Generalanwalt des EUGH kippt Safe Harbour Abkommen

Moderator: Forum Moderatoren

Antworten
Meckelein
Beiträge: 164
Registriert: Samstag 2. August 2014, 09:14
9
Bedankt: 1 time

Generalanwalt des EUGH kippt Safe Harbour Abkommen

Beitrag von Meckelein »

So, mal wieder was von der Datenschutzfront. Soeben bei Heise gelesen, der Generalanwalt des EUGH hat im Verfahren "Max Schrems gegen Facebook Irland" das Safe Harbour abkommen mit der USA für ungültig erklärt. Damit ist noch kein Recht gesprochen, es muss noch der EUGH entscheiden. Da dieser aber meist den Empfehlungen ihres Generalanwaltes folgt, dürfte das Safe Harbour Abkommen damit Geschichte ein.

Nach europäischen Recht, dürfen Daten von Bürgern der EU nur dann in ein Drittland übermittelt werden, wenn sicher gestellt ist, dass im Drittland die Datenschutzvorschriften der EU eingehalten werden. Dies wurde im sog. "Safe Harbour" Abkommen zwischend er EU und den USA festgestellt. Daraus folgt, dass eine Datenweitergabe in die USA ab gleichlautendem Richterspruch des EUGH nicht mehr legal ist. Die konkreten Auswirkungen werden sich erst nach dem Richterspruch zeigen.

Zusätzlich arbeitet die EU bereits an einem neuen Abkommen zum Datenschutz mit den USA, welches das Safe Harbour ersetzen soll. Die Fragen die sich jetzt stellen ist, ob der EUGH das Safe Harbour komplett kippt oder für vorläufig gültig erklärt bis ein neues Abkommen fertig ist. Natürlich kann auch nach wie vor das Abkommen als gültig erklärt werden, wie gesagt der EUGH muss noch entscheiden.

Ich bin auf jeden Fall gespannt was passiert.
Benutzeravatar
EXEWERKER
Beiträge: 807
Registriert: Freitag 12. Februar 2010, 12:43
14
Wohnort: Leipzig
Hat sich bedankt: 1 time
Bedankt: 3 times

Re: Generalanwalt des EUGH kippt Safe Harbour Abkommen

Beitrag von EXEWERKER »

Ich finde das richtig gut. So können Microsoft, Amazon, IBM, DELL und HP im Cloudcomputermarkt quasi keinerlei Kunden in Deutschland akquirieren, ohne dass sich der Kunde (mit Personendaten) strafbar macht. Gut für uns, als zertifiziertem Rechenzentrum "100%ig Made in Deutschland". Danke.
EX EWERKER :-)
Macros
Beiträge: 284
Registriert: Mittwoch 22. Oktober 2014, 10:25
9
Bedankt: 1 time

Re: Generalanwalt des EUGH kippt Safe Harbour Abkommen

Beitrag von Macros »

EWERKER hat geschrieben:Ich finde das richtig gut. So können Microsoft, Amazon, IBM, DELL und HP im Cloudcomputermarkt quasi keinerlei Kunden in Deutschland akquirieren, ohne dass sich der Kunde (mit Personendaten) strafbar macht. Gut für uns, als zertifiziertem Rechenzentrum "100%ig Made in Deutschland". Danke.
Zumindest Microsoft kann das.
Einfach Zone EU auswählen und Yammer nicht aktivieren, schon bleiben die Daten in der EU.

Die Rechenzentren stehen dann immer in der EU (momentan Irland / Niederlande / Schweden)
Benutzeravatar
EXEWERKER
Beiträge: 807
Registriert: Freitag 12. Februar 2010, 12:43
14
Wohnort: Leipzig
Hat sich bedankt: 1 time
Bedankt: 3 times

Re: Generalanwalt des EUGH kippt Safe Harbour Abkommen

Beitrag von EXEWERKER »

Die Daten sind dann in der EU. Aber da Microsoft Ireland eine Tochter des US-Mutterkonzerns ist, sind sie verpflichtet im "Bedarfsfall" Daten an US Behörden herauszugeben. Dies verstößt aber gegen deutsches Recht. Sie wehren sich ja selbst, weil keiner mehr Geschäfte mit MS machen will, aber leider klappt das nicht so richtig: http://www.spiegel.de/netzwelt/netzpoli ... 83921.html
EX EWERKER :-)
Benutzeravatar
EXEWERKER
Beiträge: 807
Registriert: Freitag 12. Februar 2010, 12:43
14
Wohnort: Leipzig
Hat sich bedankt: 1 time
Bedankt: 3 times

