Am 08.10.2020 versandte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) ein Informationsschreiben an die öffentlichen Stellen des Bundes und Unternehmen unter seiner Aufsicht, um diese über die Auswirkungen des Schrems-II-Urteils zu informieren. Doch erfüllt sich damit die Hoffnung auf pragmatische Hilfestellung seitens der zuständigen Behörden?
Der Inhalt im Überblick
Klare Handlungsanweisungen fehlen
Nach wie vor herrscht enorme Unsicherheit darüber, wie es nach dem aufsehenerregenden Urteil des EuGH in der Rechtssache C-311/18 („Schrems II“) in Sachen internationaler Datenverkehr nun weitergehen soll. Händeringend erwarten Verantwortliche schon seit Urteilsverkündung hilfreiche Stellungnahmen oder Handlungsanweisungen der zuständigen Aufsichtsbehörden. Bislang waren entsprechende Stellungnahmen rar gesät, nur wenige Leitfäden und Hinweise wurden bislang veröffentlicht. Dies führte dazu, dass über konkrete Vorgehensweisen maximal gemutmaßt werden kann und selbst die zur Kontrolle berufenen Behörden auf Anfrage schlicht äußern, man habe Arbeitsgruppen eingerichtet. Klar scheint im allgemeinen Verständnis wohl aber eins: Internationaler Datenverkehr ist wohl „too big to fail“, nur über das „Wie“ kann man sich gar trefflich streiten.
Weniger Umfang als erhofft
In der nun veröffentlichten und an verschiedene Behörden und Unternehmen versandten Stellungnahme äußert sich nach dem LfDI Baden-Württemberg und dem europäischen Datenschutzausschuss auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Prof. Ulrich Kelber zu dem Themenkomplex „internationaler Datentransfer“.
Doch die lediglich fünf Seiten des Informationsschreibens geben weniger praktische Hilfestellung als erhofft. So werden zunächst allgemeine Informationen zur Herstellung eines angemessenen Datenschutzniveaus nach Kapitel V der DSGVO gegeben, ausdrücklich erwähnt werden sowohl Standarddatenschutzklauseln, als auch Binding Corporate Rules (BCR) als geeignete Instrumente.
Prof. Kelber betont, dass nach der Kernaussage des Schrems-II-Urteils im Zielland einer Datenübermittlung ein „im Wesentlichen gleichwertiger Schutz“ wie unter der DSGVO vorliegen müsse.
Kaum Spielraum bei US-Datentransfer
Ausdrücklich äußert sich das Schreiben des BfDI dahingehend, dass der EuGH für die USA ein „im Wesentlichen gleichwertiges Schutzniveau verneint“ hat. Dies beträfe – soweit auch der bisherige Konsens in der Datenschutzgemeinde – sowohl den nun unwirksamen EU-US Privacy-Shield als auch „alle anderen geeigneten Garantien aus Kapitel V der DSGVO“. Klar ist nach Prof. Kelber, dass nunmehr wohl weder Standarddatenschutzklauseln noch BCR für sich genommen geeignet sein werden, um ein gleichwertiges Schutzniveau bei Datenübermittlungen in die USA zu erzeugen.
Dies sollte zumindest als Hinweis an diejenigen Unternehmen aufgenommen werden, die sich bislang auf bestehende BCR zurückgezogen haben. Auch diese dürften nunmehr unter denselben Schwierigkeiten leiden, wie es andere Instrumente des Kapitel V tun.
„Zusätzliche Maßnahmen“ nach wie vor unklar
Das Schreiben erwähnt gebetsmühlenartig, dass bei Verarbeitung in einem Drittland, in dem kein im Wesentlich gleichwertiges Schutzniveau gegeben ist, „zusätzliche Maßnahmen“ zu ergreifen wären, um ein angemessenes Datenschutzniveau im konkreten Einzelfall zu gewährleisten. Dieser Umstand war bereits hinlänglich bekannt, doch auch der BfDI versäumt es, klare und verwertbare Aussagen darüber zu treffen, welche Maßnahmen denn nun tatsächlich helfen könnten.
