Sorgen nach Privacy-Shield-Urteil
Nachdem das Datenschutzabkommen Privacy Shield gekippt wurde, haben Aktivisten erste Beschwerden gegen angebliche Sünder eingereicht. Der CIOVerband Voice e. V. drängt auf ein Moratorium.
Nachdem das Datenschutzabkommen gekippt wurde, haben Aktivisten erste Beschwerden wegen angeblicher Gesetzesübertretungen eingereicht. Der CIO-Verband Voice e. V. drängt auf ein Moratorium.
Max Schrems, der umstrittene und inzwischen weltweit bekannte Datenschutzaktivist aus Österreich, hatte im Juli beim Europäischen Gerichtshof (EuGH) ein Urteil erwirkt, wonach der sogenannte Privacy Shield als rechtliche Basis für den Datentransfer nicht zulässig ist. Über seine Datenschutzinitiative Noyb reichte Schrems mehr als 100 Beschwerden gegen europäische Unternehmen ein, weil sie Daten von Webseiten-Besuchern an Google und Facebook weiterleiteten. Das geschieht schon, wenn Tools wie Google Analytics oder Facebook Connect verwendet werden.
Google und Facebook zählen laut Noyb zu den Unternehmen, die unter die amerikanischen Überwachungsgesetze fallen (FISA 702, EO 12333). Google verlasse sich immer noch auf den Privacy Shield, obwohl er für ungültig erklärt wurde. Und Facebook nutze weiter die Standardvertragsklauseln, dabei habe der EuGH festgestellt, dass diese gegen US-Überwachungsgesetze keinen ausreichenden Schutz brächten.
Laut Noyb müssen die Datenschutzbehörden dringend aktiv werden. Die Europäische Datenschutzgrundverordnung (EU-DSGVO) verlange, dass die Behörden in den Mitgliedstaaten die europäischen Regeln durchsetzen müssten – erst recht, wenn eine Beschwerde vorliege. Der EuGH habe die Verantwortlichkeit der Datenschutzbehörden ausdrücklich betont.
Der Bundesverband der IT-Anwender Voice sieht indes viele Unternehmen mit den neuen Datenschutzvorgaben überfordert und wünscht sich eine Übergangszeit von mindestens sechs Monaten, in der die Bundesregierung und die
EU-Kommission für Rechtssicherheit sorgen sollten. In dieser Zeit solle der Bundesbeauftragte für den Datenschutz von Sanktionen gegen solche Unternehmen absehen, die derzeit noch an ihren Datenübertragungsverfahren festhalten. Die Firmen bräuchten diese Übergangsfrist, um Rechtsfragen zu klären und technische Umstellungen zu bewerkstelligen.
Voice: EU und USA müssen verhandeln
Bund und EU sollten außerdem ein DSGVOkonformes Nachfolgeabkommen mit den USA zum Privacy Shield vereinbaren oder darauf hinwirken, dass amerikanische Cloud-Provider nicht länger Kundendaten für US-Sicherheitsbehörden offenlegen müssen. Generell fordert der Anwenderverein, dass sich Bund und EU stärker für digitale Souveränität einsetzen und unabhängige Infrastrukturen wie Gaia-X in Europa fördern. Ein funktionierender digitaler Binnenmarkt sei unerlässlich.
Laut Hans-Joachim Popp, dem Vorsitzenden des Voice-Präsidiums, befinden sich die Unternehmen in einer Zwickmühle: Kappten sie ihre Datenverbindungen, sei der wirtschaftliche Schaden unabsehbar. Arbeiteten sie aber so wie bisher mit ihren Cloud-Providern zusammen, seien die rechtlichen Risiken immens. Popp warnt in einer Voice-Mitteilung: „Wir laufen Gefahr, durch diese erneute Unsicherheit noch mehr Zeit zu verlieren, die wir für die Digitalisierung der deutschen Wirtschaft und Verwaltung viel besser nutzen könnten. Wir fordern von den Datenschützern daher einen lösungsorientierten Umgang mit der Situation, der Unternehmen, Bundesregierung und der EU Zeit gibt, neue Verhandlungslösungen zu erreichen.“