Im 32. CIO Erfahrungsaustausch gab sich der Bundedatenschutzbeauftragte Professor Ulrich Kelber die Ehre. Er hielt vor den über 110 Teilnehmern einen Impuls zu den Auswirkungen des Schrems-II-Urteils zum EU-US-Privacy-Shield. Im Anschluss stellte er sich den Fragen der Teilnehmer. Sie waren naturgemäß nicht immer mit seinen Antworten einverstanden, aber alle waren von seiner großen Sachkenntnis auch im Bereich Enterprise IT deutlich beeindruckt.
Kein Schow-stopper
Kelber hält das Schrems-II-Urteil, das durchaus erwartbar gewesen sei, nicht für einen „Show-stopper“. So werde die EU-Kommission zügig veränderte Standardvertragsklauseln vorlegen. Allerdings sind die betroffenen Unternehmen verpflichtet zu prüfen, ob mit den Standardvertragsklauseln allein gleiches Datenschutzniveau erreicht wird, oder ob es zusätzliche Maßnahmen braucht. Er rechnet damit, dass die großen US-Player schon bald organisatorische und rechtliche Schritte unternehmen werden, die zu einer Konformität mit dem europäischen Datenschutz führen. So könnten sie sicherstellen, dass die Daten Europa nicht mehr verlassen und dass ihre US-Mütter keinen Zugriff auf diese Daten erhalten.
Kurzfristig kein neues Abkommen
Allerdings rechnet Kelber kurzfristig nicht mit einem neuen Abkommen zwischen den USA und der EU. Mittelfristig sieht er Chancen, und zwar weil auch die USA ein nationales Datenschutzrecht anstreben. Entsprechende Bestrebungen gebe es bei Republikanern und Demokraten. Beide haben Angst vor einem zersplitterten Datenschutz im eigenen Land.
Eine Absage erteilte der Datenschutzbeauftragte einer Schonfrist gegen Verstöße von Schrems II. Das sei rechtlich nicht möglich. Allerdings werde den Anwendern eine Umstellungsfrist eingeräumt. Das bedeute aber auch, dass die Unternehmen mit der Erfassung betroffener Datenübertragungen begonnen haben, dass sie eine Strategie entwickelt und angefangen haben sollten, diese umzusetzen, wenn kontrolliert wird.
Nicht auf die Ausnahmen verlassen
Kelber betonte, dass nicht nur Datenübertragungen direkt an US-amerikanische Firmen betroffen sind, sondern auch solche an Töchter dieser Firmen, die dem amerikanischen Recht unterliegen. Auch seien nicht nur direkte Datenübertragungen betroffen, sondern auch die Nutzung von Tools und Apps, die solche Daten erfassen und übermitteln.
Sich auf die Ausnahmen der DSGVO zu berufen und mehr oder weniger so weiter zu machen wie bisher, hält der Bundesdatenschutzbeauftrage für keinen gangbaren Weg. Der Artikel 49, auf den sich jetzt auch einige große amerikanische Anbieter beziehen, regele die Ausnahmen und könne nicht Grundlage für eine regelmäßige Datenübertragung sein.
Rechtliche Situation in Drittländern ist oft nicht klar
Zusätzliche technische oder organisatorische Maßnahmen können in bestimmten Fällen nützlich sein. Verschlüsselung könne dann funktionieren, wenn zum Beispiel die Cloud eines US-Anbieters nur für die Ablage von Daten genutzt werde. Dann könnten die Daten verschlüsselt hinterlegt und erst im eigenen Unternehmen wieder entschlüsselt werden. Auch Treuhandmodelle (wie die Deutschland Cloud) können eine Absicherung darstellen. Empfehlungen zu den zusätzlichen Maßnahmen gibt es hier: https://edpb.europa.eu/sites/edpb/files/consultation/edpb_recommendations_202001_supplementarymeasurestransferstools_en.pdf
Schwierig für die Anwenderunternehmen könnte es werden, die rechtliche Situation in den verschiedenen Drittländern einzuschätzen. Hier machte Kelber den Vorschlag, dass die Datenschutzbehörden auf europäischer Ebene eine solche Bewertung vornehmen und den Unternehmen zur Verfügung stellen.
Anlass für mehr europäische Beschaffung
Er appellierte an die Unternehmen, die EU-DSGVO auch als Schutz für ihre eigenen Datenräume zu betrachten. Alles was private, persönliche Daten schütze, schütze auch Unternehmensdaten.
Das Stichwort europäische digitale Souveränität war dem Bundesdatenschutzbeauftragen im Zusammenhang mit Schrems II und EU-DSGVO auch noch wichtig. Das Urteil könne auch Anlass sein für europäische Firmen und Behörden mehr Informationstechnik innerhalb der EU einzukaufen. Gerade Behörden könnten, wenn sie europäisch agieren würden, hier einiges bewegen.
Kelber will verhindern, dass deutsche Anwenderunternehmen ein „Stockholm-Syndrom“ entwickeln, also nicht zusammen mit den Anbietern gegen den Datenschutz agieren. Schließlich verstoßen die Anbieter gegen die Datenschutzregeln und nehmen Anbieterunternehmen quasi als Geiseln. Der Datenschutzbeauftragte des Bundes und der Länder würden schließlich nur europäisches Recht durchsetzen.