Kein Datenverkehr aufgrund Privacy Shield - Und was jetzt?
Kategorie DSGVO privacy shield Standardvertragsklauseln digitale Autarkie
Es war wie ein verspätetes Geburtstagsgeschenk der DSGVO: zu ihrem vierten (für die meisten "Anwender" zweiten) Geburtstag folgte der Europäische Gerichtshof konsquent der in den letzten Jahren sich abzeichnenden Auffassung: Ein Lippen- (oder Papierbekenntnis) ohne Nachprüfbarkeitsmöglichkeit reicht nicht, um eine wirklich brauchbare Sicherheit des Datenverkehrs zu gewährleisten. Diese ist eine der wichtigen Voraussetzungen für den heutigen Datenschutz. Geht man von der Mutter aller Blasenbekenntnisse auf diesem Gebiet aus, nämlich dem Safe Harbour, ist klar, dass dieses Abkommen wirklich nur zur Besänftigung und als Übergangslösung gedacht gewesen sein konnte.
Es war wie ein verspätetes Geburtstagsgeschenk der DSGVO: zu ihrem vierten (für die meisten "Anwender" zweiten) Geburtstag folgte der Europäische Gerichtshof konsquent der in den letzten Jahren sich abzeichnenden Auffassung: Ein Lippen- (oder Papierbekenntnis) ohne Nachprüfbarkeitsmöglichkeit reicht nicht, um eine wirklich brauchbare Sicherheit des Datenverkehrs zu gewährleisten. Diese ist eine der wichtigen Voraussetzungen für den heutigen Datenschutz. Geht man von der Mutter aller Blasenbekenntnisse auf diesem Gebiet aus, nämlich dem Safe Harbour, ist klar, dass dieses Abkommen wirklich nur zur Besänftigung und als Übergangslösung gedacht gewesen sein konnte.
Mit Spannung wurde erwartet, wie sich die
Aufsichtsbehörden nach dem Urteil vom 16. Juli 2020 (Az.: C-311/18) positionieren
würden und welche Handlungsempfehlungen es nach einige Wochen der Unsicherheit
gegeben würde. Bisher (06.09.2020) hat lediglich der LfDI Baden-Württemberg
mit der Orientierungshilfe "Was jetzt in Sachen internationaler Datentransfer?"
klare Hinweise und sein eigenes Vorgehen formuliert.
Der Blog-Beitrag vom Update 82 Datenschutz auf heuking.de, wo die Zusammenhänge ausführlich erklärt werden, hat letztendlich meine Überlegungen hierzu angestoßen.
Bemerkenswert sind aus meiner Sicht zwei Punkte:
Wie schnell gab es neue Geschäftsmodelle rund um Cookie-Banner und Web-Dienste für die Verwaltung der lästigen Einwilligungspflichten vor dem Verarbeiten von personenbezogenen Daten für Marketing-Zwecke (Retargeting, Profilbildung). In diesem Sinne hoffe ich auf faire Verhandlungspartner und gegenseitiges Verständnis für pramatische Lösungen bei der Nutzung der Standardvertragsklauseln.
Der Blog-Beitrag vom Update 82 Datenschutz auf heuking.de, wo die Zusammenhänge ausführlich erklärt werden, hat letztendlich meine Überlegungen hierzu angestoßen.
Bemerkenswert sind aus meiner Sicht zwei Punkte:
- eigentlich ging es primär nicht um die Gültigkeit des Privacy Shield, sondern um die Gültigkeit der Standardvertragsklauseln, die in diesem Urteil als möglicher Rechtgrund für eine Datenübermittlung in jedes beliebige Land bestätigt werden. Jedes Land ist demnäch vor den Pforten des gehuldigten vereinten Datenschutzparadieses Europa gleich. Es gibt keine schimmernden Blasen für Firmen aus den USA, die sich in einem großen, hoch digitalaffinen Markt tummmeln können ohne dessen Regeln einhalten zu müssen.
- Wer erinnert sich noch an den Vorfolger des Privacy Shield? Ja, richig: Safe Harbour. Aus heutiger Sicht klingt es wie Hohn, dass ein solches Abkommen nicht nur existierte, sondern über Jahre hinweg Deckmantel für das massenhafte Umnutzen der personenbezognen Daten von Millionen Europäern war.
Wie schnell gab es neue Geschäftsmodelle rund um Cookie-Banner und Web-Dienste für die Verwaltung der lästigen Einwilligungspflichten vor dem Verarbeiten von personenbezogenen Daten für Marketing-Zwecke (Retargeting, Profilbildung). In diesem Sinne hoffe ich auf faire Verhandlungspartner und gegenseitiges Verständnis für pramatische Lösungen bei der Nutzung der Standardvertragsklauseln.
