EDV-Beratung und Datenschutz Michael Straub

Was hat sich die Exekutive aus dem Fenster gelehnt, nachdem das "Safe Harbor"-Abkommen mit den USA einer gerichtlichen Überprüfung nicht standgehalten hatte. Mit dem "Privacy Shield"-Abkommen attestierte sie den USA bezüglich der DS-GVO ein gleichwertiges Schutzniveau, somit waren Datenübermittlungen problemlos möglich. 

Angesichts der tatsächlichen Verhältnisse rieb sich der verwunderte Bürger die Augen, aber es gab nun einmal den Angemessenheitsbeschluß der EU-Kommission, und damit war waren die USA ein sicheres Drittland.

Dann kam Maximilian Schrems. Der hatte schon einmal Facebook in die Knie gezwungen. Diesmal verlangte er von der irländischen Datenschutzbehörde (Facebook wird in Europa durch die irische Niederlassung vertreten), dass sie Facebook die Übermittlung seiner Daten in die USA untersagen solle. Die generell eher unkritische irische Behörde kam dem nicht nach, worauf er klagte - und vor dem europäischen Gerichtshof Recht bekam. 

Der Gerichtshof erklärte in seinem Urteil C-311/18 ("Schrems II") am 16.7.2020 den Angemessenheitsbeschluß und somit das gesamte "Privacy Shield"-Abkommen für ungültig. D.h., Datenübermittlungen in die USA sind nicht mehr so einfach möglich. In jedem Fall sind nun einzelvertragliche Vereinbarungen erforderlich und Risiken müssen neu bewertet werden.

Derzeit herrscht große Unsicherheit: Dienste wie Facebook müssten eigentlich in der EU sofort abgeschaltet werden. Auch die Nutzung von MS-Windows, MS-Office-Produkten, Videokonferenzsoftware etc. ist eigentlich nicht mehr statthaft. Eigentlich.

Die Landesdatenschutzbeauftragten und der Bundesdatenschutzbeauftragte vertreten unterschiedliche, teils gegenteilige Auffassungen. Wir "einfache" Datenschutzbeauftragte fühlen uns im Stich gelassen. Dringend benötigen wir eindeutige Einschätzungen und Vorgaben. Es geht nicht an, dass jetzt jede einzelne Firma mit Microsoft und Konsorten in Verhandlung tritt, und auch ein Verzicht auf die Software des Marktführers erscheint schwierig und lässt sich unmöglich sofort umsetzen.

So sieht es aber beispielsweise die Behörde in Niedersachsen: Zitat: "Sofern ein Verantwortlicher zu dem Schluss gelangt, dass unter Berücksichtigung der Umstände der Übermittlung und etwaiger zusätzlicher Maßnahmen keine angemessenen Garantien gewährleistet sind, besteht die Verpflichtung, die Übermittlung personenbezogener Daten auszusetzen oder zu beenden."

Das ist insofern zynisch, weil gerade Landes- und Bundesbehörden weitermachen, als sei nichts geschehen. Momentan, in Zeiten der Pandemie blühen Dienste wie MS-Teams und Videokonferenzdienste geradezu auf.

Die Verursacherin der Misere, die EU-Kommission, zuckt mit den Schultern und tut nichts. Wir stehen vor einem Scherbenhaufen.

Was ich erwarten würde:

Die EU hat durchaus Macht. Ich würde erwarten, dass die EU zumindest mit den großen Anbietern ins Gespräch geht und eine akzeptable Lösung herbeiführt. Alternativ, und dazu muss die EU bereit sein, muss auch eine Firma wie Microsoft oder Amazon vom europäischen Markt ausgeschlossen werden, wenn sie sich nicht an Recht und Gesetz halten will oder kann.

Leider macht z.B. der LfDI Rheinland-Pfalz unmissverständlich klar, dass die Verantwortung bei den einzelnen Unternehmen liegt und dass er auch sanktionieren wird.