Schrems II und die Folgen: LfDI und Standardvertragsklauseln - praktisch kaum umsetzbar
von , veröffentlicht am 25.08.2020Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg hat sich als erster der Behörden aus der Deckung gewagt und eine Orientierungshilfe zu den Folgen des EuGH Urteil Schrems II vorgelegt.
Link: „Orientierungshilfe: Was jetzt in Sachen internationaler Datentransfer?“ .
Diese Orientierungshilfe enthält eine übersichtliche und gut verständliche Zusammenfassung und konkrete Aussagen zu den Folgen des Wegfalls des EU-US-Privacy-Shields und den Aussagen des EuGH zu den Standardvertragsklauseln. Zitat:
- „eine Übermittlung auf Grundlage von Standardvertragsklauseln ist zwar denkbar, wird die Anforderungen, die der EuGH an ein wirksames Schutzniveau gestellt hat, jedoch nur in seltenen Fällen erfüllen:
Der Verantwortliche muss hier zusätzliche Garantien bieten, die einen Zugriff durch die US-amerikanischen Geheimdienste effektiv verhindern und so die Rechte der betroffenen Personen schützen; dies wäre in folgenden Fällen denkbar:- Verschlüsselung, bei der nur der Datenexporteur den Schlüssel hat und die auch von US-Diensten nicht gebrochen werden kann
- „Anonymisierung oder Pseudonymisierung, bei der nur der Datenexporteur die Zuordnung vornehmen kann.“
Es ist zweifelhaft, ob und wie die Vorschläge praktisch umsetzbar sind.
Ein US-Empfänger von EU-Daten wird z.B. nie und nimmer garantieren können, dass der Encryption-Schlüssel „von US-Diensten nicht gebrochen werden kann.“ Die Aufbewahrung des Schlüssels in der EU wird datenschutzrechtlich dann nichts bringen, wenn die Verantwortliche in den USA ein Büro oder Tochtergesellschaft hat, der ein Vorlagebefehl (Subpoena) zugestellt werden kann. Die Abspeicherung in der EU nutzt wenig, wenn jemand aus den USA Datenzugriff hat usw.
Der etwas einsame Vorstoß verwundert auch deswegen, weil der LfDI kurz zuvor noch im Handelsblatt verkündet hat, dass Europa habe das Recht habe, anderen Staaten seine Sichtweise aufzuzwingen. „Natürlich sollten wir für unsere Werte eintreten und diese gegenüber anderen Staaten verteidigen – doch dies ist Aufgabe der Regierungen…“
Was meinen Sie: Wäre es nicht besser gewesen, der LfDI hätte die Leitlinien erst mit den anderen Aufsichtsbehörden besprochen, um zu einer gemeinsamen Lösung zu kommen?
Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben
18 Kommentare
Kommentare als Feed abonnierenAbsolut. Jetzt ist die Verwirrung nach Schrems 2 nur noch größer. Kann der LfDI die Standartvertragsklauseln, die immerhin von der KOM formell abgesegnet wurden, so mir nichts dir nichts nach Belieben ergänzen? Ich meine nein.
Eine gemeinsame Vorgehensweise der Aufsichtsbehörden wäre zu begrüßen gewesen. So ist die Unsicherheit größer als zuvor und ob die Hinweise des LfDI in der Praxis anwendbar sind, ist zu bezweifeln.
Eben. Bedenklich auch die Drohung am Ende der Leitlinien:
"Wenn Sie uns nicht davon überzeugen können, dass der von Ihnen genutzte Dienstleister/Vertragspartner mit Transferproblematik kurz- und mittelfristig unersetzlich ist durch einen zumutbaren Dienstleister/Vertragspartner ohne Transferproblematik, dann wird der Datentransfer vom LfDI Baden-Württemberg untersagt werden."
Dienstleister lassen sich nicht einfach austauschen wie ein paar unbequeme Schuhe. Und wo stammt das Equipment her, das der inländische Anbeiter nutzt? Sehr wahrscheinlich von CISCO oder Huawei.
Um mal die Gegenmeinung anzubringen: Wenn nicht einer vorprescht, kommt die Herde nie voran.
