Datenschutz ohne Privacy Shield: Was nun?

Nachdem der Europäische Gerichtshof das Privacy Shield-Abkommen zwischen der EU und den USA kassiert hat, sind Unternehmen verunsichert: Kommen Amazon, Microsoft, Google & Co. als Geschäftspartner damit überhaupt noch in Frage? Ja – vorausgesetzt, die Anwenderunternehmen berücksichtigen einige wichtige Punkte. Was gilt es zu beachten?

Ritter mit Rüstung, Schutzschild und Schwert vor hellem Hintergrund

Auf das richtige Rüstzeug kommt es an – vor allem beim Thema Datenschutz Bild © Rick Partington/EyeEm/Getty Images

Ende nach vier Jahren: Das Privacy Shield-Abkommen ist Geschichte, der Europäische Gerichtshof (EuGH) hat die Datenschutzvereinbarung zwischen den USA und der EU im Juli 2020 für ungültig erklärt. Sie hatte seit Juli 2016 den Schutz personenbezogener Daten geregelt, die aus einem EU-Mitgliedsstaat in die USA übertragen werden. Das Privacy Shield-Abkommen war seinerseits notwendig geworden, weil der EuGH im Oktober 2015 die bis dahin angewendete Safe Harbor-Entscheidung der EU-Kommission für ungültig erklärt hatte.

Dieses juristische Scharmützel auf höchster Ebene hat für Unternehmen erhebliche Auswirkungen: Einerseits müssen sie die europäischen Datenschutzgesetze befolgen, in Deutschland vor allem die DSGVO (Datenschutz-Grundverordnung). Andererseits steht plötzlich für den Datenaustausch mit den USA als wichtigstem Drittland kein eindeutiger Rechtsrahmen mehr zur Verfügung. Unternehmen, die sich bislang darauf verlassen haben, mit Privacy Shield-konformen Dienstleistern auf der sicheren Seite zu sein, fragen sich nun: Was tun?

 

Wettbewerbsfaktor Datenschutz

In den Mittelpunkt gerückt sind nun vor allem die sogenannten EU-Standardvertragsklauseln. Diese hat die EU für Vertragsbeziehungen mit Dienstleistern „ohne angemessenes Schutzniveau“ formuliert. Sie stellen das Mindestmaß dar, das Provider aus Drittländern erfüllen müssen. Dementsprechend sind sie zum Beispiel bei Microsoft Teil des „Datenschutznachtrag“ (DSN) für Professional Services. Mit diesem DSN sichert das Unternehmen zu, dass es die EU-Standards nicht nur in Europa, sondern weltweit einhält – also vor allem die EU-Standardvertragsklauseln und den Auftragsverarbeitungsvertrag.

Microsoft hat hier bewusst eine Vorreiterrolle übernommen, um sich durch ein garantiert hohes Datenschutzniveau gegenüber Mitbewerbern Wettbewerbsvorteile zu verschaffen. Das Motto lautet sinngemäß: Wir schaffen bereits Standards, während andere in Sachen Datenschutz noch einen langen Weg zurücklegen müssen. Teil dieser Strategie ist es auch, dass das Unternehmen mittlerweile die Daten eines Großteils der Microsoft 365-Dienste ausschließlich in Deutschland oder zumindest in der EU (Irland und Niederlande) verarbeitet. Beim Anlegen von Nutzerkonten lässt sich über die Geolocation-Funktion die jeweilige Datenverarbeitungsregion sogar eigenhändig einstellen. Allerdings müssen Anwender dabei jeden Microsoft-Dienst einzeln betrachten, denn einzelne Funktionen und Dienste kommen ohne den Datenumweg über die USA auch heute noch nicht aus.

Datenschutz – Um diese vier Datenkategorien geht es

  • Inhaltsdaten
    Alle von Anwendern erzeugten Daten in Text-, Ton-, Bild- oder Videodateien
  • Funktionsdaten
    Unverzichtbar für bestimmte Services der eingesetzten Programme, etwa den Lizenzabgleich oder die Authentifizierung von Nutzern
  • Diagnosedaten
    Entstehen während der Anwendung – der Dienstanbieter nutzt sie, um sein(e) Programm(e) sicher zu halten, Softwarefehler zu analysieren oder Produktverbesserungen vorzunehmen
  • Daten verbundener Dienste
    Cloudbasierte Funktionen, die den Nutzern erweiterte Features zur Verfügung stellen

Manuell zu mehr Datenschutz

Wer auf Nummer sicher gehen will, kann seine Daten auch komplett verschlüsseln. Die dafür nötigen Technologien und Funktionen stellen die großen Dienstleister zumeist standardmäßig zur Verfügung. Doch lassen sie sich diesen Service auch teuer bezahlen, sodass die meisten Kunden diesen Weg gar nicht oder nur für besonders sensible Daten gehen.