Re: Generalanwalt des EUGH kippt Safe Harbour Abkommen

Beitrag von EXEWERKER »

Die Daten sind dann in der EU. Aber da Microsoft Ireland eine Tochter des US-Mutterkonzerns ist, sind sie verpflichtet im "Bedarfsfall" Daten an US Behörden herauszugeben. Dies verstößt aber gegen deutsches Recht. Sie wehren sich ja selbst, weil keiner mehr Geschäfte mit MS machen will, aber leider klappt das nicht so richtig: http://www.spiegel.de/netzwelt/netzpoli ... 83921.html
EX EWERKER :-)
Meckelein
Beiträge: 164
Registriert: Samstag 2. August 2014, 09:14
9
Bedankt: 1 time

Re: Generalanwalt des EUGH kippt Safe Harbour Abkommen

Beitrag von Meckelein »

Jede Firma die Ihren Hauptsitz oder einen Nebensitz in den USA hat, bzw. Geschäfte mit Amerikanern in Amerika direkt macht, ist verpflichtet, den amerikanischen Geheimdiensten auf verlangen sämtliche Daten auszuhändigen. Die Grundlage hierfür wird durch verschiedenste Gesetze geschaffen, die nach 9/11 erstellt wurden. Dabei ist es egal ob die Daten physikalisch in Amerika liegen oder nicht. Im Bezug auf die Microsoft Cloud bedeutet dies, eine komplette Offenlegung aller darin enthaltenen Daten, da M$ eine amerikanische Firma ist. Gleiches gilt für Amazon, Google, Apple usw. Anders als in Deutschland dürfen die "Kunden" nicht darüber aufgeklärt werden, dass die Daten an Geheimdienste weiter geleitet wurden. Alleine die Mitteilung, dass man von den Geheimdiensten aufgefordert wurde die Daten Preis zu geben, ist schon unter Gefängnisstrafe gestellt. Das wäre nochmal etwas ausführlicher das gleiche was ewerker bereits sagte.

Da es bei den Ärzten eh um besonders schützenswerte personenbezogene Daten geht, die auch nicht durch das Safe Harbour abkommen geschützt sind, war die Weitergabe dieser Daten ausserhalb der Grenzen der EU bisher schon illegal. Meine Überlegungen gehen in viel tiefgreifendere Richtungen als nur Cloud Computing. Sollte der EUGH das Safe Harbour Abkommen wirklich direkt kippen, denke ich zu allererst an z.B. Siri, Cortana oder den Google Sprachassistenten. Alle Daten dieser Sprachsteuerungen werden auf den Servern des jeweiligen Anbieters ausgewertet, das wäre dann wohl erstmal vorbei. Gleiches gilt für Skype oder Office 365 von M$, wobei ich mir hier erst nochmal genau anschauen müsste was an Daten wirklich übermittelt wird. Auch die Datenflut von Windows 10 sollte danach komplett illegal sein. Da sämtliche Datenübermittlung in Drittstaaten nach den europäischen Gesetzen nur dann erlaubt ist, wenn im Drittsaat die gleichen Datenschutzgesetze vorhanden sind wie in der EU.

Viel interessanter ist aber, wie wird die Wirtschaft und die EU damit umgehen. Werden schnell Ausnahmen für Amerika erlassen, gegen die man wieder Klagen muss? Das wäre zumindest der Fall der mir am ehesten vorschwebt. Es bedeutet einen enormen Verlust für die Unternehmen, wenn plötzlich Daten nicht mehr weiter geleitet werden können. Daher denke ich, dass die EU alles daran setzt den Zeitraum irgendwie zu überbrücken, bis das neue Abkommen ausgehandelt ist. Auch dieses wird vermutlich nicht die Datenschutzvorgaben der EU einhalten, aber das ist ja erstmal egal, weil man kann ja dagegen Klagen und das dauert halt dann wieder 3 Jahre bis der EUGH auch das neue Abkommen kippt.

Dies ist meine bescheidene Meinung.
Meckelein
Beiträge: 164
Registriert: Samstag 2. August 2014, 09:14
9
Bedankt: 1 time

Re: Generalanwalt des EUGH kippt Safe Harbour Abkommen

Beitrag von Meckelein »

So, seit 09:30 ist es offiziell, das Safe Harbour Abkommen zwischen der EU und den USA wurde vom Europäischen Gerichtshof gekippt Meldung bei Heise.