Von mir aus, aber dann sollte er der Industrie in seinem schönen Ländle nicht drohen und die riesen Aufgabe, seine überzogenen neuen Klauseln in die Verträge reinzubekommen, bei seiner Industrie abkippen. Da wird er sich einige Gerichtsverfahren einfangen.
Unsere Kanzlerin soll das Chaos jetzt schnell wegräumen, fordert der deutsche Mittelstand https://www.handelsblatt.com/politik/deutschland/appell-an-die-kanzlerin-mittelstand-bittet-merkel-wegen-eu-urteil-zu-datenschutzabkommen-um-hilfe/26127106.html
Die von Schrems und einigen Datenschützern propagierte Lösung, die Daten dann halt auf einem "EU Server" abzuspeichern bringt überhaupt nichts, wenn die Daten von den USA aus zugänglich sind. Das kapiert Herr Schrems nicht, der Facebook gerne in zwei Teile aufspalten möchte. https://www.derbrutkasten.com/facebook-muss-sich-wegen-max-schrems-vielleicht-in-zwei-teilen/
Noch als Nachtrag dazu: Die Bundesregierung hat sich in ihrer Antwort zu einer Kleinen Anfrage vom 14.07. unmissverständlich klar gemacht: "GAIA-X ist eine dezentrale, föderale Dateninfrastruktur der nächsten Generation und wird keine eigenständige Cloudlösung im klassischen Sinne sein. Die Bundesregierung hat nicht die Absicht, einen „europäischen Cloud-Anbieter“ zu entwickeln und sieht daher keine Notwendigkeit für eine Marktanalyse."
https://dip21.bundestag.de/dip21/btd/19/210/1921077.pdf
Es ist, praktisch ohne Belang, was Gerichte entscheiden und Landesdatenschutzbeauftragte an Orientierungshilfen formulieren, wenn die Beachtung Schutzfunktion entfalten würde: Microsoft liest alle Daten auf Windows aus und übermittelt sie an sich und andere. Jeder weiß das, es ist nachgewiesen, es ist rechtswidrig, allein schon nach DSGVO mit einer Strafe in Höhe von 2 % des Jahresumsatz bedroht, dennoch wird es geduldet und man beteiligt sich an dem Rechtsverstoß aktiv.
Gerade werden in Schulen sämtliche Schülerdaten, Namen, Geburtsdaten, Lernthemen, Benotung im Zuge von Fernunterricht auf Microsoftsysteme und damit an Microsoft übertragen. Eltern werden unter Druck gesetzt, ein Dokument zu unterzeichnen, das einer Erlaubnis zur Datenweitergabe und -Nutzung und einem Haftungsausschlus gleichkommt und die Formulierung erfüllt klar den Straftatbestand der Nötigung.
Einwände informierter Eltern, dass die Datenübermittlung aufgrund der Nichtigkeit von Privacy Shield widerrechtlich ist, wird entgegengehalten, man habe eine Standardvertragsklausel mit Microsoft vereinbart. Die Datenübertragung von allem geht weiter, wie vorher. Nur dass man sich, um Strafverfolgung zu verhindern, jetzt nicht mehr auf das wirkungslose Privacyshield beruft sondern auf gleichermaßen wirkungslose Standardvertragsklauseln.
Datenschutzbeauftragte sind zahnlose Papiertiger die keine Macht haben und nie haben sollten. Hätten sie Macht, und würden sie tätig werden, wie ihre Bezeichnung es verlangt, würden sie das Recht auf informationele Sebstbestimmung durchsetzen und damit jede unternehmerische und staatliche Handlung, die im Zusammenhang mit Daten steht, unmöglich machen.
"Datenschutzbeauftragte sind zahnlose Papiertiger die keine Macht haben und nie haben sollten. "
Vorsicht die Papiertiger verursachen manchmal einen beträchtlichen Juckreiz. So musste etwa Facebook 5 Milliarden Dollar bezahlen, wegen diverser Datenschutzverstöße in den USA. Auch die Portokasse von Google wurde bereits erleichtert.
Auch ist es für Unternehmen eher beunruhigend , den Datenverkehr in die USA abgestellt zu bekommen.
Wie auch immer: Microsoft jedenfalls scheint der Auffassung zu sein, man koenne auf der Basis der bisherigen Standardvertragsklauseln weitermachen wie bisher.
