31.07.2019
Der Europäische Datenschutzausschuss, das sogenannte European Data Protection Board (edpb), hat erneut den US Privacy Shield und den CLOUD Act für datenschutzwidrig erklärt und nochmals seine Einwände begründet. Der Ausschuss ist eine unabhängige europäische Einrichtung, die zur einheitlichen Anwendung der Datenschutzvorschriften in der gesamten Europäischen Union beiträgt und die Zusammenarbeit zwischen den EU-Datenschutzbehörden fördert. Er besteht aus Vertretern der nationalen Datenschutzbehörden und den Europäischen Datenschutzbeauftragten.
Datenschutz nach der Europäischen Datenschutzgrundverordnung nicht gewährleistet
Mit dem sogenannten US Privacy Shield war es bislang möglich, personenbezogene Daten aus der EU in die USA rechtssicher zu übermitteln. Eine wichtige Voraussetzung auch für Nutzer von US-amerikanischen Datenraum-Anbietern, wenn im Zuge von Due Diligence-Geschäften sensible Daten auf Datenraum-Clouds in den USA gelegt wurden. Das Problem: Zum Zwecke der nationalen Sicherheit dürfen US-Sicherheitskräfte wahllos auf die Inhalte zugreifen. Der Datenschutz nach der Europäischen Datenschutzgrundverordnung (EU-DSGVO) ist nicht mehr gewährleistet, die Ablage von personenbezogenen Daten ein Verstoß gegen die EU-DSGVO. Das zweite Problem: Der CLOUD Act. Dabei handelt sich um ein US-amerikanisches Gesetz, das amerikanische Internet-Firmen und IT-Dienstleister verpflichtet, den Zugriff auf alle gespeicherte Daten zu gewährleisten, auch wenn die Speicherung nicht in den USA erfolgt.
Nutzung amerikanischer Datenraum-Anbieter in Deutschland datenschutzwidrig?
In der Praxis hieße dies, dass Datenräume von US-amerikanischen Anbietern in Deutschland weder mit Serverstandort USA noch Serverstandort in Deutschland gemietet oder betrieben werden können. Der edpb bemängelt erneut, dass immer noch keine konkreten Zusicherungen seitens der USA vorlägen, dass die wahllose Erhebung und der Zugriff auf personenbezogene Daten zu Zwecken der nationalen Sicherheit ausgeschlossen seien. Auf der Grundlage der bisher vorliegenden Informationen kann der edpb derzeit nicht davon ausgehen, dass die Länderbeauftragten für den Datenschutz über ausreichende Befugnisse verfügen, um Verstöße zu ahnden und zu beheben. Darüber hinaus weist das Board darauf hin, dass die Überprüfung der Einhaltung der Grundsätze des US Privacy Shield nicht stark genug seien.
Cloud Act und Privacy Shield verstoßen gegen die EU-DSGVO
Nach Ansicht der edpb hat die Überprüfung des Privacy Shield ergeben, dass die Sicherheit europäischer Daten auf US-Rechnern nicht gegeben ist. Das könnte dazu führen, dass Europäische Gerichte den Datentransfer personenbezogener Daten in die USA und die Speicherung der Daten auf Servern US-amerikanischer Cloudanbieter auch offiziell verbieten. Nach Auffassung des Ausschusses verstoßen Cloud Act und Privacy Shield gegen die EU-DSGVO und sind somit datenschutzwidrig. Der edpb hat darüber hinaus Bedenken hinsichtlich der erforderlichen Kontrollen zur Einhaltung der Anforderungen für die Weitergabe, des Bedeutungsumfangs der Personaldaten und des Rezertifizierungsprozesses sowie hinsichtlich einer Liste alter Probleme, die nach der ersten gemeinsamen Überprüfung noch nicht behoben wurden, geäußert.
