Irisches Datentransferweltende: Schrems II, der EuGH und die (Un)Freiheiten der Aufsichtsbehörden
Wir haben uns gestern näher mit dem „Schrems II“-Fall vor dem EuGH beschäftigt. Hintergrund war die Anhörung in Luxemburg am 09.07.2019. Offizielles Ziel war, rauszufinden, ob das Verfahren unsere Kunden betrifft, inoffiziell wollten wir nur eine Bestätigung, dass das uns nicht betrifft. Hat leider nicht ganz geklappt.Kurz zum Fall: Die irische Aufsichtsbehörde lässt beim EuGH anfragen (nachdem der Datenschutzaktivist Max Schrems gegen Facebook in Irland vorgegangen ist und ein nationales Gericht den Fall an den EuGH verwiesen hat), wie sie die Übertragung von personenbezogene Daten an Facebook USA bewerten soll, wenn diese Übertragung auf dem Privacy Shield sowie Standardvertragsklauseln basiert.
Aus Sicht des Datenschutzes ist die Irische See manchmal kleiner als gedacht |
Soweit - sooo weit weg von uns auf die ersten drei Blicke:
- Irische Aufsichtsbehörden kontrollieren typischerweise keine deutschen Unternehmen – nicht nur die Nordsee schafft Abstand.
- Privacy Shield – ist doch schon lange tot. Möge der EuGH dem Leiden ein rasches Ende setzen.
- Abgesehen davon, wenn ich schon personenbezogene Daten in die USA sende, dann mache ich das mit Standardvertragsklauseln, weil 2. Und wenn der EuGH die Standardvertragsklauseln für (teilweise) ungültig erklärt, dann wird doch die EU Kommission bestimmt eine andere Lösung für uns basteln (Port of Privacy Protection Agreement? Ein neuer Satz Standardvertragsklauseln?).
Weltende und Business Continuity
Wiedermal wird das Ende von Facebook, des transatlantischer Datenaustausches oder einfach allgemeines Datentransferweltende herbei sinniert. Ob man drüber lachen kann oder es einfach stoisch ignoriert, ist vermutlich persönlichkeitsabhängig. Andere Reaktionen sind nicht empfehlenswert. Abgesehen davon haben wir ja das Weltende schon in unserem Business Continuity Management geklärt und als inakzeptabel definiert.
Aber - und das wird gern übersehen – die irische Aufsichtsbehörde fragt: Wie sollen wir zu Entscheidungen kommen? Was sind die Kriterien, um Datentransfers zu beurteilen - schließlich kann es ja um viel Geld gehen - Stichwort Bußgelder – und da sollte man besser gute Argumente haben. Ja, der Aufhänger sind spezifische rechtliche Instrumente (sieh 2. und 3. oben), die irgendwie fehlerhaft sein mögen. Und ja, diskutiert wird das Ganze am beliebten Buhmann Facebook. Immerhin, denn wir finden es angebracht, dass sich die Aufsichtsbehörde (auf Zwangsempfehlung von Max Schrems) einen würdigen Gegner gesucht haben (und nicht z.B. eine kleine Fachhochschule auf der schwäbischen Alb, die Forschungskooperationen mit US-Instituten unterhält).
Entscheidungsspielräume - oder muss eine Aufsichtsbehörde da überhaupt mitspielen?
Vergessen wird gern, dass es auch darum geht: Wie groß ist der Entscheidungsspielraum für eine Aufsichtsbehörde, die europäisches Recht umsetzt? Wie konsistent müssen Entscheidungen der Aufsichtsbehörden auch innerhalb der EU sein? In ihrer Tragweite wird man die Klärungen (ggf. auch Nicht-Klärungen) durch den EuGH schwerlich überschätzen können.
Es geht dabei nicht nur um anwendbare Standards (Grundrechte Charta und so) sondern indirekt auch um die Frage: Beschäftige ich mich überhaupt mit einem Problem als Aufsichtsbehörde. Vielleicht will ich als Behörde mich gerade viel lieber um den (vermeintlichen) Schlendrian bei Hautärzten/Videokonferenzanbieter/Polizeidienststellen kümmern als Schlachten mit Facebook zu schlagen ( … und dann kommt dieser Österreicher und macht unsere ganze Jahresplanung kaputt). Dahingehend wird die Entscheidung weitreichende Auswirkungen auch auf die Praxis unserer deutschen Aufsichtsbehörden haben.
Wir werden den Verlauf des Verfahrens vor dem EuGH verfolgen und genauer noch die Reaktionen unserer heimischen Aufsichtsbehörden. Vorerst reicht noch eine gelassene Wachsamkeit. Das Verfahren geht im Dezember 2019 weiter, davor ist ja erstmal Brexit als vorweihnachtliches Großereignis. Im Zweifelsfall ist auf Apokalypse mal wieder kein Verlass.
Haben Sie Fragen oder Anregungen zu diesem Beitrag? Dann senden Sie uns diese hier und jetzt:
Name
E-Mail (Pflichtangabe)
Nachricht (Pflichtangabe)
Mit dem Absenden der Nachricht bestätigen Sie, die Datenschutzerklärung der yourIT zur Kenntnis genommen zu haben.