Unternehmen haben zudem Zugriff auf weitere Tools, die es ihnen ermöglichen, die einzelnen Umsetzungsschritte zur Einhaltung der DSGVO-Anforderungen im Blick zu behalten. So gehört etwa zum Administrationsportal von Microsoft 365 ein „DSGVO Compliance Manager“. Dort sind Funktionen hinterlegt, die die Software in ihrem Standard zwar nicht umsetzt, die Kunden aber eigenhändig realisieren können. Die Voraussetzung: Unternehmen können zwischen den verschiedenen Datenkategorien bewusst unterscheiden (siehe Infokasten 1) und dafür individuelle Regeln aufstellen (siehe Infokasten 2).

 

Begehrte Hilfe für den Mittelstand

Doch welche Regeln und Einstellungen sind für welches Unternehmen überhaupt sinnvoll? Was hat sich in der Praxis bewährt und was nicht? Gerade mittelständische Unternehmen verfügen nicht über die notwendigen Ressourcen, um solche Fragen fundiert und ohne größeren Aufwand zu beantworten. Deshalb steigt die Nachfrage nach anbieterunabhängigen Beratern, die die erfolgskritischen Punkte bereits aus anderen Projekten kennen. Vor allem ist es wichtig, externes Know-how schon frühzeitig einzubeziehen – nicht nur zwischen Hersteller und Kunden, sondern auch unternehmensintern – auch, weil die Berater bei Bedarf als Mediatoren helfen können.

Microsoft 365 – manuell zu mehr Datenschutz

Microsoft bietet zahlreiche (manuelle) Möglichkeiten, den Datenschutz bei der Nutzung des Office-Pakets zu verbessern (ab der ProPlus-Version 1904/April 2019). Was Sie nutzen sollten – und worauf Sie besser verzichten:

„Ausschalten“

  • Die Übermittlung von Diagnosedaten sollte auf die Stufe „keine“ gestellt werden.
  • Deaktivierung der optionalen Telemetriedaten
  • Deaktivierung von nicht unbedingt benötigten „Connected Experiences“, darunter 3D Maps, Office Store, Linkedin Resume Assistant, PowerPoint QuickStarter
  • Blockieren der Integration von LinkedIn-Accounts von Mitarbeitern
  • Bei der Nutzung der Microsoft 365 Webanwendungen berücksichtigten, dass die Einschränkung der Telemetriedaten nicht möglich ist

„Einschalten“

  • Verpflichtender Abschluss der EU-Standardvertragsklauseln, die in den Online Service Terms (OST) enthalten sind
  • Kunden-Lockbox für besonders sensible Dokumente nutzen, welche Daten kundenseitig verschlüsselt

Knirschen könnte es zum Beispiel zwischen IT-Abteilung und Betriebsrat beim Blick auf die Diagnosedaten. Diese möchten Betriebsräte in der Regel gerne blockieren, weil sie zwar größtenteils technische Daten aber durchaus auch sensible Mitarbeiterdaten enthalten können. In diesem Fall können externe Berater darlegen, wie sich Funktionsdaten mithilfe von Werkzeugen einfach untergliedern lassen: in Daten, die für die Funktionalität der Dienste wichtig sind. Und in Daten, die problemlos geblockt werden können. Auch hier gilt: Solche Einstellungen müssen Unternehmen manuell vornehmen, denn sie sind per Standardeinstellung nicht aktiviert.

 

Der nächste Richterspruch kommt bestimmt

Angesichts all dieser Einzelmaßnahmen sorgen externe Datenschutzspezialisten vor allem auch dafür, dass ein Unternehmen den Überblick auch jenseits technischer Maßnahmen nicht verliert. Dazu gehören Themen, die mit der Geschäftsführung, dem Betriebsrat, mit Juristen oder Datenschutzbeauftragten abgeklärt werden sollten. Auch Gespräche zwischen Kunde und Hersteller können Dritte oft leichter ermöglichen als der Kunde selbst. Als langjähriger Gold-Partner von Microsoft kann etwa q.beyond Türen öffnen, die Kunden oft verschlossen bleiben. Auch beim Aufbau einer Cloud-Policy können Berater von q.beyond Templates liefern und zusammen mit dem Kunden technische, prozessuale und organisatorische Leitlinien definieren. Und bei der konkreten Umsetzung der DSGVO unterstützt q.beyond mit einem mehrstufigen Leistungsportfolio – inklusive Workshops, Readiness Check, Implementierung und Postimplementation Check. Danach beginnt der Zyklus in Teilen wieder von vorne. Denn die nächste höchstrichterliche Entscheidung, neue Handelsgesetze oder einfach auch nur eine neue Microsoft 365-Version kommen bestimmt.

 

Weitere Beiträge rund um die Cloud:

  • mitteilen 
  • teilen 
  • teilen 
  • email hidden; JavaScript is required
Drucken

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Um die Diskussionsqualität zu wahren, veröffentlichen wir nur noch Kommentare mit nachvollziehbarem Vor- und Nachnamen sowie authentischer E-Mail-Adresse.