Schrems II: Timeline und Ausblick

Am 16.07 hat der Europäische Gerichtshof (EuGH) in einer Entscheidung den EU-US-Privacy Shield für ungültig erklärt. Die Standardvertragsklauseln (SCCs), die für die Datenübermittlung ein angemessenes Datenschutzniveau in einem Nicht-EU-Staat bescheinigen, sollen weiter gültig bleiben. In den letzten Wochen haben sich viele relevante Behörden und betroffene Unternehmen zu Wort gemeldet, um auf das Urteil zu reagieren. Die EU und die Vereinigten Staaten feilen derweil an einer Nachfolgeregelung zum Datenschutzschutzschild.

Bisherige Entwicklungen

Bei dem hin und her, was den transatlantischen Datenaustausch angeht, verliert man leicht den Überblick. Im Folgenden ein Abriss über die wichtigsten Etappen vor und seit der Schrems II-Entscheidung von Juli 2020.

  • 26.06.2000 - Safe Harbor-Abkommen

    Die EU und die USA schließen ein Abkommen, um personenbezogene Daten zwischen einem EU-Mitgliedstaat und den USA auszutauschen. Weil es in den USA keine vergleichbaren Datenschutzregeln gibt, sollen sich Unternehmen nach den Safe Harbor Principles richten und sich gemäß EU-Datenschutz verhalten.

  • Juni 2013 - Edward Snowden und PRISM

    Nach den Enthüllungen des ehemaligen CIA- und NSA-Mitarbeiters Edward Snowden über das Massenüberwachungsprogramm PRISM wird Kritik an Safe Harbor laut. PRISM wird zur Überwachung und Auswertung elektronischer Medien genutzt, US- und Nicht-US-Bürger sind gleichermaßen betroffen.

  • 06.10.2015 - EuGH-Urteil Schrems I: Safe Harbor unzulässig

    Die USA können durch den PATRIOT Act von 2001 Einblick in Daten von US-Firmen verlangen. Dazu gehören auch internationale Personendaten. Nach einer Klage des Datenschützers Max Schrems, erklärt der Europäische Gerichtshof (EuGH) das Safe Harbor-Abkommen für unzulässig.

  • 12.07.2016 - EU-US Privacy Shield

    Mit heißer Nadel haben die EU-Kommission und die USA nach Schrems I die Nachfolgeregelung, den EU-US-Privacy Shield, gestrickt. Diese orientiert sich an den Safe-Harbor-Prinzipien, soll aber vermeintlich konkreter und strikter sein. Die Weitergabe von EU-Daten an US-Behörden soll Beschränkungen und Aufsichtsmechanismen unterliegen.

  • 16.07.2020 - EuGH-Urteil Schrems II: EU-US Privacy Shield

    Nach Ansicht von Max Schrems stellte auch der Datenschutzschild keine Verbesserung der Lage dar. US-Recht habe Vorrang vor EU-Recht. Schrems ging abermals vor den EuGH. Am 16.07.2020 fiel das Urteil: Der EU-US Privacy Shield ist ab sofort, ohne Übergangsfrist, unzulässig.

  • 24.07.2020 - EU-Datenschutzausschuss veröffentlicht FAQ zu Schrems II

    Das Urteil hat für viel Unsicherheit gesorgt. Der EU-Datenschutzausschuss hat Antworten auf die wichtigsten Fragen zu den Konsequenzen aus dem Urteil Schrems II gegeben. Die wichtigsten Punkte: Keine Gnadenfrist und Standardvertragsklauseln (SCCs) nach Prüfung im Einzelfall. Konkret heißt das, dass Unternehmen, die Daten über den Atlantik transferieren, den Datenschutzstandard der EU garantieren müssen, was sie nicht können.

  • 11.08.2020 - EU und USA verhandeln über Nachfolgeregelung zum EU-US Privacy Shield

    Der EU-Justizkommissar Didier Reynders und US-Handelsminister Wilbur Ross befinden sich in Verhandlungen zu einer neuen Rahmenregelung für den transatlantischen Datenaustausch, so das US-Handelsministerium in einer Pressemitteilung. Max Schrems äußerte sich bereits auf Twitter und kündigte Schritte gegen eine etwaige Regelung an. Denn: An der grundsätzlichen Problematik eines asymmetrischen Datenschutzniveaus in den USA und der EU ändere sich nichts.