Was bedeutet dies jetzt?

Erst nochmal die grundsätzliche Struktur. Das europäische Recht verbietet die Datenweitergabe an Institutionen ausserhalb der EU. Ausnahmen gibt es, wenn dort die gleichen Datenschutzrechte eingehalten werden wie in der EU selber. Dies wurde schriftlich durch das sog. "Safe Harbour" Abkommen mit den USA bestätigt. Hierdurch konnten Daten in die USA exportiert werden, ohne gegen europäisches Recht zu verstossen.

Mit Urteilsverkündung vom 06.10.2015 um 09:30 hat der Europäische Gerichtshof dieses Abkommen für ungültig erklärt. Dies hat jetzt zur Folge, dass keine Daten mehr, Aufgrund des Safe Harbour Abkommens nach Amerika exportiert werden dürfen, da dort nicht die gleichen Datenschutzrechte wie in der EU gelten. Ab diesem Zeitpunkt stecken Firmen wie Microsoft, Facebook, Apple, Google, Visa, Mastercard uvm. die ihre in der EU gesammelten Daten nach Amerika exportieren in einer Zwickmühle. Nach europäischen Recht dürfen sie die Daten nicht mehr exportieren, nach amerikanischen Recht, müssen sie den Behörden, bei Anfrage, einen vollständigen Zugriff auf die Daten gewähren, auch auf die die ausserhalb von Amerika gespeichert sind. Sie können sich also entscheiden ob sie gegen amerikanisches oder europäisches Recht verstossen.

Die Zeit wird zeigen was genau passiert und wie die Firmen sich verhalten. Auch wird es interessant sein wie schnell jetzt ein neues Abkommen zwischen der EU und den USA ausgehandelt wird und auf welcher rechtlichen Grundlage dieses beruht. Vorerst werden aber alle beteiligten Institutionen das schriftliche Urteil des Europäischen Gerichtshofes abwarten.

Was für Auswirkungen hat das für einen selber?

Man selber wird erstmal nichts zu befürchten haben, da man ja keine Daten wissentlich exportiert. Dazu muss aber auch gesagt werden, jeder der Cloud Speicherdienste wie Dropbox, Apple Cloud oder Amazon Cloud verwendet sollte sich schonmal darauf vorbereiten diese zu überprüfen. Eine schriftliche Bestätigung, dass keine Daten ausserhalb der EU gespeichert oder verarbeitet werden, wäre ein erster Schritt. Besser wäre es wohl, diese Dienste nicht mehr zu verwenden. Ich selber bin schon vor längerer Zeit auf eine owncloud gewechselt die auf einem von mir angemieteten root Server liegt. Dies aber nur für meine persönlichen Daten. Die Backups der von mir betreuten Ärzte werden nach wie vor nur verschlüsselt in der Praxis bzw. auf externen Datenträgern aufbewahrt. Da alles andere Probleme mit dem deutschen Datenschutzrecht, im Bezug auf besonders schützenswerte persönliche Daten, macht.

Und in Zukunft?

Ich habe für mich entschieden, erstmal die nächsten Tage abzuwarten und zu schauen, was schlauere Köpfe dazu zu sagen haben. Das heisst also erstmal viel lesen und informieren.
Punkte die mir aktuell einfallen, sind Windows 10, Apple Siri, Google Sprachassisten. Die Verarbeitung der Eingaben erfolgt hierbei nämlich auf den Servern der Anbieter und nicht, wie viele denken, auf den Geräten des Besitzers. Da diese in meinen Praxen verboten sind, bzw. nur in einem gesondert gesicherter Subnetz laufen dürfen, macht mir das erstmal keine Probleme.
Microsoft Office wurde schon seit jeher durch OpenOffice/LibreOffice ersetzt, da weiss ich wenigstens wie mit den Daten umgegangen wird.
Bei Turbomed selber gehe ich davon aus, dass CGM keine Daten ausserhalb der EU übermittelt, fraglich sind momentan die Werbeeinblendungen, da ich nicht weiss wo genau die her kommen.
Cloud Prüfungen die in manchen Virenscanner drinnen sind wurden von jeher abgeschaltet. Hierbei werden die Daten in eine spezielle Cloud des Herstellers übermittelt und dort geprüft.

