Seit unserem letzten Update sind bereits zwei Wochen vergangen und wir möchten Sie über die aktuellen Ereignisse rund um das Scheitern des EU-US Privacy Shield und den Diskussionen der letzten Tage informieren.
Scheitern des Privacy Shield – Wie geht es weiter?
Am 10.09.2020 lud der „Behörden Spiegel“ zu einer Gesprächsrunde „Scheitern des EU-US-Privacy Shield – Wie geht es weiter?“ ein. Mit am (virtuellen) Tisch saßen u. a. der Bundesdatenschutzbeauftragte, Prof. Ulrich Kelber, und Marit Hansen, Datenschutzbeauftragte des Landes Schleswig-Holstein (ULD). Auf ein vollumfängliches Gesprächsprotokoll wollen wir, aufgrund der Länge der Veranstaltung (2 Stunden), verzichten. Vielmehr stellen wir die wichtigsten Kernaussagen von Seiten der Behörden heraus und ordnen diese ein.
Privacy Shield ungültig
Diese Erkenntnis ist zugegebenermaßen nicht neu. Der Bundesdatenschutzbeauftragte stellte dies jedoch explizit fest und erinnerte somit die Verantwortlichen daran, die Übermittlung von personenbezogenen Daten in die USA auf rechtskonforme Beine zu stellen. In der Praxis werden dementsprechend Standardvertragsklauseln zum wichtigsten Mittel.
Es gibt einen Umstellungszeitraum
Diese Aussage des Bundesdatenschutzbeauftragten macht hellhörig! Prof. Kelber ließ durchblicken, dass Verantwortlichen etwas Zeit bei der Umstellung vom EU-US Privacy Shield auf eine konforme Rechtsgrundlage gewährt werden wird. Vorausgesetzt wird jedoch, dass sich Verantwortliche nachweislich in einem Umstellungsprozess befinden. Hierfür sollten die Unternehmen und Behörden in eine Bestandsaufnahme sowie Kategorisierung der Verarbeitungstätigkeiten, im Hinblick auf die Übermittlung von personenbezogenen Daten in die USA, gestartet sein. Allerdings signalisierten die Datenschutzbeauftragten aber auch, dass es, aufgrund der Aufgabenstellung der Datenschutzbehörden, keine Schonfrist geben könne und wenn gegen gültiges Datenschutzrecht verstoßen wird, dies auch sanktioniert werden müsse. Jedoch werde mit Augenmaß vorgegangen, trotzdem wird Verantwortlichen die Aufnahme eines Prozesses zur Identifizierung von Datentransfers in die USA und weiteren Drittländern sowie die Ausschau nach Alternativen oder die Unterlassung einzelner Datentransfers dringendst empfohlen .
Privacy Shield 2.0 – wohl eher nicht
Der Bundesdatenschutzbeauftragte hat sich dafür ausgesprochen, dass „die Politik“ kein „Privacy Harbor“ (also einen schnellen Nachfolger des EU-US Privacy Shield) bescheren soll. Vielmehr plädierte er dafür, dass die US-Regierung zukünftig einen wirksamen Rechtsschutz, auch für EU-Bürgerinnen und Bürger, gewährleistet. Eine schnell nachverhandelte Lösung, die zwar „formal gut aussieht“, jedoch ihren Zweck erneut verfehlt, ist nicht zielführend.
Fazit
Im Rahmen des Gespräches wurden wichtige Punkte angesprochen, jedoch keine Lösungen präsentiert. Dies war auch nicht zu erwarten, da eine ganzheitliche Lösung auf europäischer Ebene gefunden werden muss. Verantwortliche sind daher gut beraten, Datenverarbeitungen auf Basis des EU-US Privacy Shield auszusetzen oder auf eine rechtskonforme(re) Lösung umzusatteln. Viele US-Anbieter haben mittlerweile eingelenkt und bieten Standardvertragsklauseln an. Das dies nicht das Allheilmittel ist, haben wir in unseren letzten Newslettern ausführlich dargestellt. Daher wollen wir an dieser Stelle nur verkürzt auf die Grundproblematik der Standardvertragsklauseln eingehen:
Der EuGH hat die Standardvertragsklauseln im Grunde bestätigt, jedoch mit Einschränkungen. Sofern US-Dienstleister durch nationale Gesetze potenziell dazu verpflichtet werden können, personenbezogene Daten US-Behörden in einem unverhältnismäßigen Maße zugänglich zu machen, sind weitere Garantien zu schaffen (Verschlüsselung, Pseudonymisierung, etc.). Ein bloßes „Verlagern“ der Rechtsgrundlage vom EU-US Privacy Shield hin zu Standardvertragsklauseln sieht zwar hübsch aus, wird im Zweifel jedoch nicht genügen und einer kritischen Prüfung durch Aufsichtsbehörden vermutlich nicht standhalten.
Interessierten Lesern möchten wir die Gesprächsrunde empfehlen. Ein entsprechender Mitschnitt ist auf YouTube abrufbar [1].
[1] Siehe https://www.youtube.com/watch?v=Ccc8sqY-2kA, zuletzt abgerufen am 15.09.2020