Dann hätte der aufgeblasene Dinosaurier in Brüssel nur heiße Luft produziert.
Den Behörden fehlt schon das Personal, um die Entscheidung des EuGH gerecht im Sinne des Art. 3 GG umzusetzen. Bußgeldbescheide (gegen die eigenen exportierenden Unternehmen!) können vor Gericht angefochten werden - vermutlich in vielen Fällen mit Erfolg. Der Beweis, dass Daten ausgelesen werden, ist schwer zu führen. Dass die Standardvertragsklauseln, die mehr als 10 Jahre alt sind und individuell zwischen Unternehmen vereinbart werden, jetzt als Haupt-Basis für Datenexporte herhalten müssen, ist ein Witz.
Hier noch eine These von Golland aus der neuesten NJW (2020, 2595):
"Bei Beauftragung eines Dienstleisters mit Sitz in der Europäischen Union muss nach hiesiger Auffassung nicht der Verantwortliche, sondern der EU-Auftragsverarbeiter (oder ggf. dessen datenexportierender Subdienstleister) die Regelungen zu Drittlandtransfers einhalten, das heißt das Datenschutzniveau prüfen und etwa SCC bzw. SCC+ abschließen. Werden diese Anforderungen nicht eingehalten, kann dem Verantwortlichen allenfalls ein Verstoß gegen Art. 28 DS-GVO angelastet werden (zB wenn der Verantwortliche Kenntnis davon hat, dass der EU-Auftragsverarbeiter die Anforderungen an Drittlandtransfers nicht einhalten wird), nicht aber gegen Art. 44 ff. DS-GVO."
Was halten Sie davon?
Das passt doch vorne und hinten nicht. Datenexporteur ist, wer die Aussendung der Daten aus der EU veranlaßt und das ist der Verantwortliche. Und wie soll denn ein Auftragsdatenverarbeiter SCCs abschließen? Es gibt nun mal keine für
- Auftragsdatenverarbeiter in der EU und Subunternehmer außerhalb der EU
und auch nicht für
- Auftragsdatenverarbeiter in der EU und Verantwortlicher außerhalb der EU.
DUBLIN (Dow Jones)--Die irische Datenschutzbehörde hat Facebook laut Kreisen einstweilig angewiesen, den Transfer von Daten über seine EU-Nutzer in die USA auszusetzen. Die Anweisung sei Facebook Ende vergangenen Monats erteilt worden - mit der Bitte um eine Antwort des Unternehmens, sagen informierte Personen. Für den US-Konzern, der seinen Firmensitz in Europa in Irland hat, ist das eine operative und rechtliche Herausforderung, die einen Präzedenzfall für andere Technologiegiganten schaffen könnte.
Quelle: https://www.finanznachrichten.de/nachrichten-2020-09/50660662-irland-untersagt-facebook-weitergabe-von-nutzerdaten-in-die-usa-kreise-015.htm
... das wird dauern und auch nicht wirklich helfen, wenn die Daten in der EU gespeichert sind, aber von den USA aus zugänglich sind.
Die LTO-Presseschau:
Facebook – Datenschutz: Die für Facebook zuständige irische Datenschutzbehörde hat den Konzern in Umsetzung des EuGH-Urteils zum Privacy Shield aufgefordert, keine Daten mehr in die USA zu übertragen. Facebook will dies auf Grund der Standardvertragsklauseln weiter tun. spiegel.de berichtet.
Die Sache liegt wohl jetzt beim Irischen High Court:
https://www.thecurrency.news/articles/23697/days-after-being-told-to-suspend-data-transfers-to-the-us-facebook-has-now-issued-a-high-court-case-against-the-irish-data-regulator
Die LTO-Presseschau:
EuGH zu Privacy Shield: Der Europäische Gerichtshof kippte im Juli diesen Jahres den Beschluss der EU-Kommission, welcher die Übertragung personenbezogener Daten aus einem EU-Mitgliedstaat in die USA erlaubt hätte, da das Datenschutzniveau in den USA nicht dem der Europäischen Union entspreche. In der FAZ diskutiert Rechtsprofessor Moritz Hennemann das Urteil und die globale Vorbildfunktion des europäischen Datenschutzrechts, mahnt aber auch etwas mehr Zurückhaltung beim Verbreiten solch spezieller Datenschutzstandards.