Nichts verstanden...

Die US-Unternehmen haben nichts verstanden. Ok, zugegeben, Datenschutz verstehen US-Unternehmen schon vom Grundsatz her nicht, da es keinen Datenschutz in den USA gibt. Zudem kämpfen die US-Unternehmen um Ihren Marktstellung in der EU, deren Geschäftsgrundlage nun ggf. entzogen wurde.
Tatsache ist, dass der EuGH festgestellt hat, dass ein Datentransfer in die USA den in der EU geltenen Grundrechten der EU-Bürger berücksichtigen muss. Insbesondere, dass Behörden nicht nach 'billigem Ermessen' personenbezogene Daten von Unternehmen einsehen können ohne richterliche Anweisung und ohne, dass die Betroffenen informiert werden. Und jedes US-Unternehmen - egal welche Vertragsbasis zugrunde gelegt wird - unterliegt dem US Patriot Act, der - wie der EuGH festgestellt hat - diesen Grundrechten in der EU widerspricht.
Daher ist völlig klar, dass keine Daten, die bei einem US-Unternehmen gespeichert werden, egal ob in der EU oder außerhalb, nicht vor der US-behördlichen Willkür sicher sind und daher unzulässig sind, wenn Daten von EU-Bürgern gespeichert werden.
Rechtlich sind damit die von den US-Unternehmen genannten Verträge 'schwebend' unwirksam. Es wäre sehr fahrlässig von EU-Unternehmen, sich auf die Zulässigkeit dieser Verträge bzw. den Aussagen der US-Unternehmen zu verlassen.

Soweit ich das verstanden habe, ist das nicht ganz so allgemein, wie du es darstellst.
Daten zur Vertragserfüllung (Rechnung) sind zwar auch psbz., deren Verarbeitung ist aber zu diesem Zeitpunkt (noch) rechtskonform.

Stimmt, man muss zunächst unterscheiden: Werden entweder Daten von einem Endkunden bei einem US-Tochterunternehmen in der EU originär gespeichert (z.B. weil man direkt ein Office Abo bei Microsoft Irland/Deutschland gekauft hat) oder ob man als EU-Unternehmen Kundendaten erhalten hat, die man extern verarbeiten/speichern lassen möchte (z.B. in einem Microsoft- oder Google-Cloud-Dienst).
In beiden Fällen darf das US-Unternehmen die Kundendaten nicht auf Verlangen von US-Behörden in die USA transferieren. Der Unterschied ist, dass ein beauftragendes EU-Unternehmen nach dem Datenschutzgesetz und den Grundsatzentscheidung des EuGH zuvor prüfen und sicherstellen muss, dass die Datenschutzrechte der EU-Kunden bei der externen Verarbeitung/Speicherung gewahrt bleiben - und insbesondere geschützt ist vor Einsichtnahme von Behörden nach 'billigem Ermessen'. Und dies ist nun für jedes EU-Unternehmen unmöglich, da grundsätzlich jedes US-Unternehmen dem US Patriot Act unterliegt und eben auf Verlangen die Daten herausgeben muss. Und das unabhängig davon, ob die daten in der EU oder in den USA gespeichert werden.

Ein US-Tochterunternehmen in der EU kann also auch weiterhin Rechnungsdaten seiner Kunden speichern und verarbeiten, aber es ist rechtlich praktisch nicht mehr möglich, Dienstleistungen (Speicherung/Verarbeitung) für andere EU-Unternehmen anzubieten, wenn personenbezogene Daten von EU-Bürgern betroffen sind.
Die Cloud-Angebote von US-Unternehmen in der EU laufen nun damit in den meisten Fällen (wenn Kundendaten betroffen sind, was wohl häufig der Fall sein dürfte) ins Leere.

