Schrems 2 und dessen Auswirkungen auf Hinweisgebersysteme

Oktober 27, 2020

Vor Kurzen erhielten wir einige Fragen zu Schrems 2 und dessen Auswirkungen auf Hinweisgebersysteme. In diesem Artikel beantworten wir eine Reihe von wichtigen Fragen zu Schrems 2. Wir konzentrieren uns dabei insbesondere auf Whistleblowing und WhistleBs fortwährendes starkes Engagement für Datensicherheit.

Was ist Schrems 2?

Schrems 2 ist ein Urteil des Europäischen Gerichtshofs (EuGH). Es besagt, dass das EU-US-Datenschutzschild, das den Transfer personenbezogener Daten in die USA regelt, nicht mehr ausreichend ist, um die Datenschutzanforderungen der EU zu erfüllen. Das im Juli 2020 verkündete Urteil erklärte damit die bisher bestehende Vereinbarung mit den USA für unwirksam.

Wieso wirkt sich dieses Urteil auf das Whistleblowing aus?

Je nach Standort, Struktur und ausgewähltem Dienstleister für Hinweisgebersysteme übertragen gewisse Organisationen möglicherweise Whistleblowing-Daten zwischen der EU und den USA. 

Welche Teile der US- und EU-Gesetzgebung sind relevant?

Die DSGVO der EU schränkt die Übermittlung personenbezogener Daten in Länder außerhalb der EU ein, die keinen angemessenen Schutz garantieren können, es sei denn, es gibt eine Ausnahme oder einen Alternativen anerkannten Mechanismus, der übernommen wird. 

Bisher waren Standardvertragsklauseln (SVK) und das Datenschutzschild (für den Transfer in die USA) die üblichsten, angewendeten Schutzmechanismen bei der Übertragung personenbezogener Daten.

Seit 2018 können US-Regierungsbehörden gemäß dem US-amerikanische CLOUD Act beim Gericht der Vereinigten Staaten von Amerika eine Anordnung beantragen, die Unternehmen, die amerikanischem Recht unterliegen, zur Herausgabe von Nutzerdaten verpflichtet, selbst wenn diese Daten nicht in den USA gespeichert werden — dies schließt also auch die EU ein.

Was ist WhistleB Standpunkt?

Als Anbieter von Cloud-Dienstleistungen mit Sitz in der EU unterliegt WhistleB der DSGVO der EU und erfüllt deren Anforderungen.

Sicherheit steht schon seit unserer Gründung im Zentrum all unserer Aktivitäten – WhistleB schützt sowohl die Daten von Hinweisgebern als auch die unserer Kunden. Von Beginn an haben wir unsere marktführenden Sicherheitsstandards bewusst in unser Hinweisgebersystem integriert und die sichersten IT-Anbieter ausgewählt. 

Datensicherheit und die Konformität mit allen anwendbaren Gesetzen stehen beim Hinweisgebersystem von WhistleB im Mittelpunkt und werden auch weiterhin der Schwerpunkt bleiben. Erfahren Sie in unserem Trust Centre mehr dazu.

Wie und wo speichert WhistleB Daten?

WhistleB hat das marktführende System Microsoft Azure als sicheren Datenhosting-Service für Kundendaten ausgewählt. Microsoft Azure ist in der Branche der führende Dienst für Informationssicherheit, IT-Sicherheit und Datenschutz. 

Alle Kundendaten werden in der EU gespeichert und verarbeitet. Das Hauptrechenzentrum befindet sich in Irland und ein weiteres in den Niederlanden. Microsoft Ireland, der Anbieter von Microsoft Azure, gehört jedoch zur Microsoft Corporation, einem US-amerikanischen Unternehmen, das gegebenenfalls dem CLOUD Act unterliegt. 

Wie wird im System von WhistleB die Offenlegung gehandhabt?

WhistleB hält sich genauestens an die DSGVO und die EU-Richtlinie zum Schutz von Hinweisgebern. Eine Aufforderung zur Offenlegung von Daten würde ein wesentliches Risiko darstellen, da wir damit gegen eine oder sogar beide Gesetzgebungen verstoßen würden. WhistleB kann niemanden Kundendaten offenlegen.

Die Kundendaten werden bei WhistleB auch vor der Offenlegung geschützt, da wir eine starke Verschlüsselungsmethode in unserem Hinweisgebersystem nutzen. Diese Methode stellt sicher, das nur durch den Kunden auf Daten zugegriffen werden kann und nicht durch WhistleB, Dienstleister, Behörden oder andere Drittparteien. Kunden von WhistleB haben die volle und alleinige Kontrolle über den Verschlüsselungscode. Die Entschlüsselung von und der Zugriff auf Daten kann nur durch den Kunden durchgeführt oder ermöglicht werden.

Wie wirkt sich das Schrems-2-Urteil auf die DSGVO-Konformität von WhistleB aus?

Die Ungültigkeitserklärung des EU-US-Datenschildes wirkt sich nicht auf die DSGVO-Konformität des Systems von WhistleB aus. WhistleB und Microsoft Ireland, Anbieter von Microsoft Azure, übermitteln keine Daten in die USA oder an Drittparteien außerhalb der EU. Kunden können sich jedoch dazu entscheiden, den Zugriff auf das Fallmanagement-Tool für Länder außerhalb der EU zu gewähren.  Die Überwachung der Datensicherheit obliegt dem Kunden und dieser stellt auch sicher, dass die Beschränkungen für Nutzerzugriffe auf Kundendaten eingehalten werden.

Der Standpunkt von WhistleB ist: Microsoft Azure bietet auf Grundlage der Standardvertragsklauseln ausreichend Garantien, dass die Anforderungen der DSGVO für die Übermittlung von personenbezogenen Daten an Drittländer eingehalten werden. WhistleB steht deshalb weiterhin hinter diesen Garantien. 

Wie geht es jetzt weiter?

Datasicherheit und die Konformität mit allen anwendbaren Gesetzen stehen beim Hinweisgebersystem von WhistleB im Mittelpunkt und werden auch weiterhin der Schwerpunkt bleiben. Wir werden deshalb die Entwicklungen in diesem Bereich und zwischen der EU und den USA genauestens beobachten, da nun aufgrund des Schrems-2-Urteils eine Vereinbarung fehlt. 

Wo kann ich mehr dazu erfahren?

Wenn Sie über Schrems 2 und die potentiellen Auswirkungen dieses Urteils auf Hinweisgebersysteme sprechen möchten, melden Sie sich gerne bei uns.

Kontakt:

Gunilla Hadders, Geschäftsführerin von WhistleB, Whistleblowing Centre
+46  70 214 88 73, gunilla.hadders@whistleb.com

Autor:
Gunilla Hadders, Founding Partner

Kontakt

Your message was successfully send. We will get in contact with you as soon as possible.

There seems to be some problem when sending your message. Try again soon.