Data Privacy Framework (DPF) für eine Schonfrist nutzen

Welche wirtschaftliche Bedeutung sehen Sie für das neue DPF (Data Privacy Framework)?

Google hat Bard bereits zwei Tage nach der Einigung in der EU eingeführt. Ich glaube nicht, dass die Tinte schon trocken war, als die Entscheidung getroffen wurde. Es vereinfacht das Geschäft erheblich. Die meisten Cloud-Dienste gehören US-Unternehmen, werden von ihnen betrieben und haben ihren Sitz in den USA. Aus wirtschaftlicher Sicht ermöglicht dies vielen Unternehmen, zur Tagesordnung überzugehen, ohne sich um grenzüberschreitende Transfers und die Wahl des richtigen Cloud-Anbieters kümmern zu müssen. Viele übersehen jedoch, dass die von ihnen unterzeichneten Vereinbarungen weiterhin auf Standardvertragsklauseln beruhen und möglicherweise nicht von der Angemessenheitsentscheidung profitieren.

Sehen Sie einen Fortschritt bei dem DPF im Vergleich zu Privacy Shield? Denken Sie, dass die Anforderungen von GDPR und die des EuGH dadurch umgesetzt werden?

Die Abkommen sind fast identisch. Was sich unterscheidet, sind die in den USA gewährten Schutzmaßnahmen, auf die sich jedes Abkommen stützt. Europäische Gerichte haben den Rechtsschutz für europäische Daten im Rahmen von Privacy Shield für unzureichend befunden. Die Durchführungsverordnung, auf der die neue Angemessenheitsentscheidung beruht und wie sie umgesetzt werden soll, ist nur unwesentlich besser als die PPD 28, die die Obama-Regierung zur Verabschiedung des Privacy Shield verwendet hat. Meiner Meinung nach hätte der EuGH mit der DPF sehr viel weiter gehen müssen, um angemessen zu sein, als es tatsächlich geschehen ist.

Wie bewerten Sie das Risiko, dass auch das DPF vor Gericht für ungültig erklärt wird?

Wir gehen davon aus, dass es in 2-5 Jahren für ungültig erklärt wird (je nach Anfechtung). Wir raten unseren Kunden, die nächsten zwei Jahre als Schonfrist zu nutzen, um ihre Cloud-Strategien so auszurichten, dass sie sich nicht auf das neue Angemessenheitsurteil verlassen müssen. Auf diese Weise sind sie nicht betroffen, wenn das DPF ein ähnliches Ende findet wie sein Vorgänger.

Das DPF schafft erst einmal Rechtssicherheit, doch sollten sich Unternehmen darauf verlassen?

Nein. Es sei denn, sie wollen sich in der gleichen Lage wie wiederfinden, in der sich die meisten im Juni 2020 befanden, als das Privacy Shield für ungültig erklärt wurde. Das wäre ein weiteres Deja-vu.

Sollten Unternehmen eher auf die neuen EU-Standardvertragsklauseln oder auf andere Rechtsgrundlagen setzen? Was raten Sie den Unternehmen?

Wir raten unseren Kunden, die im Abkommen vorgesehene Frist von zwei Jahren (Untergrenze der geschätzten Ungültigkeit) zu nutzen, um mit ihren Cloud-Anbietern eine Lösung zu finden, die entweder keine Datenübermittlung erfordert oder den Anforderungen der Standardvertragsklauseln entspricht. Dies ist auch die Frist für europäische Cloud-Initiativen wie Gaia-X und Blue, um eine praktikable Alternative zu einem wettbewerbsfähigen Preis zu finden.

Nader Henein

ist VP Analyst bei Gartner.

Oliver Schonschek

Recent Posts

“KI-Agenten müssen mit ERP, CRM und Co interagieren können”

Der Begriff „Agent" wird oft unscharf verwendet, aber es kristallisieren sich Funktionstypen heraus, die verschiedene…

2 Tagen ago

Operation Eastwood: NoName057(16) am Ende oder noch im Rennen?

Die jüngsten internationalen Maßnahmen gegen NoName057(16) werden ihre Aktivitäten wahrscheinlich nicht dauerhaft beenden, sagt Rafa…

2 Tagen ago

Siemens gewinnt führenden KI-Experten

Vasi Philomin wechselt von Amazon, wo er die KI-Produktstrategie von Amazon Web Services (AWS) verantwortete.

2 Tagen ago

Mittelständische IT-Beratungen richten sich neu aus

Laut Lündendonk verändert die Cloud ihr Geschäftsmodell. Kompetenzen in der Softwareentwicklung stehen auf dem Prüfstand.

2 Tagen ago

Autonome Shuttles als Alternative?

Forschende des KIT haben untersucht, wie selbstfahrende Kleinbusse den Öffentlichen Nahverkehr stärken könnten.

3 Tagen ago

Digitale Zwillinge: Wenn Brücken sprechen lernen

Was wäre, wenn Brücken selbst melden könnten, wann und wo sie Reparaturbedarf haben?

4 Tagen ago