Ausblick und Konsequenzen

Natürlich lässt sich schwer voraussagen, wie die weitere Entwicklung der nächsten Monate sein wird, gerade auch vor dem Hintergrund eines möglichen Personalwechsels im Weißen Haus. Die Fakten lassen aber zumindest vier Szenarien realistisch erscheinen:

Privacy Shield 2.0 und Schrems III

Szenario: In den nächsten Monate wird über eine mögliche neue Rahmenvereinbarung verhandelt. Es wird zu einer Einigung zwischen Kommission und den Vereinigten Staaten kommen. Trotzdem hat die Regelung - ähnlich wie Safe Harbor oder der Privacy Shield - den gleichen Geburtsfehler: Bis zur Abschaffung des USA PATRIOT Act und weiterer Spionageregelungen kann kein Abkommen die USA davon abhalten, die Daten von Europäern auszuspähen. Datenschützer wie Max Schrems werden klagen, der EuGH wird erneut gegen den "Privacy Shield 2.0" entscheiden.

Standardvertragsklauseln und Stillstand

Die durch das Schrems II-Urteil nicht beanstandeten Vertragsklauseln (SCCS) werden weiterhin Bestand haben und weiterhin angewendet werden. Dies aber mit dem Caveat der Einzelfallprüfung durch die Unternehmen und der nationalen Datenschutzbehörden. Diese sind aber chronisch unterfinanziert und personell überfordert, legen zudem Standardvertragsklauseln je nach Land unterschiedlich aus. Die Unternehmen werden das Risiko aber nicht auf sich nehmen wollen, denn sie sind im Zweifel Abmahnungen und rechtlichen Gefahren ausgesetzt. Klartext: Der Datenaustausch ist rechtlich unsicher und wird durch die langwierigen case-by-case-Prüfungen abgebremst.

Bekehrung der neuen Welt durch die alte

Die Datenschutzgrundverordnung (EU-DSGVO) hat es vorgemacht: Die ursprüngliche EU-Regelung ist weltweit zum Vorbild für Datenschutzgesetzgebung geworden. So auch in den USA: Der kalifornische California Consumer Privacy Act (CCPA) ist den Regelungen der DSGVO nachempfunden und regelt den Datenschutz in Kalifornien (wo im Silicon Valley ja auch die allermeisten Tech-Firmen angesiedelt sind). Eine Biden-Regierung könnte ein entsprechendes Bundesgesetz erlassen. Dann wäre das angemessene Datenschutzniveau, das die Standardvertragsklauseln momentan scheinbar garantieren, auch künftig Realität. Die Asymmetrie des Datenschutzes wäre somit vorerst beendet.

Zwang zur europäischen Datensouveränität

Schrems II ist möglicherweise ein Segensfall für den Datenschutz. Vielleicht wird nun der schwierige Weg einer tatsächlichen Datensouveränität beschritten. Denn: Gab es bis hierher keinen Impetus für rein in Europa gehostete Lösungen abseits der Hyperscaler, werden nun europäische Firmen dazu gezwungen sein, mittelfristig Kompetenzen aufzubauen, etwa im Rahmen des neuen GAIA-X-Programms. Die Alternative ist eine Zwickmühle: Die USA werden ihre Datenschutzbestimmungen nicht anheben, Regelungen und Rahmenvereinbarungen werden immer an der Datenschutzasymmetrie (und am EuGH) scheitern.


Zusammenfassung: Lobbying-Sprechstunde Lebensmittelwirtschaft

Zusammenfassung Lobbying-Sprechstunde:

Lebensmittelwirtschaft vs. Ernährungsindustrie

elfnullelf gibt Einblicke in die Public Affairs-Arbeit und beantwortet Ihre Fragen in einem kostenfreien 45-minütigen live Webinar im Gespräch mit einem Praxis-Experten.

In unserem Live-Webinar am 04.06. ging es um diese Themen

Gesunde Lebensmittelwirtschaft versus Ernährungsmittelindustrie – Welche Strategien helfen David gegen Goliath?

  • Wie sieht es derzeit regulatorisch aus in der Produktion, im Handel und im Vertrieb?
  • Welche Lobbying-Strategien kommen in der Industrie zum Einsatz?
  • Was für politische Aktivitäten braucht es, um glaubwürdige Positionen aufzubauen?

Präsentation herunterladen

Live zugeschaltet waren:

Jan-Philipp Roth

JPR Communication – selbständiger Referent sowie Strategieberater für politische Kommunikation. Er unterstützt Firmen und Verbände der Konsumgüter- und Chemie-Branche.

