Nachfolger der alten „Safe Harbor“-Vereinbarung.
Vorstellung des CLOUD Acts, im Kontext mit der DSGVO ein sehr wichtiges Thema, zumindest für alle die wider jede Vernunft Dienste in den USA und anderen Drittstaaten nutzen.
Das Abkommen war als Nachfolger des Save-Harbor-Abkommen am 12. Juli 2016 in Kraft getreten.
Das Europäische Parlament hat am 6. April 2017 eine kritische Resolution zum Privacy Shield angenommen. Die Mehrheit des Parlaments stellte darin erhebliche Defizite beim Datenschutz fest und hält die Überwachungspraxis in den USA mit EU-Recht für nicht vereinbar.
Im Januar 2018 bestätigt zdnet.de (22.01.2018) diesen unveränderten Stand
Nach der Unsicherheit bei Privacy Shield (im Sinne eines Angemessenheitsbeschlusses der EU-Kommission) sind nun die Standarddatenschutzklauseln als geeignete Garantie in Frage gestellt. Bei Privacy Shield gibt es laut EU-Kommission Verbesserungsbedarf, die Entscheidung des EuGH zu den Standardvertragsklauseln steht aus.(…)
Diesbezügliche Entscheidungen, wie z.B. eine Aufkündigung oder Nachbesserung des Abkommen sind derzeit, sowohl inhaltlich als auch terminlich völlig offen. (06/2018)
Der Logik entsprechend ganz klare Empfehlung:
Keine Dienste mit Serverstandort in den USA nutzen!
Sollten jemand im geschäftlichen Umfeld – wider jede Vernunft – mit einem Anbieter in den USA zusammenarbeiten, ist zu prüfen ob dieser wenigstens über das erforderliche Zertifikat verfügt.
Dies ist über die Liste des US-Handelsministeriums zu überprüfen.
http://www.privacyshield.gov/list
Bitte auf jeden Fall lesen…
…ab besten zweimal – nachstehend zwei kurze Zitate hieraus.
Vorstellung des CLOUD Acts
Letzten Freitag (23.03.2018) haben die USA nachgezogen: Präsident Trump hat den Clarifying Lawful Overseas Use of Data Act (“CLOUD Act“) als Änderungsgesetz für den Stored Communications Act im Bundesgesetz über Strafen und Strafverfahren unterschrieben. Als Omnibusgesetz wurde der Act als Teil des Haushaltsgesetzes durchgewunken. Das Gesetz ändert die Rechtslage im Vergleich zur Entscheidung des Court of Appeals in Microsoft v. US (dazu später mehr).
US-Behörden dürfen nun ausdrücklich weitgehend unbeschränkt von ausländischem Recht auf ausschließlich im Ausland gespeicherte Daten US-fremder Personen und Unternehmen zugreifen, jedenfalls wenn US-Unternehmen diese kontrollieren. Nur wenn andere Länder ein Privatsphäre- und Datenaustausch-Abkommen mit den USA unterzeichnen, gibt es für ihre Bürger und Unternehmen kodifizierte Zugriffsbeschränkungen und Kontrollmöglichkeiten in den USA.
(…)
Apple, Facebook, Google und der Kläger vor dem Supreme Court Microsoft unterstützten den CLOUD Act, da er Konflikte mit ausländischem Recht reduziere. Sie vertrauen offenbar auf ein EU-US-Abkommen zum Datenschutz und Datenaustausch, auf common law comity oder eine Umgestaltung der Kontrolle über Daten. Denn davon abgesehen sind auch diese Unternehmen nun deutlicher als zuvor verpflichtet, US-Behörden im Ausland gespeicherte Daten ausländischer Staatsbürger herauszugeben, auch wenn hierdurch gegen ausländisches Recht verstoßen wird. Und ein solcher Verstoß kann im Falle von EU-Bürgern bald mit Strafen von 20.000.000 EUR und mehr bedacht werden.