Hosting einer Whistleblower-Lösung: Warum Sie sich für Europa entscheiden sollten 

Glaubwürdigkeit und Vertrauenswürdigkeit sind entscheidend, wenn es um Whistleblowing geht. Whistleblower-Systeme verarbeiten häufig sensible Informationen über die Tätigkeit einer Person oder eines Unternehmens. Nach der Umsetzung der Allgemeinen Datenschutzverordnung (DSGVO) und der Aufhebung des Privacy Shield (mehr dazu weiter unten) steht der Schutz von Hinweisgebern nun im Mittelpunkt. Externe Stellen sollten unter keinen Umständen in der Lage sein, Informationen in Fällen von Hinweisgebern anzufordern oder darauf zuzugreifen. Aus diesem Grund ist es immer wichtiger geworden, ein europäisches Hosting für Ihre Whistleblower-Lösung zu wählen.  

In diesem Leitfaden werden wir die Folgen des für ungültig erklärten Privacy Shield und des Schrems II-Urteils für europäische Unternehmen erläutern. Wir werden auch einige wichtige Punkte erwähnen, die bei der Auswahl einer Whistleblower-Lösung, die personenbezogene Daten hostet und verwaltet, zu beachten sind 

1. Was sind personenbezogene Daten? 
2. Übertragung von Daten außerhalb der EU / des EWR 
3. Das Datenschutz Schild (Privacy Shield) 
4. Schrems-II-Urteil: Folgen 
5. Was sind die EU-Standard Vertragsklauseln? 
6. Können US-Unternehmen europäische personenbezogene Daten verarbeiten? 
7. Langfristige Lösungen für Datenübertragungen 

1. Was sind personenbezogene Daten? 

Personenbezogene Daten umfassen alle Informationen über eine identifizierte oder identifizierbare Person, einschließlich, aber nicht beschränkt auf: 

• Name und Adresse 
• Personalausweisnummer und Passnummer 
• Jahreseinkommen und Gehalt 
• Kulturelles Profil 
• IP Adresse 

Sensible Daten bedürfen eines besonderen Schutzes, da ihre Offenlegung zu erheblichen Risiken für die Grundrechte und die Freiheit des Einzelnen führen könnte. Dazu gehören Informationen über ethnische Zugehörigkeit, Sexualität, politische und religiöse Überzeugungen, Informationen über die Gesundheitsfürsorge, genetische und biometrische Informationen sowie soziale Verhältnisse und Informationen über das Privatleben einer Person.  

Seit der Einführung der Allgemeinen Datenschutzverordnung (DSGVO) genießen alle Bürger der EU-Mitgliedstaaten das gleiche Schutzniveau für personenbezogene Daten. Das bedeutet auch, dass Sie personenbezogene Daten innerhalb der EU/des EWR-Raums sicher übermitteln können. Da es außerhalb der EU keine vergleichbaren Gesetze gibt, sind die Regeln für die Datenübermittlung in Drittländer sehr streng und die Übermittlung personenbezogener Daten ist nur in bestimmten Fällen zulässig.

2. Datenübermittlung außerhalb der EU: Was ist ein „Drittland“? 

Als „Drittstaaten“ gelten in diesem Zusammenhang alle Staaten außerhalb des EU-/EWR-Raums. Personenbezogene Daten dürfen grundsätzlich nicht an Drittländer übermittelt werden. Dies gilt auch für die Nutzung eines externen Anbieters zur Verarbeitung oder Speicherung von Daten, einschließlich des Hostings von Hinweisgeberlösungen. 

Nach der DSGVO muss der Schutz europäischer Bürgerinnen und Bürger auch bei der Übermittlung personenbezogener Daten in Länder außerhalb der EU gelten. Ihre Organisation darf Daten nur dann in Drittländer exportieren, wenn die folgenden Kriterien erfüllt sind: 

• Die Verarbeitung personenbezogener Daten ist in der konkreten Situation zulässig (z. B. zur Erfüllung eines Vertrags). 
• Es wurde sichergestellt, dass das Empfängerland ein angemessenes Datenschutzniveau gemäß einem Angemessenheitsbeschluss der Europäischen Kommission aufweist. In der Liste der sicheren Drittländer sind die USA nicht aufgeführt. 
• Liegt kein Angemessenheitsbeschluss vor, müssen Sie ausreichende Garantien für den Datenschutz gewährleisten. Zum Beispiel durch besondere Bestimmungen in der Vereinbarung mit einer nichteuropäischen Partei (siehe unten zu den EU-Standardvertragsklauseln). 
• Es gibt jedoch mehrere Ausnahmen. Die wichtigste davon ist die Einwilligung der betroffenen Person. 