Udo Sonnenberg

Geschäftsführender Gesellschafter und Gründer der Public Affairs-Beratung elfnullelf GmbH. Er führt die Geschäfte einiger KMU-Verbände und hat sich auf die politischen Themen Lebensmittel, Gesundheit, Planen&Bauen sowie Mobilität spezialisiert.

Stimmungsbilder – zwei Fragen während des Webinars (zum Vergrößern anklicken)


IT-Sicherheitsgesetz 2.0 – Übersicht und Entwicklung der aktuellen Gesetzgebung

Das IT-Sicherheitsgesetz 2.0 nimmt Gestalt an

Machen Sie sich mit dem jüngsten Entwurf vertraut und vergleichen Sie diesen mit den Vorgängerversionen: elfnullelf hat alle relevanten Informationen für Sie aufbereitet! Auf 18 Seiten geben wir eine ausführliche Übersicht über die wichtigsten Änderungen, den Hintergrund der bisherigen Gesetzgebung und den Änderungen im Detail!

Hintergrund

Der Bundestag ist bereits mehrfach Ziel von Hackerangriffen geworden. Der schwerwiegende Datendiebstahl Anfang 2019 hat die Politik jäh wachgerüttelt. Das IT-Sicherheitsgesetz von 2015 muss dringend überarbeitet werden und das neue IT-Sicherheitsgesetz 2.0 muss zügig in Kraft treten. In diesem muss laut Regierungskreisen folgendes verankert werden:

  • Das Bundesamt für Sicherheit in der Informationstechnik (BSI) als oberste Cyberbehörde soll ausgebaut werden, um Attacken erfolgreich abzuwehren.
  • Zusätzlich müssen Staat, Wirtschaft und Gesellschaft resilienter gegenüber Bedrohungen werden.

Bisherige Entwicklung

Nachdem der Referentenentwurf des Bundesinnenministeriums im Frühjahr 2019 publik gemacht wurde, hat die deutsche Unternehmenslandschaft diesen kontrovers diskutiert: Erweiterte Befugnisse des BSI, Ausweitung der Meldepflichten auf weitere Bereiche der Wirtschaft und Einführung eines einheitlichen IT-Sicherheitskennzeichens? Viele Unternehmen haben daraufhin verlauten lassen, dass sie durch das neue IT-SiG 2.0 keine Mehrbelastung bürokratischer, finanzieller und zeitlicher Natur wünschen.

Der neue Gesetzentwurf vom 07.05.2020

Der nun vorliegende Ressortentwurf der Bundesregierung schafft nun mehr Klarheit: Wer ist konkret vom neuen IT-Sicherheitsgesetz 2.0 betroffen? Welche Auflagen müssen erfüllt werden? Welche Bußen können drohen? Welche Vorteile für die IT-Sicherheit Ihres Unternehmens entstehen durch das neue Gesetz? Wie können Ihre Produkte durch das neue IT-Sicherheitskennzeichen wettbewerbsfähiger sein?

Inhalt

Wir geben eine Übersicht über die wichtigsten Änderungen des aktuellen Referentenentwurfs von Mai 2020 gegenüber dem letzten Entwurf des vorherigen Jahres.

Das IT-Sicherheitsgesetz existiert in drei Versionen. 2015 wurde das IT-SiG 1.0 verabschiedet. Der erste Versuch einer neuen Version, ein IT-SiG 2.0, wurde im Frühling 2019 in einem Referentenentwurf des BMI gemacht, nun kommt der nächste Entwurf der Bundesregierung. Wir vergleichen diese drei Versionen: Was war der Hintergrund der Gesetze/Entwürfe und was sind die wichtigsten Punkte?

Wir halten alle Änderungen des IT-Sicherheitsgesetzes im Detail nach.

Der größte Teil der Gesetzesänderungen in allen drei Versionen betreffen das BSI-Gesetz. Diese betreffen die Aufgaben des BSI sowie die Verpflichtungen für KRITIS-Betreiber. Das Telekommunikationsgesetz und das Telemediengesetz konkretisieren die Verpflichtungen für Digitalanbieter und Provider. Weitere Gesetzesänderungen betreffen die Außenwirtschaftsverordnung. Im letzten Entwurf von 2019 waren zudem weitreichende strafrechtliche Änderungen vorgesehen, die im aktuellsten Entwurf weggefallen sind.