Über den edpb
Im Europäische Datenschutzausschuss sind auch die Aufsichtsbehörden der EWR-/EFTA-Staaten als Mitglieder vertreten, allerdings ohne Stimmrecht und ohne das Recht, zum Vorsitzenden oder zu stellvertretenden Vorsitzenden gewählt zu werden. Der edpb gründet sich auf die Datenschutz-Grundverordnung (DSGVO) und hat seinen Sitz in Brüssel. Die Europäische Kommission sowie – im Hinblick auf Angelegenheiten in Verbindung mit der DSGVO – die EFTA-Überwachungsbehörde sind berechtigt, ohne Stimmrecht an den Beratungen und Sitzungen des Ausschusses teilzunehmen. Der edpb besteht aus Vertretern der nationalen Datenschutzbehörden und dem Europäischen Datenschutzbeauftragten (EDSB). Die Aufsichtsbehörden der EWR-/EFTA-Staaten sind im Hinblick auf Angelegenheiten in Verbindung mit der DSGVO ebenfalls Mitglied, allerdings ohne Stimmrecht und ohne das Recht, zum Vorsitzenden oder zu stellvertretenden Vorsitzenden gewählt zu werden. Der EDSA gründet sich auf die Datenschutz-Grundverordnung (DSGVO) und hat seinen Sitz in Brüssel. Die Europäische Kommission sowie – im Hinblick auf Angelegenheiten in Verbindung mit der DSGVO – die EFTA-Überwachungsbehörde sind berechtigt, ohne Stimmrecht an den Beratungen und Sitzungen des Ausschusses teilzunehmen.
#cloud #cloudact #cloudanbieter #datenraum #datenräume #datenschutz #dsgvo #edpb #eu #eudsgvo #privacyshield #usprivacyshield Zurück zur ÜbersichtDarum Datenraum dataroomX®:
- Deutscher Datenraum-Anbieter
- Deutscher Serverstandort
- Hochsichere Datenräume
- ISO-zertifiziertes Rechenzentrum
- DSGVO-konform
- BGH-konform
- Alle Preise Flattarife
- Zahlung per Rechnung
- Sofort nutzbar
- Kunden-Testsieger
- Notarielle Versiegelung
- Monatlich kündbar
- Einfache Bedienung
- Berufs-/Betriebshaftpflicht
- Mehrfach international ausgezeichnet:
– Beste virtuelle Datenraum-Software 2025
– Bestes Preis-Leistungsverhältnis virtueller Datenräume 2024
– Bester virtueller Datenraum-Anbieter 2023
– Bester Anbieter von Geheimhaltungslösungen 2023
Kontakt:
info@dataroomx.de
+49 651/84031-100
Kontaktformular
Preise:
- Datenräume ab 190 € monatl.
- Notar-Versiegelung: ab 320 €
(Alle Preise zzgl. 19% MwSt.)
Unser Autor:
Alexander F. Birkel (geboren 1983) verantwortet seit 2021 den Fachblog von dataroomX®, der Plattform für hochsichere Datenräume. Mit einem Doppelstudium der Betriebswirtschaftslehre und Rechtswissenschaften sowie einem Schwerpunkt im internationalen Wirtschaftsrecht und Finanzmanagement legte er den Grundstein für seine Karriere in der Welt der Unternehmensübernahmen.
Vor seinem Einstieg bei dataroomX® war Alexander zehn Jahre in der M&A- und Private-Equity-Branche tätig – zunächst als Analyst bei einer führenden Investmentboutique in Frankfurt, später als Deal Manager für ein internationales Beteiligungsunternehmen mit Fokus auf Mid-Cap-Transaktionen im deutschsprachigen Raum. Er begleitete dort zahlreiche Due-Diligence-Prozesse, Management-Buy-outs und strategische Beteiligungen.
Heute bringt Alexander seine Erfahrung aus der Praxis in die digitale Welt ein. Im dataroomX®-Blog analysiert er aktuelle Entwicklungen rund um digitale Due Diligence, regulatorische Anforderungen (z. B. NIS-2, DSGVO), Datenschutz, Legal Tech und sichere Cloud-Infrastrukturen. Seine Artikel zeichnen sich durch eine prägnante Sprache, hohe fachliche Tiefe und einen klaren Mehrwert für Entscheider aus.
Schwerpunktthemen:
M&A-Prozesse · Private Equity · Due Diligence · digitale Datenräume · Compliance · Datensicherheit · europäische IT-Souveränität