-
US CLOUD Act vs GDPR three years later – A struggle for compliance and data security
On March 23, 2018, the CLOUD Act ("Clarifying Lawful Overseas Use of Data Act"), a controversial US law, was launched[1]. Its goal is to provide law enforcement authorities with a powerful tool to effectively combat organized crime and terrorism. The CLOUD Act allows US authorities and international law enforcement agencies to make access requests to cloud operators and is also intended to make it easier to enforce these requests. Since the requested information usually contains personal data, data protectionists repeatedly criticize the CLOUD Act. Above all, the danger that innocent EU citizens could get caught in the crosshairs of state actors still leaves a stale taste in the legislation. Compliance…
-
Drei Jahre US CLOUD Act vs DSGVO – ein Ringen um Compliance und Datensicherheit
Am 23. März 2018 wurde mit dem CLOUD Act („Clarifying Lawful Overseas Use of Data Act“) ein umstrittenes US-amerikanisches Gesetz aus der Taufe gehoben[1]. Dessen Ziel ist es, Strafverfolgungsbehörden ein schlagkräftiges Instrument an die Hand zu geben, um organisierte Kriminalität sowie Terrorismus effektiv bekämpfen zu können. Der CLOUD Act erlaubt es US-Behörden und internationalen Strafverfolgern, Zugriffsanfragen an Cloud-Betreiber zu richten und soll es zudem erleichtern, diese Anfragen durchzusetzen. Da die angeforderten Informationen in der Regel auch personenbezogene Daten beinhalten, äußern Datenschützer immer wieder Kritik am CLOUD Act. Vor allem die Gefahr, dass unbescholtene EU-Bürger ohne Anlass ins Fadenkreuz staatlicher Akteure geraten könnten, hinterlässt bis heute einen faden Beigeschmack an dem…
-
Wirksamer Schutz von Patientendaten in der Cloud: Das Bayerische Krankenhausgesetz braucht ein Update
In Bayern ticken die Uhren oft ein wenig anders als im Rest der Bundesrepublik. Die föderale Struktur Deutschlands ist auch der Grund, weshalb wir Bayern einen Sonderweg in Sachen Datenschutz eingeschlagen haben. Ein folgenreicher Unterschied ist im Bayerischen Krankenhausgesetz (BayKrG) zu beobachten. Artikel 27 limitiert die Cloudnutzung für Krankenhäuser durch besonders strenge Richtlinien, um medizinische Patientendaten vor unberechtigtem Fremdzugriff zu schützen. So dürfen Drittanbieter nur dann für die Datenverarbeitung herangezogen werden, sofern das Krankenhaus die Schlüsselgewalt für die Daten wahrt und Weisungsbefugnis über die datenverarbeitenden Mitarbeiter des externen Dienstleisters erhält. Der Artikel 27 des BayKrG zum Gewahrsam des Klinikums wurde Anfang der 1990er Jahre konzipiert. Ziel des Artikels war es,…
-
Elektronische Gesundheitskarte: Confidential Computing schützt Patientendaten
Letzte Woche wurde ein Streitfall vor dem Bundessozialgericht entschieden, demzufolge Patienten keinen Anspruch auf einen Versicherungsnachweis in Papierform besitzen[1]. Die Kläger beanstandeten die mangelnde Datensicherheit, doch das Gericht befand die elektronische Gesundheitskarte als DSGVO konform. Gemäß des „risikobasierten Ansatzes“ entschieden die Richter, dass das Risiko eines Datenvorfalls dem praktischen Nutzen des elektronischen Versicherungsnachweises unterstehe. Elektronische Gesundheitskarte: Ein Restrisiko besteht immer – man kann es aber minimieren Risiken sind ein untrennbarer Teil des Lebens. Man kann sich von ihnen entmutigen lassen, oder aber aktiv an der Minderung ihrer Eintrittswahrscheinlichkeit arbeiten. So ist es auch im Fall der elektronischen Gesundheitskarte. Denn auch ein auf Papier gedrucktes Dokument garantiert keine absolute Datensicherheit und…
-
Datenweitergabe nach E-Evidence vs Confidential Computing: Werden ganze Berufsgruppen von der Cloud-Nutzung ausgeschlossen?
