EuGH kippt Privacy Shield
Paukenschlag mit Ansage
Während der Uraufführung der Symphonie Nr. 94 im Jahr 1792 weckte Haydn das verwöhnte Londoner Publikum im Andante des zweiten Satzes an einer besonders leisen Stelle mit einem lauten Paukenschlag plötzlich aus seinem Dämmerschlaf. Seitdem trägt das Musikstück den Beinamen ›Paukenschlagsymphonie‹.
Musikliebhaber, die heute in ein Haydn-Konzert gehen, sind natürlich vorbereitet, sodass der Effekt verpufft. Überraschungsmomente in der Kunst nutzen sich schnell ab. In der IT-Branche ist das offensichtlich nicht so, denn der Paukenschlag, mit dem der EuGH kürzlich das Privacy Shield kippte, scheint Politik und Wirtschaft völlig unvorbereitet getroffen zu haben. Dabei hat es schon einmal geknallt, als das oberste europäische Gericht vor fünf Jahren den Vorgänger vom Privacy Shield, das Safe-Harbour-Abkommen, für ungültig erklärt hatte.
Der neue Paukenschlag kam mit langer Ansage. Denn als am 12. Juli 2016 Privacy Shield in Kraft trat, warnten Datenschützer davor, sich auf dieses Abkommen zu verlassen. Im Cusy-Blog schlossen wir uns damals den Bedenken der Datenschützer an: »Man kann also davon ausgehen, dass Datenschützer auch gegen ›Privacy Shield‹ vor dem Europäischen Gerichtshof klagen werden. Eine dauerhafte Rechtssicherheit für Unternehmen, die personenbezogene Daten in die USA transferieren, zeichnet sich erst einmal nicht ab.«
Standardvertragsklauseln keine sichere Alternative
Während der EuGH den Privacy-Shield ins Nirwana beförderte, stellte er im gleichen Urteil fest, »dass die Prüfung des Beschlusses 2010/87 über Standardvertragsklauseln anhand der Charta der Grundrechte der Europäischen Union nichts ergeben hat, was seine Gültigkeit berühren könnte.« Unternehmen, die Daten ihrer Kunden in die USA transferieren, können also mit ihren Geschäftspartnern auch weiterhin Standardvertragsklauseln abschließen.
Allerdings, so betont Dr. Ingemar Kartheuser in der Legal Tribune Online, könnten die betroffenen Kunden und Mitarbeiter dieser Unternehmen »sich im Zweifelsfall an die zuständige lokale Datenschutzbehörde wenden, die unter Umständen US-Datentransfer des betreffenden Unternehmens untersagen könnte.« Susanne Dehmel aus der Bitkom-Geschäftsleitung befürchtet laut Spiegel Online sogar, dass die Praxis der Standardvertragsklauseln ins Wanken gerät.
Rechtssicherheit gibt es nur, wenn persönliche Daten in Europa bleiben
Allerorten wird nun die Rechtsunsicherheit beklagt, die sich für deutsche Unternehmen aus dem Urteil ergeben. Dabei ist eine solide und nachhaltige Lösung dieser Frage offensichtlich und naheliegend. Die Daten europäischer Bürger sollten in europäischen Rechenzentren gespeichert werden, solange ihre Verarbeitung in den USA (z.B. bei der Buchung eines Hotels) nicht zwingend erforderlich ist.
Der dritte Paukenschlag in ein paar Jahren sollte jedenfalls niemanden mehr überraschen. Ganz egal, unter welchem klingenden Namen die EU-Kommission einen Nachfolger für den Nachfolger aus dem Hut zaubert, ihn wird das gleiche Schicksal ereilen wie Safe Harbour und Privacy Shield, denn die grundsätzlichen Auffassungen von Datenschutz klaffen diesseits und jenseits des Atlantiks immer noch weit auseinander.
In der Politik scheint diese Erkenntnis auch langsam angekommen zu sein. So empfiehlt Bundesjustizministerin Christine Lambrecht, wie Spiegel Online berichtet, europäischen Unternehmen, Daten europäischer Bürger auf europäischen Servern zu speichern.
Update 24. August 2020
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden Württemberg hat heute die Orientierungshilfe: Was jetzt in Sachen internationaler Datentransfer? (LfDI-BW-Orientierungshilfe-zu-Schrems-II.pdf) vorgelegt:
Im Zentrum des weiteren Vorgehens des LfDI Baden-Württemberg wird die Frage stehen, ob es neben dem von Ihnen gewählten Dienstleister/Vertragspartner nicht auch zumutbare Alternativangebote ohne Transferproblematik gibt.
Entwickler-Tools as a Service – datenschutzkonform aus Deutschland
Da durch moderne DevOps-Methoden Entwicklung und Betrieb immer enger zusammenwachsen, ist es ratsam, nicht erst im Produktivbetrieb von Software über den Datenschutz nachzudenken, sondern die gesamte agile Entwicklungs-Pipeline datenschutzkonform aufzustellen.
Cusy bietet seiner Kundschaft eine datenschutzkonforme Entwicklungs- und Betriebsplattform für den gesamten Lebenszyklus ihrer Anwendungen. Die Plattform ist modular aufgebaut, ermöglicht Privacy by Design und lässt sich flexibel skalieren. Agile Softwareteams profitieren von einer sofort einsetzbaren, vollständigen Tool-Chain: vom ersten Entwurf über das Projektmanagement und die Code-Verwaltung bis hin zum Deployment und dem Produktivbetrieb. Alle Daten, sowohl personenbezogene Daten von Kunden und Mitarbeitern als auch Geschäftsgeheimnisse, werden sicher und zuverlässig in einem deutschen Rechenzentrum gespeichert.
Meldet euch
Lasst euch noch heute bei der datenschutzkonformen Ausrichtung eurer IT von cusy beraten, damit ihr seelenruhig abwarten könnt, wie die Konkurrenz auch beim dritten Paukenschlag noch heftig zusammenzuckt.
Wir rufen euch auch gerne an!