Data Privacy Framework (DPF) für eine Schonfrist nutzen

Welche wirtschaftliche Bedeutung sehen Sie für das neue DPF (Data Privacy Framework)?

Google hat Bard bereits zwei Tage nach der Einigung in der EU eingeführt. Ich glaube nicht, dass die Tinte schon trocken war, als die Entscheidung getroffen wurde. Es vereinfacht das Geschäft erheblich. Die meisten Cloud-Dienste gehören US-Unternehmen, werden von ihnen betrieben und haben ihren Sitz in den USA. Aus wirtschaftlicher Sicht ermöglicht dies vielen Unternehmen, zur Tagesordnung überzugehen, ohne sich um grenzüberschreitende Transfers und die Wahl des richtigen Cloud-Anbieters kümmern zu müssen. Viele übersehen jedoch, dass die von ihnen unterzeichneten Vereinbarungen weiterhin auf Standardvertragsklauseln beruhen und möglicherweise nicht von der Angemessenheitsentscheidung profitieren.

Sehen Sie einen Fortschritt bei dem DPF im Vergleich zu Privacy Shield? Denken Sie, dass die Anforderungen von GDPR und die des EuGH dadurch umgesetzt werden?

Die Abkommen sind fast identisch. Was sich unterscheidet, sind die in den USA gewährten Schutzmaßnahmen, auf die sich jedes Abkommen stützt. Europäische Gerichte haben den Rechtsschutz für europäische Daten im Rahmen von Privacy Shield für unzureichend befunden. Die Durchführungsverordnung, auf der die neue Angemessenheitsentscheidung beruht und wie sie umgesetzt werden soll, ist nur unwesentlich besser als die PPD 28, die die Obama-Regierung zur Verabschiedung des Privacy Shield verwendet hat. Meiner Meinung nach hätte der EuGH mit der DPF sehr viel weiter gehen müssen, um angemessen zu sein, als es tatsächlich geschehen ist.

Wie bewerten Sie das Risiko, dass auch das DPF vor Gericht für ungültig erklärt wird?

Wir gehen davon aus, dass es in 2-5 Jahren für ungültig erklärt wird (je nach Anfechtung). Wir raten unseren Kunden, die nächsten zwei Jahre als Schonfrist zu nutzen, um ihre Cloud-Strategien so auszurichten, dass sie sich nicht auf das neue Angemessenheitsurteil verlassen müssen. Auf diese Weise sind sie nicht betroffen, wenn das DPF ein ähnliches Ende findet wie sein Vorgänger.

Das DPF schafft erst einmal Rechtssicherheit, doch sollten sich Unternehmen darauf verlassen?

Nein. Es sei denn, sie wollen sich in der gleichen Lage wie wiederfinden, in der sich die meisten im Juni 2020 befanden, als das Privacy Shield für ungültig erklärt wurde. Das wäre ein weiteres Deja-vu.

Sollten Unternehmen eher auf die neuen EU-Standardvertragsklauseln oder auf andere Rechtsgrundlagen setzen? Was raten Sie den Unternehmen?

Wir raten unseren Kunden, die im Abkommen vorgesehene Frist von zwei Jahren (Untergrenze der geschätzten Ungültigkeit) zu nutzen, um mit ihren Cloud-Anbietern eine Lösung zu finden, die entweder keine Datenübermittlung erfordert oder den Anforderungen der Standardvertragsklauseln entspricht. Dies ist auch die Frist für europäische Cloud-Initiativen wie Gaia-X und Blue, um eine praktikable Alternative zu einem wettbewerbsfähigen Preis zu finden.

Nader Henein

ist VP Analyst bei Gartner.

Oliver Schonschek

Recent Posts

CosmicBeetle-Gruppe verbreitet Ransomware

Forscher von ESET haben entdeckt, dass die Gruppe Ransomware ScRansom einsetzt.

13 Stunden ago

Jetzt zeigt sich, welches Potenzial im Metaverse steckt

Das Metaverse – vergessener Hype oder doch schon einsatzfähig? Wo die Industrie bereits auf Metaverse-Lösungen…

16 Stunden ago

Sicherheitsaspekte im Online-Gaming

Sowohl „just for fun“ als auch als ernster Liga-Wettkampf oder als Glücksspiel mit echtem Geld…

2 Tagen ago

Digitale Richterassistenten für Justiz Baden-Württemberg

KI soll Richter in der Sozialgerichtsbarkeit entlasten, indem die Aktenstrukturierung vereinfacht wird.

2 Tagen ago

Autonome KI Sales Agents unterstützen Vertrieb

Einstein Sales Development Rep (SDR) Agent und Einstein Sales Coach Agent von Salesforce werden ab…

3 Tagen ago

All-Flash-Rechenzentren senken Energiekonsum durch KI

KI und ihre riesigen Datenmengen stellen die ohnehin schon überlasteten Rechenzentren vor echte Herausforderungen, warnt…

5 Tagen ago