Logo
Kontaktieren Sie uns

Datenübermittlung in die USA – was bringt die Verschlüsselung?

Awareness Training
Seite wird geladen

Die Datenübermittlung in einen Drittstaat wie die USA ist nur zulässig, wenn dort ein angemessenes Datenschutzniveau sichergestellt ist. Reicht es dazu, die personenbezogenen Daten zu verschlüsseln? Oder ist die Verschlüsselung nur eine Maßnahme von vielen?

Handlungsbedarf bei der Nutzung von Online-Diensten aus den USA

Drei von vier Unternehmen (76 Prozent) nutzten im Jahr 2019 Rechenleistungen aus der Cloud, so die Studie „Cloud-Monitor 2020“ des Digitalverbands Bitkom und der Wirtschaftsprüfungsgesellschaft KPMG. Unternehmen aus Deutschland nutzen Cloud-Dienste aber nicht nur, um Daten zu speichern (Cloud-Storage genannt). Sie verwenden auch Anwendungen aus der Cloud wie Office-Programme, E-Mail-Dienste, Terminverwaltungen, Videokonferenzdienste und Programme zur Datenanalyse, um nur einige Beispiele zu nennen.

Viele Cloud-Dienste werden dabei von Unternehmen aus den USA betrieben. Werden personenbezogene Daten in die Cloud übermittelt, muss es dafür eine Rechtsgrundlage geben, so will es die Datenschutz-Grundverordnung (DSGVO). Bei vielen Cloud-Diensten aus den USA galt bisher der sogenannte „Privacy Shield“ als die Rechtsgrundlage.

Mit dem Urteil des Europäischen Gerichtshofs (EuGH), dass der Privacy Shield als rechtliche Grundlage für die Übermittlung personenbezogener Daten in die USA ungültig ist, stehen viele Unternehmen nun vor einer Herausforderung: Wie können sie nun personenbezogene Daten in einen Cloud-Dienst übertragen, der in den USA betrieben wird?

Von rechtlicher Seite gibt es viele Überlegungen und Hinweise, worauf ein Unternehmen nun achten muss. Gleichzeitig melden sich Anbieter von Verschlüsselungslösungen zu Wort, man könne das Privacy-Shield-Problem lösen, indem man einfach alle Daten verschlüsselt.

So manches Unternehmen denkt nun: Wenn die Daten verschlüsselt sind, kann man sie problemlos in die USA übermitteln, auch wenn Privacy Shield keine Rechtsgrundlage sein kann und es keine andere Rechtsgrundlage gibt. Doch stimmt das?

Nutzung der verschlüsselten Daten in den USA

Ohne in die Tiefen des Datenschutzrechts einzutauchen, lohnt sich bereits die Überlegung, ob die Daten beim Empfänger, also zum Beispiel bei dem Cloud-Betreiber in den USA, verschlüsselt bleiben. Nehmen wir das Beispiel, dass ein Unternehmen einen Cloud-Dienst für Maschinelles Lernen in den USA nutzen möchte, ein häufig anzutreffender Fall.

Zum einen lassen sich die verschlüsselten Daten nicht mittels Maschinellen Lernens verarbeiten und analysieren. Zum anderen muss auch auf dem Server in den USA sichergestellt sein, dass nur Befugte die Daten weiterverarbeiten. Das setzt aber eine Rechtsgrundlage voraus. Ein „Ersatz“ für Privacy Shield ist die Verschlüsselung also nicht.

Personenbezug bei verschlüsselten Daten

Manchmal hört man das Argument, verschlüsselte Daten würden nicht mehr dem Datenschutz unterliegen, denn sie hätten den Personenbezug verloren. Wäre dem so, könnten verschlüsselte Daten ohne datenschutzrechtliche Vorgaben übermittelt und verarbeitet werden.

Aber Vorsicht: Verschlüsselte Daten sind ein klassisches Beispiel für Pseudonymisierung, so die Aufsichtsbehörden für den Datenschutz. Die verschlüsselten Informationen beziehen sich auf Personen, die durch einen Code gekennzeichnet sind, während der Schlüssel für die Zuordnung des Codes zu den Kennzeichen der Personen (zum Beispiel Name, Geburtsdatum, Adresse) gesondert aufbewahrt wird.

Pseudonyme Daten sind jedoch weiterhin personenbeziehbar. Denn sie lassen sich durch Heranziehung zusätzlicher Informationen einer natürlichen Person zuordnen. Man müsste zuverlässig verhindern können, dass der Cloud-Betreiber in den USA oder andere Stellen dort den Schlüssel zur Entschlüsselung erlangen können. Dann aber könnten die Daten in der Cloud auch nicht weiterverarbeitet werden.

