Privacy Shield: Das Scheitern und wie geht es weiter?

Das Meinungsbild ist divers. Datenschutzbeauftragte wie Prof. Ulrich Kelber (Bund)  oder Marit Jansen (Schleswig-Holstein) raten Unternehmen zur Bestandsaufnahme und Kategorisierung ihrer Datentransfers in die USA und andere Drittländer als erste Maßnahmen nach Schrems II. Anwendervertreter und Rechtsanwälte (Dr. Hans-Joachim Popp, VOICE e.V.; Dr. Michael Littger, Sicher ins Netz e.V. und Dr. Cornelius Böllhoff, Rechtsanwälte Redeker Sellner Dahs) fordern Augenmaß und Unterstützung von den Datenschutzbehörden, Rechtssicherheit und das Bestreben, ein „Schrems III“ zu verhindern.

Diese Bandbreite der Positionen wurde in einer Online-Diskussion deutlich, zu der am 10.9.2020 der Behörden Spiegel im Rahmen von Digitaler Staat Online eingeladen hatte. Die Aufzeichnung der Diskussion ist hier zu finden. ((bis hier her linkedin-Post, der Rest im VOICE-Blog))

An der Diskussion nahmen neben Dr. Popp, Professor Ulrich Kelber (Datenschutzbeauftragter Bund) Marit Jansen (Datenschutzbeauftragte Schleswig-Holstein), Dr Michael Littger (Deutschland sicher ins Netz) und Dr. Cornelius Böllhoff (Rechtsanwalt) teil. Moderiert wurde der Austausch von Regina Mühlich ( Berufsverband der Datenschutzbeauftragten Deutschlands

Als Vorsitzender des VOICE-Präsidiums vertrat Dr. Popp die Seite der Anwenderunternehmen. Er wiederholte die Forderung des Bundesverbandes der IT-Anwender nach einem sechsmonatigen Moratorium. In diesem Zeitraum schlägt VOICE vor, Datenschutzverletzungen, die durch die Ungültigkeit von Privacy Shield zustande kommen, nicht unmittelbar zu ahnden.

Vertrauen in die Datenschutzbehörden kann in Gefahr geraten

VOICE wolle mit dem Moratorium vor allem die Aufmerksamkeit der Datenschutzbehörden und der Politik auf die Konsequenzen lenken, denen Anwenderunternehmen sich durch das EuGH-Urteil ausgesetzt sehen, das einen legalen Datentransfer in die USA und andere Länder außerhalb der EU sehr viel schwieriger macht. Wenn die Datenschutzbehörden sofort hart gegen solche Verstöße vorgingen, sei das mühsam aufgebaute Vertrauen zwischen Ihnen und den Anwenderunternehmen in Gefahr, befürchtet Popp. Doch niemand auf Anwenderseite nehme das Scheitern von Privacy Shield auf die leichte Schulter, erklärte er. Allerdings könnten Anwenderunternehmen wegen der tiefen Integration der verschiedenen Systeme nicht so schnell reagieren: „Für Unternehmen ist die Kontinuität der IT-Services existenziell. Wenn diese erhalten bleiben soll, kann die Umstellung auf die neuen Betriebsbedingungen nur schrittweise erfolgen. Es wird darauf ankommen, dass die Datenschutzbehörden mit in die Diskussion gehen, sich auch Einzelfälle anschauen und den Anwendern so helfen, Lösungen zu finden.“

Anbieter müssen sich deutlich stärker in Sachen Datenschutz engagieren

Alle Diskussionsteilnehmer waren sich einig, dass verstärkt technische Alternativen wie Verschlüsselung, Datentrennung und Lösungen europäischer Anbieter in Betracht gezogen werden müssen. Ebenfalls hoffnungsvoll stimmt sie die Aussicht auf die Zertifizierung von Services und Produkten, von denen laut Professor Kelber die ersten 2021 verfügbar sein werden.

Konsens herrschte in der Diskussionsrunde über die Rolle der Anbieter. Sie müssten sich deutlich stärker engagieren, um die DSGVO-Konformität ihrer Produkte sicherzustellen. „Manche Dienstleister können nicht einmal Daten löschen oder machen Anwenderunternehmen Schwierigkeiten, wenn sie eine Löschung verlangen“, berichtete Dr. Böllhoff. Professor Ulrich Kelber bestätigte solche Unzulänglichkeiten. Dr. Popp beschrieb die Notwendigkeit, die IT-Anbieter stärker einzubinden mit einer Analogie aus einem anderen Lebensbereich: „Wenn ich einen Joghurt im Supermarkt kaufe, dann brauche ich mir keine Gedanken um seine Verträglichkeit zu machen. Dafür haben Aufsichtsbehörden wie die Lebensmittelkontrolle gesorgt. Das müsste im IT-Bereich doch auch funktionieren können.“