3. Was ist das Privacy Shield?  

Privacy Shield ist eine Selbstzertifizierung in den Vereinigten Staaten, bei der US-Unternehmen bescheinigen können, dass sie bestimmte Anforderungen erfüllen. Zuvor hatte die EU zugestimmt, dass das Privacy-Shield-Abkommen ein angemessenes Schutzniveau gewährleistet und eine gültige Grundlage für die Übermittlung personenbezogener Daten aus der EU in die Vereinigten Staaten darstellt.  

Nach einer Überprüfung des Abkommens durch den Europäischen Gerichtshof (siehe Schrems II) wurde festgestellt, dass das Privacy Shield keinen angemessenen Rechtsschutz gegen Überwachungs- und Geheimdienstprogramme bietet.  Die US-Gesetze könnten es bestimmten US-Behörden ermöglichen, Zugang zu den personenbezogenen Daten von EU-Bürgern zu verlangen.   

4. Was ist das Schrems-II-Urteil und wie wirkt es sich auf europäische Organisationen aus? 

Privacy Shield ermöglicht europäischen Unternehmen die Nutzung amerikanischer Cloud-Dienste ohne Rücksicht auf die erhobenen und gespeicherten personenbezogenen Daten. Etwa 5.000 amerikanische Unternehmen (einschließlich Facebook) haben den Datenschutzschild ebenfalls verwendet, um personenbezogene Daten von europäischen Nutzern zu erhalten. 

Maximilian Schrems, ein Datenschutzaktivist aus Österreich, war nicht damit einverstanden, dass Facebook seine persönlichen Daten in die Vereinigten Staaten übermittelt hat. Grund dafür ist, dass die amerikanischen Gesetze keinen ausreichenden Schutz vor nachrichtendienstlichen Aktivitäten bieten. Schrems brachte seinen Fall vor die irische Datenschutzbehörde, und im Juli 2020 entschied der Europäische Gerichtshof, dass das Datenschutzschild-Abkommen zwischen der EU und den USA keinen ausreichenden Schutz bietet. Das Urteil besagt eindeutig, dass die allgemeine Datenschutzverordnung der EU (GDPR) auch dann anzuwenden ist, wenn kommerzielle Akteure personenbezogene Daten in Länder außerhalb des EU/EWR-Raums übermitteln. 

5. Neue EU-Standardvertragsklauseln 

Das Urteil in der Rechtssache Schrems II unterstreicht, dass der Schutz natürlicher Personen durch die Datenschutz-Grundverordnung auch für die Übermittlung personenbezogener Daten gelten muss. Daher ist es verboten, Daten in Länder zu übermitteln, in denen der Schutz personenbezogener Daten geringer ist als in der EU garantiert. Datenübermittlungen sind nur möglich, wenn ausreichende Schutzmaßnahmen getroffen wurden. 

Im Juni 2021 verabschiedete die Europäische Kommission eine neue Reihe sogenannter Standardvertragsklauseln“. Damit soll das gleiche Schutzniveau für die persönliche Freiheit und die Grundrechte, das innerhalb der EU gilt, aufrechterhalten und die Einhaltung des Schrems-II-Urteils erleichtert werden. Um alle Anforderungen an die sichere Übermittlung personenbezogener Daten zu erfüllen, müssen diese Klauseln möglicherweise noch durch zusätzliche Schutzmaßnahmen ergänzt werden. Dies muss der für die Verarbeitung personenbezogener Daten Verantwortliche der Organisation von Fall zu Fall entscheiden. 

6. Ist es für amerikanische Unternehmen überhaupt möglich, europäische personenbezogene Daten zu verarbeiten?  

Große amerikanische Cloud-Dienstleister, wie z. B. Microsoft (Azure und Microsoft 365), haben ihren Kunden versichert, dass sie alle Daten innerhalb der EU verarbeiten und speichern und somit die DSGVO einhalten werden. 

 Abgesehen von der Schaffung paralleler Strukturen gibt es keine Garantie dafür, dass diese Unternehmen in der Lage sein werden, die US-Gesetzgebung zu umgehen. FISA – Foreign Intelligence Surveillance Act – ist ein Bundesgesetz, das es den US-Behörden ermöglicht, auf europäische personenbezogene Daten zuzugreifen, selbst wenn sich die Server des Unternehmens auf EU-Gebiet befinden. 