Dies sind nur ein paar erste Gedanken. Freuen würde ich mich über weitere Infos von anderen IT-lern über ihren Umgang mit den aktuellen Veränderungen.
Benutzeravatar
EXEWERKER
Beiträge: 807
Registriert: Freitag 12. Februar 2010, 12:43
14
Wohnort: Leipzig
Hat sich bedankt: 1 time
Bedankt: 3 times

Re: Generalanwalt des EUGH kippt Safe Harbour Abkommen

Beitrag von EXEWERKER »

Für einen nach allen Regeln des TÜVs zertifizierten Rechenzentrumsbetreiber mit Sitz und Niederlassung in Deutschland, ist dies die beste Nachricht des Jahres. Es stellt klar: Es ist illegal Personendaten auf Servern von Amazon, Microsoft und Co. abzulegen. Einige werden dies natürlich weiter bestreiten. Das "unehrliche" Safe Habour Abkommen schwebte immer als Damoklesschwert über Anbietern nach deutschem Datenschutzrecht. Bis auf die Kircheneinrichtungen gibt es nun verbindliche Sicherheit nach BDSG. Die Kirche glaubt ja, über dem deutschen Recht zu stehen, daher halten sie sich nicht an das Gesetz, sondern haben eigene Vorschriften erfunden. Dies betrifft übrigens ganz viele medizinische Einrichtungen mit kirchlichem Träger.

Hier steht es ganz gut: Ohne Einwilligung keine Nutzung eines "Drittlandes", zumindest was Personendaten betrifft: http://www.heise.de/newsticker/meldung/ ... 37700.html
EX EWERKER :-)
McLeod
Beiträge: 412
Registriert: Samstag 25. Februar 2012, 15:04
12
Bedankt: 13 times

Re: Generalanwalt des EUGH kippt Safe Harbour Abkommen

Beitrag von McLeod »

Oh Mann. da hört ja jemand schon gewaltig die Euro-Scheinchen rieseln... :-)

Aber ob jetzt der BND im Auftrag der Uckermark-Perle oder die "pöhse" NSA schützenswerte Daten abschnorcheln, ist faktisch auch schon vollkommen egal.
Wobei ich glaube, daß die Amerikaner deutsche Krankendaten weitaus weniger interessieren, als so manche korruptistanischen (äh, Verzeihung, deutschen) -nennen wir sie mal- "Stakeholder".

Besonders schützenswerte Daten haben absolut nichts in einem beliebigen Rechenzentrum eines beliebigen -wie auch immer zertifizierten- dritten Dienstleisters verloren. Und nur das Gesetze hingebogen werden, damit's nicht illegal ist (man vergleiche z.B. die Lachnummer De-Mail) , heißt noch lange nicht, daß ein solches "mutwilliges aus der Hand geben" unterstützenswert oder gar zu begrüßen wäre.
Man kann nur hoffen, das der Klaut-Wahn langsam mal vorbei geht und "eigene Datenhaltung" wieder als Qualitätsmerkmal statt bemitleidenswerter Rückständigkeit wahrgenommen wird.
Ich persönlich würde z.B. zu keinem Steuerberater gehen, der meine Daten in der Datev-Cloud lagert...
Benutzeravatar
EXEWERKER
Beiträge: 807
Registriert: Freitag 12. Februar 2010, 12:43
14
Wohnort: Leipzig
Hat sich bedankt: 1 time
Bedankt: 3 times

Re: Generalanwalt des EUGH kippt Safe Harbour Abkommen

Beitrag von EXEWERKER »

Eine grundsätzliche Zurückhaltung gegenüber Cloud-Services ist nicht geboten. Die Widerstände in der Literatur (gerade in medizinischen Fachzeitschriften) beruhen auf dem Erklärungsirrtum, dass Clouds immer öffentlich und damit potenziell unsicher sind. Cloudcomputing im Sinne von IaaS ist für eine größere Arztpraxis oder MVZ sehr sinnvoll. Innerhalb einer Private Cloud bietet IaaS hervorragende Möglichkeiten, die eigenen ITServices zu professionalisieren, dabei sogar die Sicherheit zu erhöhen und gleichzeitig wirtschaftliche Vorteile zu erzielen. Hürden des Datenschutzes oder rechtliche Probleme sind zwar vielfältig vorhanden, aber mittlerweile gelöst. Für Unternehmen, die mit personenbezogenen Daten arbeiten, ist der Sicherheitsaspekt ein entscheidendes Kriterium. Kranken- und Sozialdaten sind besonders schutzwürdig, für sie gelten besonders strenge Bestimmungen und Haftungsrisiken, die meisten Praxen verstoßen im besonderen Maße in Ihren eigenen Räumen dagegen. Möchten niedergelassene Einrichtungen im medizinischen Bereich ihre maßgeblichen IT-Geschäftsprozesse und Patientendaten mit den genannten Vorteilen der Cloud-Technologien verarbeiten lassen, kommt aus Sicherheitsgründen nur eine Private Cloud infrage. Diese sind um ein Vielfaches sicherer als die eigene IT, in allen Aspekten. Dies wurde mehrfach untersucht. Von Performance und Verfügbarkeit will ich noch gar nicht sprechen, da sieht es noch düsterer aus in der "Selbstdatenhaltung".