Einerseits enttäuschend, doch gleichwohl kaum überraschend, stellt sich der Umstand dar, dass die deutschen Aufsichtsbehörden nach wie vor keine Aussagen treffen, was denn nun konkret von Unternehmen und Behörden verlangt wird. Viele Stellen, die bereits begonnen haben, interne Datenflüsse zu inventarisieren und zu prüfen kommen nun an den Punkt, an dem konkrete Maßnahmen getroffen werden sollten, um einzelne Übermittlungen rechtssicher zu gestalten. Doch ohne Kenntnis der behördlichen und gesetzlichen Erwartungen fällt dies wenig überraschend schwer.
BfDI: Unsichere Datenübermittlung führt zur Meldepflicht
Das Schreiben enthält zudem einen interessanten Hinweis:
„Sofern die Prüfung ergibt, dass für die übermittelten Daten im Drittland kein im Wesentlichen gleichwertiger Schutz sicherzustellen ist und der damit unzulässige Datentransfer dennoch nicht ausgesetzt oder beendet wird, besteht eine Pflicht zur Meldung an mein Haus. Diese Verpflichtung gilt für Verantwortliche und Auftragsverarbeiter gleichermaßen.“
Dies führt zu der Situation, dass Verantwortliche einerseits die offen formulierte Anforderung erfüllen müssen, „zusätzliche Maßnahmen“ zur Sicherstellung eines im Wesentlichen gleichwertigen Schutzniveaus zu ergreifen, gleichzeitig aber für den Fall, dass dies nicht gelingt eine Meldepflicht besteht.
Mit Blick auf den Umstand, dass bereits nicht klar ist, welche zusätzlichen Maßnahmen im jeweiligen Einzelfall überhaupt als ausreichend erachtet werden, wird eine angenommene Meldepflicht somit zum sanktionsrechtlichen Topfschlagen.
Auch verwundert die Aussage, dass sowohl Verantwortliche als auch Auftragsverarbeiter zur Meldung verpflichtet seien, die Prüfung des angemessenen Schutzniveaus und der im Einzelfall zu ergreifenden Maßnahmen aber im Regelfall nur dem Verantwortlichen möglich sein wird.
Internationaler Datentransfer wird behördlicher Schwerpunkt
Der BfDI stellt zuletzt fest, dass nunmehr gezielte Befragungen und Kontrollen der unter seiner Zuständigkeit befindlichen Unternehmen und Behörden erfolgen solle. Man möchte auf dieses Themengebiet den Schwerpunkt der regelmäßigen Beratungs- und Kontrollbesuche legen. Welchen Hintergrund diese Erwähnung hat, bleibt offen für Spekulation. Naheliegend scheint die Vermutung des Kollegen Stephan Hessel, dass dieses Schreiben vornehmlich als mahnender Hinweis an Bundesbehörden gewertet werden kann.
Behördlicher Aktionismus und die liebe Praxis
Nach wie vor zeigt sich, dass sich die Aufsichtsbehörden in einem Zwiespalt befinden. Einerseits fordert die Befolgung der europäischen Rechtsprechung ein Tätigwerden, welches andererseits aber schnell an den tatsächlichen Gegebenheiten des modernen Arbeits- und Wirtschaftslebens zerschellt. Die leicht naive Vorstellung, dass wirtschaftlich agierende Unternehmen kurz- bis mittelfristig auf US-Dienste verzichten können oder schlicht über die Mittel und Möglichkeiten verfügen, staatliche Sicherheitsbehörden an einem Zugriff zu hindern, stellt sich oftmals als Wunschvorstellung heraus.
Offen bleibt demnach weiterhin die Frage, welche Vollzugspraxis die Aufsichtsbehörden auch zukünftig an den Tag legen werden. Bis dahin sei einem Verantwortlichen zu raten, nicht die Hände in den Schoß zu legen, sondern zumindest intensive Überlegungen anzustellen und diese gleichwohl zu dokumentieren.
Wir spielen hier zunehmend eine Datenschutz-Scharade in Punkto weitere Maßnahmen. Man darf beispielsweise gerne den Versuch starten und US-Auftragsverarbeiter mit Fragebögen zu den abgeschlossenen SCC anzuchreiben – die Muster, die Max Schrems Verein NOYB zur Verfügung stellt, sind ja ganz brauchbar. Die Antworten sind erwartbar nichtssagend, ausweichend und substanzlos – nicht ein Fragebogen kam ausgefüllt zurück. Warum wohl?
