Data Privacy Framework (DPF) für eine Schonfrist nutzen

Welche wirtschaftliche Bedeutung sehen Sie für das neue DPF (Data Privacy Framework)?

Google hat Bard bereits zwei Tage nach der Einigung in der EU eingeführt. Ich glaube nicht, dass die Tinte schon trocken war, als die Entscheidung getroffen wurde. Es vereinfacht das Geschäft erheblich. Die meisten Cloud-Dienste gehören US-Unternehmen, werden von ihnen betrieben und haben ihren Sitz in den USA. Aus wirtschaftlicher Sicht ermöglicht dies vielen Unternehmen, zur Tagesordnung überzugehen, ohne sich um grenzüberschreitende Transfers und die Wahl des richtigen Cloud-Anbieters kümmern zu müssen. Viele übersehen jedoch, dass die von ihnen unterzeichneten Vereinbarungen weiterhin auf Standardvertragsklauseln beruhen und möglicherweise nicht von der Angemessenheitsentscheidung profitieren.

Sehen Sie einen Fortschritt bei dem DPF im Vergleich zu Privacy Shield? Denken Sie, dass die Anforderungen von GDPR und die des EuGH dadurch umgesetzt werden?

Die Abkommen sind fast identisch. Was sich unterscheidet, sind die in den USA gewährten Schutzmaßnahmen, auf die sich jedes Abkommen stützt. Europäische Gerichte haben den Rechtsschutz für europäische Daten im Rahmen von Privacy Shield für unzureichend befunden. Die Durchführungsverordnung, auf der die neue Angemessenheitsentscheidung beruht und wie sie umgesetzt werden soll, ist nur unwesentlich besser als die PPD 28, die die Obama-Regierung zur Verabschiedung des Privacy Shield verwendet hat. Meiner Meinung nach hätte der EuGH mit der DPF sehr viel weiter gehen müssen, um angemessen zu sein, als es tatsächlich geschehen ist.

Wie bewerten Sie das Risiko, dass auch das DPF vor Gericht für ungültig erklärt wird?

Wir gehen davon aus, dass es in 2-5 Jahren für ungültig erklärt wird (je nach Anfechtung). Wir raten unseren Kunden, die nächsten zwei Jahre als Schonfrist zu nutzen, um ihre Cloud-Strategien so auszurichten, dass sie sich nicht auf das neue Angemessenheitsurteil verlassen müssen. Auf diese Weise sind sie nicht betroffen, wenn das DPF ein ähnliches Ende findet wie sein Vorgänger.

Das DPF schafft erst einmal Rechtssicherheit, doch sollten sich Unternehmen darauf verlassen?

Nein. Es sei denn, sie wollen sich in der gleichen Lage wie wiederfinden, in der sich die meisten im Juni 2020 befanden, als das Privacy Shield für ungültig erklärt wurde. Das wäre ein weiteres Deja-vu.

Sollten Unternehmen eher auf die neuen EU-Standardvertragsklauseln oder auf andere Rechtsgrundlagen setzen? Was raten Sie den Unternehmen?

Wir raten unseren Kunden, die im Abkommen vorgesehene Frist von zwei Jahren (Untergrenze der geschätzten Ungültigkeit) zu nutzen, um mit ihren Cloud-Anbietern eine Lösung zu finden, die entweder keine Datenübermittlung erfordert oder den Anforderungen der Standardvertragsklauseln entspricht. Dies ist auch die Frist für europäische Cloud-Initiativen wie Gaia-X und Blue, um eine praktikable Alternative zu einem wettbewerbsfähigen Preis zu finden.

Nader Henein

ist VP Analyst bei Gartner.

Oliver Schonschek

Recent Posts

IT-Trends 2024: Signifikantes Wachstum von Rechenzentren

Teil 3: Wachsender Bedarf an Rechenleistung durch Trends wie KI, HPC und Edge Computing.

19 Stunden ago

Umstellung auf S/4HANA: Struktur für den Modernisierungsprozess

SAP-Modernisierung ist komplex, dauert in der Regel mehrere Jahre und birgt etliche Fallstricke und Risiken,…

2 Tagen ago

Welche Rolle spielt Software bei den CO2-Emissionen?

Das Bewusstsein für die von Rechenzentren verursachten Treibhausgase steigt, aber die Frage, wie „grün“ Software…

2 Tagen ago

Deutscher KI-Markt wächst 2023 um ein Drittel

Bitkom: 2024 sollen die Ausgaben erneut um 30 Prozent auf dann 8,2 Milliarden Euro steigen.

2 Tagen ago

IT-Trends 2024: KI-basiertes Wettrüsten geht in die nächste Runde

Teil 2: KI und Automatisierung liefern Angreifern wie Verteidigern entscheidende Sprungbretter für ein erfolgreiches Vorgehen,…

3 Tagen ago

Der Feind aus dem Inneren

Der menschliche Faktor ist das größte Risiko für jede Organisation, ob als externer Gegner oder…

3 Tagen ago