Mit E-Evidence schickt sich ein neues, internationales Regelwerk an, Daten über Landesgrenzen hinweg für Behörden verfügbar zu machen[1]. Fordert beispielsweise die Justizbehörde in Griechenland die Nutzerdaten eines deutschen Kunden an, so soll es zukünftig möglich sein, den deutschen Cloud-Anbieter zur Herausgabe dieser Daten zwingen zu können. Davon betroffen sind alle Informationen, die dem Cloud-Dienstleister über seinen Kunden zur Verfügung stehen: Angefangen von den gespeicherten Inhalten bis hin zu den Metadaten bezüglich des Zeitpunkts der Datenübertragung, IP-Adresse des Absenders sowie den Empfänger der Datenpakete. Dieser Entwurf mag für eine effektive internationale Strafverfolgung hilfreich sein – doch die Forderung wirft grundsätzliche Fragen zur Datensicherheit von Cloud-Diensten auf. Cloud-Anbieter können auf Kundendaten zugreifen…
-
Cisco-Studie zum Datenschutz im Home Office – Sealed Cloud ermöglicht hochsichere Datenübertragung und Collaboration
Die neueste Infektionswelle gibt Grund zur Sorge – jeden Tag werden neue Höchststände bei den Neuinfektionen vermeldet. Diese Entwicklung zwingt viele Arbeitgeber dazu, ihre Belegschaft auf unbestimmte Zeit zurück ins Home Office zu schicken. Doch auch Träger von Berufsgeheimnissen stellt die pandemiebedingte Ausnahmesituation vor große Herausforderungen. Vor diesem Hintergrund hat der Hightech-Anbieter Cisco nun die Ergebnisse seiner jüngsten Studie „Future of Secure Remote Work“ veröffentlicht[1]. Dazu wurden zwischen Juni und September 2020 weltweit 3196 Entscheider zu den größten Sorgen im IT-Betrieb aus dem Home Office befragt. Das Ergebnis: 53 Prozent der deutschen Arbeitnehmer arbeiten aktuell im Home Office. 24 Prozent gedenken, die Arbeit von Zuhause auch nach Ende der Corona-Pandemie…
-
Cyber-Versicherungen sind auf dem Vormarsch: Weshalb sichere Cloud-Speicher nun noch wichtiger sind
Die Corona-Pandemie meldet sich in ganz Europa mit Wucht zurück. Viele Firmen haben bereits wieder die Rückkehr von der Rückkehr ins Büro angeordnet – das Home-Office wird wieder bezogen. Durch die Wiederaufnahme der Arbeit in den eigenen vier Wänden kehren auch die vielen Cyber-Risiken an den heimischen Arbeitsplatz zurück. Doch auch wenn der Mitarbeiter vom heimischen Rechner aus arbeitet, obliegt der Großteil der Verantwortung für die Datensicherheit des Unternehmens alleine dem Arbeitgeber. Viele Unternehmen liebäugeln deshalb mit dem Abschluss einer dedizierten Cyber-Versicherung. Immer mehr Versicherer führen eine solche Versicherung in ihrem Portfolio, um die Bedürfnisse ihrer Kunden bedienen zu können. Diese suchen nach einem umfassenden Schutz gegen die Folgen eines…
-
„Too big to care“ – Wie die EU mit dem Digital Services Act der Willkür internationaler Tech-Giganten Einhalt gebieten will
Die europäische Union meldet sich mit einem Paukenschlag aus dem Sommerloch zurück. Mit dem "Digital Services Act" will die europäische Kommission die Kontrolle über die Geschäftspraktiken der zunehmend fordernder auftretenden Global-Player der Tech-Industrie zurückerlangen. Diese haben in jüngster Vergangenheit vor allem mit Ausnahmeregelungen und Steuererleichterungen zu ihren Gunsten, dem Missbrauch ihrer erdrückenden Marktmacht sowie dem sorglosen Umgang mit ihren Kundendaten profiliert. Auch wenn er selbst keine Namen nennt, ergibt sich aus den Schilderungen von EU-Binnenmarktkommissar Thierry Breton doch ein klares Bild, auf wen die neuen Regelungen gemünzt sind: Google, Microsoft, Amazon, Apple und Konsorten. Breton erklärt, man plant außereuropäische Player in Zukunft von unabhängigen Ratingagenturen beobachten zu lassen, um ihnen…
-
Individueller Nutzer-Support im Home Office: TÜV SÜD-Tochter uniscon setzt auf digitalen Userlane-Assistenten
Unternehmen müssen umdenken: Laut einer Umfrage von Gartner möchte ein Großteil der Führungskräfte ihren Mitarbeitern auch in Zukunft Remote Work ermöglichen[1]. Das stellt Firmen und Organisationen gleich vor mehrere Herausforderungen. Denn das digitale Home Office braucht nicht nur Dienste und Infrastrukturen, die den hohen Sicherheitsanforderungen der Unternehmen entsprechen und die über das Web funktionieren. Auch die Hilfe- und Supportkanäle müssen sich den neuen Alltagsbedingungen der User anpassen. Flexible Arbeitszeiten fordern einen flexiblen Support „Viele Cloud-Dienste bieten ein umfangreiches Funktionsspektrum, welches durch den Nutzer nicht immer ohne Hilfe sofort erlernt werden kann. Das gilt auch für unseren Filesharing- bzw. Datenraum-Dienst idgard®“, sagt Karl Altmann, CEO der Münchner TÜV SÜD-Tochter uniscon. „Wenn…
-
„Privacy Shield“-Abkommen zwischen EU und USA für ungültig erklärt – ist es an der Zeit, sich von den USA zu emanzipieren?
Am 12. Juli 2016 trat das transatlantische Datenschutzabkommen[1] zwischen den USA und der EU in Kraft und sollte dafür sorgen, dass personenbezogene Daten europäischer Bürger einen angemessenen Schutz erfahren, auch wenn diese in die USA übermittelt oder auf dortigen Cloudspeichern gelagert werden. Bereits am 25. Januar 2017 beschnitt Donald Trump via Dekret die Rechte aller nicht-US-Bürger wieder und sicherte den US-Geheimdiensten somit den uneingeschränkten Zugriff auf jeglichen Datenverkehr aus dem Ausland[2]. EuGH kippt "Privacy Shield" Am 16. Juli 2020 erklärte der EuGH das „Privacy Shield“-Abkommen schließlich für ungültig[3]. Nach Ansicht der Richter bietet das Abkommen keinen ausreichenden Schutz personenbezogener Daten von EU-Bürgern. Mit dem Ende des Privacy Shield wurden EU-Bürgern…