> Der Unterschied ist,
> dass ein beauftragendes EU-Unternehmen nach dem Datenschutzgesetz und den
> Grundsatzentscheidung des EuGH zuvor prüfen und sicherstellen muss, dass
> die Datenschutzrechte der EU-Kunden bei der externen
> Verarbeitung/Speicherung gewahrt bleiben - und insbesondere geschützt ist
> vor Einsichtnahme von Behörden nach 'billigem Ermessen'. Und dies ist nun
> für jedes EU-Unternehmen unmöglich, da grundsätzlich jedes US-Unternehmen
> dem US Patriot Act unterliegt und eben auf Verlangen die Daten herausgeben
> muss. Und das unabhängig davon, ob die daten in der EU oder in den USA
> gespeichert werden.
>
Insbesondere muss ein "beauftragendes Unternehmen", einen Vertrag zur Auftragsdatenverarbeitung (ADV, § 11 BDSG) schließen.

Ich zitiere mal:
...
(2)Der Auftragnehmer ist unter besonderer
Berücksichtigung der Eignung der von ihm
getroffenen technischen und organisatori-
schen Maßnahmen sorgfältig auszuwählen.
...
Das allein scheint mir nach diesem Urteil unmöglich mit einem zweiten Unternehmen, was pbzg. Daten in den USA verarbeitet.

Hinweis: Die bezeichneten "technischen und organisatorischen Maßnahmen" sind übrigens keine "Worthülse" sondern im Anhang zu § 9 BDSG detailliert beschrieben.

Vollkommen richtig!
Die Verpflichtung, einen entsprechenden Vertrag nach BDSG §11 Abs. 2 abzuschließen, galt übrigens auch schon bisher, wenn man sich auf Safe Harbor berufen hat. Dort folgt die Verpflichtung aus den FAQ 10 zu Safe Harbor.
Die Datenschutzbeauftragten des Bundes, der Länder und der Düsseldorfer Kreis haben dazu u.a. mitgeteilt:

"Zu beachten ist, dass auch eine gültige Safe-Harbor-Zertifizierung des Cloud-
Anbieters (und ggf. des Unter-Anbieters) den Cloud-Anwender nicht von dem Erfordernis befreit, schriftliche Vereinbarungen entsprechend § 11 Abs. 2 BDSG zu treffen. Auch in der Antwort zu FAQ 10 zu den Safe-Harbor-Grundsätzen wird klargestellt, dass vertragliche Regelungen entsprechend dem nationalen Datenschutzrecht des Datenexporteurs durch die Safe-Harbor-Zertifizierung nicht entbehrlich werden."

Quelle: S. 17 unten in:
https://www.datenschutz-bayern.de/technik/orient/oh_cloud.pdf

Hat aber leider kaum einen in Deutschland/EU interessiert. Im übrigen haben es die US Unternehmen abgelehnt, einen solchen Vertrag abzuschließen. Habe selbst mal bei einigen angefragt...

tja anspruch und realität.

das problem ist doch dass es nur datenschutz beauftragte der länder und des bundes gibt, das sind regierungs marionetten oder besten falls zahnlose tiger, es ist keine unabhängige organisation mit behördenstatus, die das thema gemäß der gesetzgebung angreifen könnte, die verewarnungen die diese hampelmänner ausprechen können getrost ignoriert werden, und die verwarngelder sind maximal symbolische witze.

ein schlechter witz, genau so ist es um den schutz der daten der bürger und unternehmen dieser repulik bestellt, datenhehler und überboardende dienste egal von wo her haben garnichts zu befürchten, denn es gibt niemanden der sie verfolgen und anklagen könnte, weder technisch noch personell noch von dern befugnissen her.



1 mal bearbeitet, zuletzt am 17.10.15 15:44 durch Moe479.