Ich verstehe das Herumlavieren nicht. Der EuGH hat recht deutlich und klar gemacht, dass eine Datenverarbeitung im Einflussbereich der US-Behörden nicht rechtskonform möglich ist. Anstatt nach Auswegen zu suchen (Sie können ja gerne mal mit der NSA verhandeln), sollte unverzüglich mit dem Aufbau und der Nutzung eigener europäischer Lösungen begonnen werden. Ich hoffe, dass die Aufsichtsbehörden recht schnell mit der Verhängung von Strafen nach DSGVO beginnen werden.
Das EuGH hat die Selbstzertifizierung Privacy Shield für ungültig erklärt. Grund: Zugriff der US-Behörden / US-Überwachungsgesetze (Cloud-Act, FISA usw.). Unzureichende Regelungen bzgl. Grundrechtsschutz von EU-Bürgern.
Die SCC sind nach wie vor verwendbar, bedürfen allerdings „weiterer Maßnahmen“ zwischen den Vertragspartnern – auch die Instrumente in Art. 46ff DSGVO kommen noch in Frage.
Ich bin zwar d’accord mit europäischen Alternativen. Allerdings ist das leichter geschrieben als getan. Man hat das Thema zu lange vernachlässigt. Die Abhängigkeit von US-Unternehmen ist kaum zu leugnen – siehe Einsatz von MS in deutschen Behörden.
Völlig sinn- und wertlose Aktion des BfDI. Die EU muss schnellstens für Sicherheit sorgen – entweder fliegen alle US Anbieter vom Markt und hier gehen aufgrund des Mangels von Alternativen ein paar tausen Unternehmen hops – oder man definiert verlässliche Standards und Begrenzungen. In der aktuellen Form ist das alles nur ein Affentheater
Wo werden Daten nicht abgegriffen. Der BND greift am DE-CIX doch erst mal selbst alles ab und beliefert dann die NSA. Das hört sich für mich nach Doppelmoral an. Aber egal, wir dürfen, die anderen nicht. Geht es nicht überall immer nur um die Abwägung vom Schutz personenbezogener Daten und dem Ermittlungsinteresse von Straftaten? Warum soll das für die EU ehrbarer sein als für die US? Selbst das Speichern auf deutsche Serverstandorte reicht wegen des CloudActs nicht mehr aus. Die Konsequenz ist doch, dass jedes Unternehmen am Besten gleich seine eigene Cloud hostet, dann sind die Datenschützer zufrieden. Aber wer wollte gerade in Zeiten von Corona auf all die Vorteile verzichten, einfach einen Dienst zu buchen und genau so einfach zu skalieren? Macht man es sich nicht zu einfach, alles auf den Anwender, bzw. Verantwortlichen abzuwälzen? Von den über 1 Mrd. Windows 10 Installationen gibt es sicher genug, die auch auf den Rechnern der Datenschützer installiert sind. Bevor hier sanktioniert wird, sollten andere Fragen geklärt werden, z.B. wie soll man sich waschen, ohne sich nass zu machen. Sollte man nicht alles in Relation sehen, statt stur mit Scheuklappen?
Das Problem bei dieser Art der Abwägung ist: Es wird massenhaft und anlasslos überwacht. Was wird den +440 Mio. „Beschuldigten“ in Europa denn eigentlich vorgeworfen? Es dient der Sicherheit, reicht in einer Demokratie als Rechtfertigung nun mal nicht aus, da muss man sich als Geheindienst schon etwas mehr Mühe geben.
Zum Punkt Relation gehört auch die Fakten mit einzubeziehen: Einer der Aufträge der NSA ist Wirtschaftsspionage. Der Satz: „Ausspähen unter Freunden, das geht gar nicht“ ist sicherlich nicht umsonst gefallen. Man sollte aber als Wirtschaftsunternehmen wissen, dass er sich auf das Abhören von EU-Botschaften bezog und keine allgemeine Aussage ist…
Zieht man das in Betracht: Vielleicht macht es daher Sinn zu überlegen, an welchem Arm der Korb hängt, in den man seine wertvollen, goldenen Eier legt?