 Maximilian Schrems ist der Gründer der gemeinnützigen Organisation „None of Your Business (Noyb)“. Ziel der Organisation ist es, die Einhaltung der Datenschutz-Grundverordnung und andere potenziell die Privatsphäre verletzende Datenverarbeitungen zu überwachen. Ihm zufolge unterliegen große US-Unternehmen immer noch dem FISA-Gesetz und müssen den US-Behörden auf Verlangen Folge leisten. Die schwedische Datenschutzbehörde IMY hat ebenfalls mehrere Untersuchungen eingeleitet, nachdem Noyb Beschwerden gegen schwedische Unternehmen eingereicht hatte. 

7. Was sind die langfristigen Lösungen für das Hosten eines Whistleblower-Dienstes? 

Derzeit gibt es keine einheitliche, einfache und umfassende Lösung für die legale Verarbeitung personenbezogener Daten in den USA oder in einem anderen Land außerhalb der EU. Wenn der für die Datenverarbeitung Verantwortliche sich für die Verwendung der Standardvertragsklauseln entscheidet, muss er dennoch von Fall zu Fall entscheiden, ob zusätzliche Sicherheitsmaßnahmen erforderlich sind.  

Die Arbeiten zur Schaffung eines europäischen digitalen Ökosystems und einer Daten Cloud sind im Gange, doch wird dies noch einige Zeit in Anspruch nehmen. Derzeit besteht die beste Lösung für europäische Unternehmen, die personenbezogene Daten verarbeiten, darin, einen europäischen Anbieter zu wählen. Auf diese Weise können Sie sicherstellen, dass alle Daten auf Servern in der EU/im EWR gespeichert werden und alle Anforderungen der Datenschutz-Grundverordnung erfüllt sind. Dies gilt auch, wenn die Übermittlung von einem Unterauftragnehmer durchgeführt wird. 

Hosting von Whistleblower-Lösung: Die Privatsphäre der Nutzer muss durch Datenverarbeitungs- und Sicherheitsprozesse gewährleistet werden 

Es ist äußerst wichtig, dass sowohl private Unternehmen als auch öffentliche Organisationen wissen, welche Art von Daten sie sammeln und wie sie diese verwalten und speichern. Sie müssen wissen, in welcher Umgebung Ihr Dienstanbieter organisatorische Daten verwaltet, da Sie möglicherweise keine Rechtsgrundlage für die Verarbeitung personenbezogener Daten außerhalb der EU/des EWR haben. Wenn Sie einen europäischen Anbieter für das Hosting Ihrer Whistleblower-Lösung wählen, können Sie eine Datenverarbeitung vermeiden, die den Schutz der Privatsphäre der Nutzer nicht gewährleistet. Es ist auch viel einfacher, alle Anforderungen der Allgemeinen Datenschutzverordnung zu erfüllen.  

Für das Hosting unserer Whistleblowing-Lösungen arbeitet Whistlelink seit langem mit GleSYS zusammen. GleSYS ist ein skandinavisches Unternehmen mit sicheren, hochmodernen Rechenzentren, die alle gesetzlichen Anforderungen erfüllen. Mit einer ISO 27001-Zertifizierung für Informationssicherheits-Managementsysteme erfüllt GleSYS alle Sicherheitsanforderungen, insbesondere in Bezug auf Vertraulichkeit, Genauigkeit und Verfügbarkeit, sowie die geltenden Gesetze.   

Unsere Vision ist es, allen Organisationen das beste, sicherste und benutzerfreundlichste Whistleblowing-System auf dem Markt zur Verfügung zu stellen, und wir nehmen die Datensicherheit sehr ernst. Dank unserer langjährigen Zusammenarbeit mit GleSYS können wir Ihnen einen kompletten Whistleblower-Service anbieten, bei dem alle sensiblen Daten auf europäischen (schwedischen) Servern gespeichert sind. 

Sind Sie daran interessiert, mehr über einen Whistleblowing-Dienst und sichere interne Meldewege zu erfahren? Lesen Sie mehr über die EU-Whistleblowing-Richtlinie zur Meldung von Missständen hier und bei EUR-Lex.

Sind Sie auf der Suche nach einem sicheren Hinweisgebersystem für die Meldung von Missständen? Lesen Sie hier mehr.

Möchten Sie über ein Whistleblower-System für Ihr Unternehmen sprechen? Bitte kontaktieren Sie uns oder erbitten Sie eine kostenlose Demo!