Man kann also nicht davon ausgehen, dass verschlüsselte Daten nicht mehr dem Datenschutz unterliegen. Unternehmen brauchen somit auch für die Übermittlung verschlüsselter Daten eine Rechtsgrundlage.

Allein die Verschlüsselung reicht nicht

Aber auch wenn es nicht ausreicht, die personenbezogenen Daten zu verschlüsseln, um sie in einen Drittstaat wie die USA übermitteln zu dürfen, ist die Verschlüsselung durchaus eine wichtige zusätzliche Maßnahme bei einer Datenübermittlung.

Verschlüsselung gehört zu den zusätzlichen Maßnahmen, um ein Datenschutzniveau sicherzustellen, das dem in der EU gleichgestellt ist, so die Aufsichtsbehörden. Nur dann, wenn ein angemessenes Datenschutzniveau im Empfängerland bei der Übermittlung personenbezogener Daten sichergestellt ist, darf die Datenübermittlung erfolgen. Nur dann also dürfen Unternehmen Online-Dienste aus den USA weiterhin nutzen, wenn damit personenbezogene Daten verarbeitet werden sollen. Die Verschlüsselung allein reicht dafür nicht, auch wenn dies manche Anbieter behaupten. Es gilt nun besonders, Angebote zu hinterfragen, die technische Lösungen zum Privacy-Shield-Problem offerieren.

Typische Faustregeln

Berücksichtigt man diese Hintergründe, kristallisieren sich einige einfache Faustregeln für die Videoüberwachung von Baustellen heraus. Sie lauten:

  • Im Regelfall ist eine Videoüberwachung nicht während der Zeiten zulässig, in denen auf der Baustelle gearbeitet wird.
  • Wird nur auf einem Teil der Baustelle gearbeitet, können die anderen Teile der Baustelle aber überwacht werden.
  • Die Videoüberwachung darf nur die Baustelle selbst erfassen. Nachbargrundstücke und öffentliche Straßen vor der Baustelle sind tabu. Wenn Diebe über ein Nachbargrundstück auf die Baustelle kommen könnten, ist ein ordentlicher Zaun das richtige Mittel dagegen, nicht jedoch die Videoüberwachung des Nachbargrundstücks.

Informationspflichten

Selbstverständlich gelten auf Baustellen dieselben Informationspflichten für die Datenverarbeitung wie sonst auch. Notwendig sind deshalb klare und deutliche Hinweisschilder. Sie müssen die üblichen Angaben enthalten. Insbesondere müssen sie Auskunft darüber geben, wer für die Videoüberwachung verantwortlich ist.

Klärung der Verantwortung

Diese Frage ist nicht immer einfach zu beantworten. Oft gibt es einen Generalunternehmer, der alle Abläufe auf der Baustelle koordiniert und betreut. Dann wird normalerweise er der Verantwortliche sein. Denkbar ist aber auch, dass unterschiedliche Unternehmen für verschiedene Bereiche der Baustelle die Verantwortung tragen. Dann gibt es für unterschiedliche Baustellenabschnitte unterschiedliche Verantwortliche.

Abschreckung? Gern!

Manche meinen, dass solche Hinweisschilder auf Diebe und andere unliebsame Besucher abschreckend wirken. Das ist dann ein willkommener Nebeneffekt, der aber mit dem Datenschutz nichts zu tun hat.

Löschung der Videoaufnahmen

Nach welcher Zeit die Videoaufnahmen gelöscht werden müssen, lässt sich nicht pauschal beantworten. In der Regel sollte es möglich sein, Aufnahmen binnen zweier Wochen auszuwerten. Praktisch sind Kamerasysteme, die gar keine längeren Aufzeichnungen zulassen. Nach spätestens zwei Wochen werden die alten Aufnahmen durch neue Aufzeichnungen überschrieben.

Das gilt selbstverständlich nur, wenn nichts vorgefallen ist. Kam es dagegen etwa zu einem Diebstahl, stellt der Verantwortliche die Aufnahmen sicher und übergibt sie der Polizei.

Diese Website verwendet Cookies.

Mehr über die genutzten Cookies erfahren.

Cookies die notwendig sind, diese Website technisch betreiben zu können.

Cookies und Scripte die uns dazu dienen unsere Website besser zu machen und Ihnen Komfortfunktionen bieten.

Enthält Information darüber, ob Cookies akzeptiert wurden, um die Cookie-Einstellungen anzuzeigen. 

Speichert die aktuellen Sitzungsdaten.

Sorgt dafür, dass externe Medien von Youtube oder Vimeo automatisch geladen werden. Dabei werden Daten automatisch an diese Anbieter übertragen.

Ermöglicht die Einbindung unseres Live-Chats.