Ein Jahr EuGH-Urteil zum Privacy Shield: Was sich seitdem getan hat

Veröffentlicht am: 16. Juli 2021 Autor: Ralf Koenzen Veröffentlicht in Netzpolitik Keine Kommentare

Die Ratlosigkeit war groß, als der Europäische Gerichtshof am 16. Juli 2020 eines der wohl bahnbrechendsten Digital-Urteile (Schrems II) verkündete. Nach Klage des österreichischen Datenschutzaktivisten Max Schrems, der 2015 bereits das Safe Harbour-Abkommen zu Fall brachte, erklärte der EuGH das EU-US Datenschutzabkommen Privacy Shield für ungültig. Damit verlor ein Großteil der Transfers personenbezogener Daten von EU-Bürger:innen an US-Unternehmen von jetzt auf gleich die rechtliche Legitimation.

Was dann folgte, war: lange nichts. Zwar wurden (sehr) schnell vom Europäischen Datenschutzausschuss umfangreiche FAQs zum Umgang mit dem Urteil erstellt. Seitens der Aufsichtsbehörden jedoch wurde erstmal abgewartet. Offenbar war es schwierig, eine einheitliche Linie zu finden.

US-Anbieter wiegeln ab

Das größte Beharrungsvermögen bewiesen die Anwenderunternehmen selbst. Bestärkt durch die – juristisch nicht haltbaren – Beschwichtigungen vieler US-Tech-Riesen, das Urteil habe auf ihr Angebot eigentlich keine Auswirkungen, nutzen viele Unternehmen und Institutionen US-Cloud-Dienste bis heute unverändert weiter. Oder, noch frappierender, schaffen sie immer noch neu an.

Der umstrittene Einsatz von Microsoft Teams in deutschen Schulen ist nur ein Beispiel dafür. Oder die Nutzung von Cloud-basierten Netzwerken von US-Herstellern im so sensiblen Gesundheitssektor. Geschichten von IT-Anwendern, die ihre Systeme nach dem EuGH-Urteil konsequent geprüft und in der Folge umgestellt hätten, hört man hingegen selten.

Wirtschaftsinitiative für mehr Datenschutz formiert sich

Um das zu ändern, formierte sich Anfang des Jahres eine bis dato wohl einmalige Initiative. Unter dem Label „Privacy Provided“ schlossen sich mehrere IT-Anbieter zusammen, um Anwender aus Wirtschaft und Verwaltung auf dem Weg in eine DSGVO-konforme Systemlandschaft zu begleiten. Für uns eine Selbstverständlichkeit, dass wir hier dabei sein mussten!

Den Auftakt der Kampagne bildeten im Mai eine Reihe von Videoclips zu typischen Datenschutz-Irrtümern sowie drei Kamingespräche, für die Datenschutzaktivist Max Schrems als „Experte der ersten Stunde“ gewonnen werden konnte. Eines dieser Gespräche durfte meine Kollegin Pamela Krosta-Hartl mitmoderieren und es hat definitiv gezeigt: Datenschutz kann auch unterhaltsam sein.

Rund 800 Teilnehmer:innen zeugen von dem immensen Interesse und Aufklärungsbedarf, der hier noch herrscht. Wer nicht dabei sein konnte: Die Mitschnitte gibt es auf der Homepage der Initiative zum Nachschauen. Absolut sehenswert.

Aufsichtsbehörden nehmen Prüfungen auf

Kurz darauf änderten dann auch die hiesigen Datenschutz-Aufseher ihren Handlungsansatz. Hatten sie bis dato darauf verzichtet, Bußgeldbescheide aufgrund von Datenschutzverstößen auszustellen, die sich durch die neue Rechtslage ergaben, kündigten sie nun ein Ende der Schonfrist an.

In einer konzertierten Aktion starteten die Landesdatenschutzbehörden aus Baden-Württemberg, Bayern, Berlin, Bremen, Brandenburg, Hamburg, Rheinland-Pfalz und dem Saarland im Juni eine erste aktive Prüfung der Umsetzung des Schrems II-Urteils. Im Fokus unter anderem: Dienstleistungen rund um E-Mail-Versand, Hosting von Internetseiten, Webtracking, Kundendaten sowie Daten von Beschäftigten.

Bis die ersten Bußgeldbescheide ausgestellt werden, dürfte es also nur noch eine Frage der Zeit sein.

Neue Standardvertragsklauseln lösen das Problem nicht

Ebenfalls im Juni veröffentlichte die EU-Kommission die von vielen Cloud-Kunden sehnlichst erwarteten neuen Standardvertragsklauseln (Standard Contractual Clauses, SCCs) für den internationalen Datentransfer. Schließlich hatte der EuGH in seinem Privacy Shield-Urteil den rund zehn Jahre alten Standardvertragsklauseln keine generelle Absage erteilt. Allerdings unter der Voraussetzung, dass eine Einzelfallprüfung die Einhaltung eines angemessenen Datenschutzniveaus im Drittland bestätigt.

Um es vorwegzunehmen: Auch die überarbeiteten SCCs bieten nicht die erhoffte Rechtssicherheit beim Transfer personenbezogener Daten in die USA bzw. an US-Unternehmen. Denn trotz neuer Struktur und zusätzlicher Regelungen – bspw. zu Datenschutz-Folgenabschätzung, Umgang mit Regierungsanfragen und Informationspflichten -, bleibt die Einzelfallprüfung des Datenschutzniveaus im jeweiligen Drittland unumgänglich. Und genau hier liegt Expert:innen zufolge der Knackpunkt: Solange sich die Gesetzeslage in den USA mit FISA und CLOUD-ACT nicht ändert, wird genau diese Einzelfallprüfung in der Regel nicht positiv ausfallen können.

Was jetzt zu tun ist

Damit ist klar: An zusätzlichen technischen und organisatorischen Maßnahmen werden US-Cloud-Kund:innen folglich auch mit den neue SCCs nicht vorbeikommen. Wo diese nicht möglich sind, wie etwa bei Cloud-Systemen, die mit unverschlüsselten Produktivdaten arbeiten müssen, bleibt nach wie vor nur die Migration auf DSGVO-konforme Lösungen.

Anwender:innen, die auf das „Allheilmittel“ neue SCCs gehofft hatten, müssen also umgehend aktiv werden und nach alternativen Lösungen suchen. Sei es zur technischen Absicherung oder für eine Migration. Genau das empfahl übrigens auch Max Schrems in unserm Kamingespräch im vergangenen Monat, der sonst ein „endlos loderndes Feuer“ in den Compliance- und Rechtabteilungen der Unternehmen befürchtet.

An praktischen Hilfestellungen in Form von Leitfäden und Gutachten mangelt es im Übrigen nicht. Jetzt wäre die richtige Zeit für eine ausgiebige Lektüre.

Verwandte Posts

Kommentieren

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.