Moe479 schrieb:
--------------------------------------------------------------------------------
>
> das problem ist doch dass es nur datenschutz beauftragte der länder und des
> bundes gibt, das sind regierungs marionetten oder besten falls zahnlose
> tiger, es ist keine unabhängige organisation mit behördenstatus, die das
> thema gemäß der gesetzgebung angreifen könnte, die verewarnungen die diese
> hampelmänner ausprechen können getrost ignoriert werden, und die
> verwarngelder sind maximal symbolische witze.
>
Das scheint mir doch ein wenig oberflächlich. Etwas mehr Belege und weniger Stammtischparolen scheinen aus meiner Sicht der Sache eher gerecht zu werden. Zunächst empfehle ich § 43 und § 44 BDSG als Lektüre. Das könnte schon mal erhellend sein. Weiterhin braucht es in der Regel jemanden, der den Hinweis gibt. (Zitat § 44 Abs. 2 "Die Tat wird nur auf Antrag verfolgt.")
Hier:
http://users.minet.uni-jena.de/~nez/IuG200910/10.Ausspaehung%20von%20Mitarbeitern%20bei%20Lidl,%20Daimler,%20Bahn%20und%20Telekom.Bieker+Keupp+Wedekind.pdf
gäbe es dann noch eine detailliertere Auflistung der "Störfälle" aus der man entnehmen kann, dass Bußgelder und Konsequenzen durchaus erheblich sein können, insbesondere auch für den Einzelnen.

Ich denke mal dass man ohne Jurastudium sagen kann, dass sich in den letzten ca. 12 bis 15 Jahren eine "Industrie" aufgebaut hat, deren Verdienstprinzip konträr zu unseren Bürgerrechten funktioniert, und die nur deshalb so floriert, weil sich der Gesetzgeber bis heute in keinster Weise um die Wahrung der Privatsphäre der Bürger gekümmert hat. Ca. 4500 US Unternehmen und unzählige Europäische Vermitlierbetriebe. Neben Google war IMHO Steam und später natürlich Apple im Mobilbereich einer der großen Wegbereiter.

Würde man nicht Eingreifen, bin ich mir sicher, die Unternehmen würden sich gegenseitig in immer extremere Datenanalysen und Observierungsmethoden steigern. Die Konkurrenz würde sie dazu nötigen, und was sollte sie dann davon abhalten, Moral? MS's W10 Methoden schreien doch geradezu nach einer Antwort seitens Amazon und Google. Nvidias Experience Software oder auch Razers Hardwarebindungen führen der Hardwareindustrie in vorbildlicher Weise die Schaffung einer zweite Verdienstquelle vor, am Horizont wartet bereits die Autoindustrie(Tesla), und um dem Ganzen die Krone aufzusetzen: das Internet der Dinge.

Der EuHG hat mit der Nichtigkeitserklärung des Safe Habor Abkommens dem fahrendem Zug erst mal einen Bremsklotz vor die Räder geworfen. Im Sinne der Bürgerrechte würde diese "Industrie" wie sie sich nennt, zwar nicht aus der Welt geschafft, aber sehr extrem eingebremst. Vielleicht erinnert sich der ein oder andere noch daran wie Google angefangen hat. Googles Suchmaschine feierte ihren Durchbruch als eine Art Rangliste der meistaufgerufenen Internetseiten. Das selber hat ja eigentlich nichts mit dem Aushebeln von Privatheit zu tun. Auch würde die Werbung im Netz natürlich nicht aussterben, nur eben nicht mehr personalisiert, was ich persönlich vollkommen in Ordnung fände und ich stehe da bestimmt nicht allein. Wenn sich trotzdem jemand für Marktstudien bereit stellen wollte, dann könnte er das ja immer noch tun, aber dann in einem sicheren und transparenten Rechtsrahmen, bei dem auch sichergestellt ist, dass ein Unternehmen eine solche Kundenöffnung nicht mehr als Einstiegsbedingung für die eigene Produkte missbraucht und nur als jederzeit abwählbare Ausnahmevereinbarung. Das wird zwar einigen wehtun, aber irgendwie wird doch jedem der logisch denkt klar sein, dass es eine Grenze geben muss, eine gesetzliche Grenze die dann aber auch hammerhart und knallhart gegen Missbrauch aktiv wird, sonst ziehen sich Staat und Bürger eine Industrie heran, die sich in ihrem Treiben gnadenlos über jede Gesetzgebung hinwegsetzt, sonst war das nur der Anfang.