Außerdem ist es lebensfremd cloudbasierte Datenspeicherung generell abzulehnen. Sie hätten weder Strom noch Wasser, keine EC Karte, kein Banking und keinerlei Geldautomaten, keine Feuerwehr, keine Polizei, kein Rettungsdienst, keine Zeitung, keine Versicherung.

Jede Datev-Cloud ist besser vor Fremdzugriff geschützt, als die Besenkammer des Steuerberaters mit Fritzbox und 10 Euro Schloss als "Schutzsystem".
EX EWERKER :-)
Meckelein
Beiträge: 164
Registriert: Samstag 2. August 2014, 09:14
9
Bedankt: 1 time

Re: Generalanwalt des EUGH kippt Safe Harbour Abkommen

Beitrag von Meckelein »

ewerker, das liesst sich jetzt am Anfang wie aus einem Werbeprospekt kopiert, nichts für ungut :)

Ich stimme Ihrer Aussage vollkommen zu. Cloud Computing wird seit über 30 Jahren praktiziert und ist, bei professioneller Anwendung, eine der sichersten Sachen überhaupt. Es kommt halt immer auf den Anbieter der Cloud drauf an. Die von mir genannten Beispiele der großen Firmen wie Amazon, Apple usw. würde ich nichtmal meinen Einkaufszettel von vor 3 Jahren anvertrauen. Hingegen einem Anbieter bei dem mir durch dritte die Sicherheit bescheinigt wird, würde ich für größere Sachen, meiner eigenen Cloud jederzeit vorziehen. Eine Einschränkung muss ich noch machen, ich bin kein Freund von Iaas. Für mich überwiegen bei diesem Ansatz die Nachteile. Auch haben wir in Deutschland noch immer das Problem der Bandbreite. Es ist sehr schwer bis unmöglich ein komplettes IaaS über eine 16 MBit Leitung laufen zu lassen und in vielen, gerade ländlichen, Gebieten ist noch nicht mal an so eine Bandbreite zu denken. Daran ändert auch nichts, dass die Pastorentochter aus der Uckermark für 2020 50 MBit flächendeckend haben will.

Ach ja, die "30 Jahre" weiter oben sind kein Schreibfehler von mir. Cloud Computing ist schlichtweg die Bereitstellung von Speicherplatz und Rechenzeit auf einem System welches jederzeit von überall angesprochen werden kann. Darunter fallen für mich eben auch die Supercomputer aus dem wissenschaftlichen Bereich, welche schon anno dazumal weltweit verteilt Berechnungen durchgeführt haben. Des weiteren kann man schon seit sehr langer Zeit z.B. per FTP seine Daten auf einem Rechner ausserhalb seiner eigenen vier Räume speichern. Das einzige was sich in den letzten Jahren geändert hat ist die Verfügbarkeit und dass es einfacher geworden ist verschiedenste Prozesse auszulagern.
Benutzeravatar
EXEWERKER
Beiträge: 807
Registriert: Freitag 12. Februar 2010, 12:43
14
Wohnort: Leipzig
Hat sich bedankt: 1 time
Bedankt: 3 times

Re: Generalanwalt des EUGH kippt Safe Harbour Abkommen

Beitrag von EXEWERKER »

Gut erkannt. Der obige Text war tatsächlich aus einer Veröffentlichung herausgeklaut. Allerdings aus einer eigenen.....Ich hätte es als Eigenzitat kennzeichnen müssen, aber ich schreibe ja hier keine Doktorarbeit. :-)
EX EWERKER :-)
Antworten

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 26 Gäste