Unsere IT Public Affairs Experten

Marian Blok

Public Affairs Consultant bei elfnullelf

Sophie Kollmar

Public Affairs Consultant bei elfnullelf

Übersicht als PDF herunterladen

Erhalten Sie unsere Übersicht und Entwicklung der
aktuellen Gesetzgebung des IT-Sicherheitsgesetzes 2.0.
Geben Sie dafür einfach Ihren Namen und Ihre E-Mail-Adresse ein:

Lobbying-Sprechstunde:  IT-Sicherheitsgesetz 2.0: Bringt‘s das noch?

Zum IT-Sicherheitsgesetz 2.0 hat elfnullelf am 17.04.2020 ein Webinar in unserem Format „Lobbying-Sprechstunde“ veranstaltet.

Clips und eine Zusammenfassung finden Sie hier.

Wir von elfnullelf wollen in der Public Affairs-Beratung innovative Wege gehen. Für unsere Kunden entwickeln wir fortlaufend neue digitale Lösungen und Formate für eine erfolgreiche politische Kommunikation und Interessenvertretung. Inhaltlich sind wir spezialisiert auf die Themen: Digitale Transformation, IT-Sicherheit und Datenschutz, Gesundheits- und Pharmapolitik sowie Hygienethemen, Innovatives Planen und Bauen inkl. BIM-Prozesse, Mobilitäts- und Energiewende sowie nachhaltige Konsumgüter. Seit rund 10 Jahren beraten wir Unternehmen, Verbände und öffentliche Einrichtungen.


Lobbying-Sprechstunde: IT-Sicherheitsgesetz 2.0

Zusammenfassung Lobbying-Sprechstunde:

IT-Sicherheitsgesetz 2.0: Bringt‘s das noch?

elfnullelf gibt Einblicke in die Public Affairs-Arbeit und beantwortet Ihre Fragen in einem kostenfreien 45-minütigen live Webinar im Gespräch mit einem Praxis-Experten.

In unserem Live-Webinar am 17.04. ging es um folgende Themen:

  • Was wird aus dem IT-Sicherheitsgesetz 2.0?
  • Werden unsere Unternehmen davon profitieren?
  • Welche Lehren können wir aus der Corona-Krise für die IT-Sicherheit ziehen?

In den folgenden Video-Clips finden Sie die wichtigsten Inhalte unseres Webinars.

Es waren live im Webinar per Video zugeschaltet:

Stefan Müller

Business-Consultant in der Unit IT Security der direkt gruppe in Hamburg mit mehrjähriger Erfahrung als IT-Projektleiter

Fabian Haun

Geschäftsführender Gesellschafter von elfnullelf und Public Affairs-Experte im IT-Bereich.

Zusammenfassung als PDF herunterladen

Erhalten Sie eine Zusammenfassung mit den wichtigsten Fragen und Antworten aus unserem Webinar per E-Mail. Geben Sie dafür einfach Ihren Namen und Ihre E-Mail-Adresse ein:

Video-Clips aus dem Webinar

Block 1: Überblick zum Gesetzentwurf

Diskussion zu den geplanten Maßnahmen

Block 2: Stand der Dinge und Roadmap

Block 3: Konsequenzen aus der Corona-Krise

Expertise & Kontaktdaten

Die direkt gruppe ist ein anerkannter Digitalisierungspartner für IT-Strategie- und Technologie, Transformation und Solutions sowie SAP-Prozessberatung. Der Gruppe gehören vier Unternehmen an: direkt gruppe GmbH, advanced technology direkt GmbH, business solutions direkt GmbH und die solutions direkt AG. Über 250 Mitarbeiterinnen und Mitarbeiter an den Standorten Hamburg, Köln, München und Paderborn verfolgen seit der Gründung im Jahr 1998 die Grundwerte Innovation, Servicequalität und Kundenorientierung. Zu den Kunden zählen große und mittelständische Unternehmen in Deutschland. Die direkt gruppe ist strategischer Partner von Amazon Web Services, Microsoft und SAP.

Wir von elfnullelf wollen in der Public Affairs-Beratung innovative Wege gehen. Für unsere Kunden entwickeln wir fortlaufend neue digitale Lösungen und Formate für eine erfolgreiche politische Kommunikation und Interessenvertretung. Inhaltlich sind wir spezialisiert auf die Themen: Digitale Transformation, IT-Sicherheit und Datenschutz, Gesundheits- und Pharmapolitik sowie Hygienethemen, Innovatives Planen und Bauen inkl. BIM-Prozesse, Mobilitäts- und Energiewende sowie nachhaltige Konsumgüter. Seit rund 10 Jahren beraten wir Unternehmen, Verbände und öffentliche Einrichtungen.