genutzt werden oder aber in einer EU-Cloud. Bei Letzterer kann eine Speicherung aller genutzten Daten ausschließlich auf Servern innerhalb der Europäischen Union garantiert werden. Mit anderen Worten: „Vidyo“ ist DSGVO- und Schrems-II-konform (https://info.enghouseinteractive.com/16454EMEACEEDEFY21Q2WhitepaperVidyoConnect_2021-landing-page-template.html?utm_source=portale&utm_medium=blog&utm_campaign=schrems-II&utm_id=16454&utm_content=+wp).
Notwendigerweise wird der eine oder andere Anbieter zumindest versuchen, seine Lösungen dem EuGH-Urteil entsprechend anzupassen.
„Vidyo“ von Enghouse aber geht bereits jetzt komplett konform mit den Vorgaben der DSGVO. Mit dieser Videolösung haben Unternehmen ein Kollaborations-Tool an der Hand, das neben hocheffizienter Teamarbeit auch größtmögliche Sicherheit im Umgang mit personenbezogenen Daten garantiert. Beispielsweise, wenn es darum geht, das eigene Unternehmen im Zeitalter hybrider Arbeitsmodelle fit zu machen.

Ein eBook zum Thema hybride Arbeitswelt können Sie hier (https://info.enghouseinteractive.com/16509_EMEA_CEE_eBook_Culture_and_Technology_DE_.html?utm_source=portale&utm_medium=blogpost&utm_campaign=schrems-II&utm_id=16454&utm_content=+wp) runterladen.

Enghouse Interactive (EI) ist ein weltweit führender Anbieter von Contact-Center- und Videolösungen, der seit über 35 Jahren Tausende von Kunden betreut. Die Lösungen von EI ermöglichen es Kunden, überzeugende Kundenerlebnisse zu liefern, indem sie das Contact Center von einer Kostenstelle in einen leistungsstarken Wachstumsmotor verwandeln. Enghouse Interactive hat Tausende von Kunden weltweit, um die sich ein globales Netz von Partnern und engagierte Mitarbeiter an 66 internationalen Standorten kümmert. Unter anderem an den deutschen Standorten Leipzig, München und Ahlen, im österreichischen Wien und im belgischen Temse.Enghouse Interactive ist die Tochtergesellschaft von Enghouse Systems Limited, einer Software- und Dienstleistungsgesellschaft, die an der Toronto-Börse (TSX) unter dem Symbol „ENGH“ notiert ist. Gegründet im Jahr 1984 ist Enghouse Systems ein nachhaltig profitables Unternehmen, das sowohl organisch als auch durch den Erwerb von hoch angesehenen Spezialisten einschließlich Andtek, Arc, CosmoCom, Datapulse, IAT, IT Sonix/Elsbeth, Presence Technology, Reitek, Safeharbor, Syntellect, Telrex, Trio, Voxtron, Survox, Zeacom und Vidyo gewachsen ist. Informationen: http://www.enghouseinteractive.de

Firmenkontakt
Enghouse AG
Judith Schuder
Neumarkt 29-33
04109 Leipzig
+49 341 33 97 55 61
judith.schuder@enghouse.com
https://www.enghouseinteractive.de

Pressekontakt
Fuchs Pressedienst und Partner
Franz Fuchs
Narzissenstr. 3b
86343 Königsbrunn
+49 8231 609 35 36
info@fuchs-pressedienst.de

Zielorientierte PR- und Pressearbeit ist der Rohstoff für den Erfolg