nun ist es also da, das Transatlantische Datenschutzabkommen und damit einhergehend der Angemessenheitsbeschluss der EC für die USA.
Wie schon beim Privacy Shield unterscheidet die Selbstzertifizierung Im Privacy Framework zwischen Beschäftigtendaten (HR) und anderen personenbezogenen Daten (Non-HR). Was darunter alles fällt, dazu bestand zu Privacy Shield Zeiten eine Diskrepanz zwischen der Auffassung der USA (nur Daten der zur sich zertifizierenden US Unternehmensgruppe gehörenden Beschäftigten) und der EC (auch Beschäftigtendaten von exportierenden europäischen Unternehmen ohne Bezug zum US-Unternehmen). Die Working Party 29 hatte darauf mal aufmerksam gemacht.
Ich frage mich nun, ob und wie dies im neuen Abkommen geklärt wurde. Das EDPB hatte in seiner Stellungnahme im Februar noch bemängelt, dass diese Unklarheit noch immer bestünde. In praktisch allen Kommentaren wird -wenn diese Unterscheidung überhaupt thematisiert wird- ziemlich wischi-waschi darüber hinweggegangen. Nur die Wortwahl des LfDI BW macht klar, dass dieser die ‚alte‘ EC Auffassung teilt.
Meine Frage nun ob jemand weitere Informationen hat, ob und wie dies geregelt ist.
Falls nämlich wirklich die EC Auffassung gültig ist, fallen alle US basierten Cloud Kommunikationsdienste weg, die sich nur für Non-HR zertifiziert haben, da im Wesentlichen ja die Konto- und Nutzungsdaten der Mitarbeiter relevant sind (zumindest solange man sich über Kochrezepte austauscht). Slack wäre solch ein Kandidat ……
Eine Antwort weiß ich darauf leider auch nicht - aber ich frage mich, was das am Ende für eine Auswirkung hat: Gibt es US-Unternehmen, die extra zwei Umgebungen betreiben und extra eine davon weniger sicher machen, nur weil im einen Teil HR und im anderen Non-HR liegt? Das hört sich erstmal jedenfalls praxisfremd an.
Naja, ein Schwindel war zB: sich für non-HR zerifizieren, diese Einschränkung nicht transparent machen und dann dennoch HR-Daten verarbeiten. Denn praktisch weiß der Dienstleister ja nicht, ob HR-Daten eingehen. Aber noch viel praktischer gesehen kann ein Unternehmen nicht arbeiten, ohne dass Daten seiner Beschäftigten betroffen sind. Folglich ist “non-HR fehlt” ein Ausschlußkriterium.
Praktisch wird niemand in der Liste nachschauen und höchstens abschreiben, dass der Dienst angibt, Safe Har… - Verzeihung! - zertifiziert zu sein. Auf die HR-Feinheiten zu achten und dass sie etwas anderes bedeuten könnten wird nur Profi-Profis bekannt sein.
Was mich noch mehr wundert: Für die in der Liste enthaltenen Unternehmen gilt das Datenschutzniveau in den USA mit dem Angemessenheitsbechluss als vergleichbar. Auf die zugrunde liegenden Bedingungen bezogen. Diese Bedingungen haben sich aber gegenüber Privacy Shield geändert. Praktisch alle derzeit aufgeführten Empfänger hatten sich zu den alten zertifiziert, weil noch keine oder sehr wenige neue aufgenommen sein werden. Damit alte Selbstverpflichtungen auf die neuen Verhältnisse übertragbar wären, dürften diese nicht signifikant anders sein. Gibt diese Erkenntnis Punkte für Schrems III?
Oder wurden nur die staatlichen Sachen drum herum geändert? (Frame(!)work, wobei framing ja weitere Bedeutungen haben kann.)
D., der in den letzten Wochen darauf beharrte, dass keiner der Empfänger Privacy-Framework-zertifiziert sein kann, weil er die Seite in seiner Arbeitsumgebung nicht dargestellt bekam und die Einträge nicht prüfen konnte. Tja… Privat schon, aber dort nachzuschauen kann keiner verlangen. Inzwischen geht’s auch mit dem betrieblichen Client. Der Auftritt ist übrigens nicht datenschutzkonform, weil Tracking, und permantent Google für irgendwas. Inzwischen wäre es egal, dass der US-Anbieter alt-zertifizierte US-Dienste einbindet, aber neben dem Drittlandaspekt ist ja noch die europarechtliche Zulässigkeit, Transparenz und alles andere für Nutzer aus der EU/EWR zu beachten. (Marktortprinziip?!?)
Das habe ich jetzt nicht verstanden.
Die Privacy Framework Seite sieht zwar gleich aus wie die alte Privacy Shield Seite, es wurden aber nicht 1:1 Einträge übernommen, sondern mir scheint, die Firmen mussten sich neu eintragen. Ob sie vorher die neuen Bedingungen geprüft haben, steht auf einer anderen Seite.
Und was meinst Du mit ‘Seite nicht darstellbar’?
Die Einträge sind aus der Zeit von vor dem DPFW-Angemessenheitsbeschluss. Der erste Eintrag ( 23andMe, Inc.) bezieht sich z. B. auf Erst-Zertifizierung am 11/03/2016. Google LLC wäre 04/18/2017, Next Certification Due Date: 09/14/2023. Ich kann nicht nachvollziehen, ob man extra bekunden musste, sich den neuen Regeln zu unterwerfen, oder ob alle Privacy-Shield-Teilnehmer (oder älter) automatisch weiter angezeigt werden.
Bei mir war der Inhalt der Seite geblockt (alles weiß). Auf dem privaten Gerät wurde auch zuerst nichts angezeigt, sondern nur, nachdem ich zumindest für den Auftritt selbst das Scripting erlaubt habe (NoScript).
D., der sich voräbergehend auf den Standpunkt gestellt hat, die Liste gäb’s nicht.