Vor etwas mehr als einem Monat ist das – inzwischen meist als „Schrems II“ bezeichnete – Urteil des EuGH gefällt worden, welches die EU-US-Datenschutzvereinbarung „Privacy Shield“ für ungültig erklärt hat. Faktisch gibt es keine Übergangsfrist; Datentransfers, die ausschließlich durch das „Privacy Shield“ geschützt wurden, sind seit dem Urteil illegal. „Jetzt ist die Stunde der digitalen Eigenständigkeit Europas gekommen“, schreibt die Berliner Beauftragte für Datenschutz und Informationsfreiheit Maja Smoltczyk. Außerdem hat das EuGH betont, dass die Datenschutzbehörden verpflichtet sind, Datenexporte zu verbieten, und dass von illegalen Datentransfers betroffene Personen Schadensersatz inklusive immateriellem Schaden (Schmerzensgeld) verlangen können (ein Szenario, welches aktuell bereits eintritt).
In der Zwischenzeit ist klar geworden, dass es keine einfache und schnelle Lösung geben wird, sondern wir aktuell eher den Ausweg aus einer „nahezu unlösbaren Situation“ suchen. Die Komplexität wird spätestens mit einem ersten Blick in die verschiedenen Orientierungshilfen klar: etwa bei den FAQ der von Max Schrems initiierten Organisation noyb, der Orientierungshilfe des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg Stefan Brink oder auch einer Prognose auf dem Blog des IT-Rechtsportals cr-online von Dennis G. Jansen. Da der Druck durch noyb mit der Einreichung von europaweit 101 Beschwerden erhöht wird, ist die Sorge vieler Unternehmen wegen möglicher Bußgelder durchaus nachvollziehbar.
So ist derzeit vor allem klar, dass jedes Unternehmen, welches IT-Services einsetzt (also fast jedes Unternehmen), sich auf jeden Fall mit dem Thema beschäftigen muss, alle Datentransfers im Einzelfall mit allen Dienstleistern bewerten und dokumentieren und dann in jedem Einzelfall weitere Schritte ableiten sollte. Schließlich ist dem Datenschutz aus Sicherheitssicht auch nicht geholfen, wenn jetzt schnell in einer Abkehr von Google Analytics viele einzelne, schlecht gewartete und gesicherte, selbst gehostete Tracking-Alternativen installiert werden, welche dann leichte Beute für Angreifer sind.
Herzlichst,
Christian Meder