Was tun, nachdem das Privacy Shield nicht mehr für die Datenübertragung in die USA zur Verfügung steht? Die katholischen Datenschutzaufsichten für NRW und die Nordwest-Bistümer haben nun eine erste FAQ und ein Prüfschema dazu veröffentlicht. Eine endgültige Positionierung gibt es noch nicht, die Abstimmungen laufen nach gleichlautender Meldung aus Dortmund und Bremen noch. [Ergänzung, 24. Juli, 12.15]Am Freitag hat sich auch die Konferenz der Beauftragten für den
Datenschutz in der EKD mit einer ähnlichen Einschätzung der Sachlage geäußert. Es wurden Bemühungen angekündigt, zu einer einheitlichen Vorgehensweise
mit den Datenschutzaufsichtsbehörden in Deutschland zu kommen.[/Ergänzung]
Klar ist aber jetzt schon: Das Urteil gilt sofort, die Diözesandatenschutzbeauftragten werden die Vorgaben des EuGH umsetzen – »das erfordert aber intensive Untersuchungen zu der Frage, wie – ohne Gefährdung des laufenden Betriebs – ein Ausstieg möglich ist«, heißt es in der Verlautbarung: »Das mag in einigen Bereichen schneller gehen und in anderen länger dauern.« Keine Aussage wird dazu gemacht, welche üblichen Anwendungsfälle überhaupt betroffen sind. In der Praxis dürfte das vor allem Office 365 sein (wobei Microsoft die Rechtskonformität betont).
Auch wenn das Prüfschema Standarddatenschutzklauseln als Möglichkeit erwähnt – allzu viel Hoffnung auf die Verwendbarkeit für eine Absicherung von Übertragungen in die USA sollte man sich nicht machen. Es dürfte nur »schwerlich gelingen, sich davon zu überzeugen und vertraglich wirksam zu vereinbaren, dass das Datenschutzniveau (insbesondere die Rechte betroffener Personen) bezogen auf die übermittelten Daten in den USA, dem der DS-GVO bzw. des KDG entspricht«.
Wirkliche Lösungen gibt es vorerst noch nicht. Das veröffentlichte Prüfschema ist tatsächlich noch sehr schematisch – wieder einmal gilt: Wer diese Veröffentlichung der Datenschutzaufsicht auf Anhieb versteht, wäre wohl auch ohne sie ausgekommen. (Leser*innen von »Artikel 91« dürfen sich immerhin über eine ästhetischere Version des Flowcharts freuen.)
Geht’s auch praktischer?
- Konkretere Hinweise zur Umsetzung gibt es beispielsweise von Thomas Schwenke, der insbesondere erklärt, wie man eigentlich Standardvertragsklauseln überprüft: EuGH: EU/US-Privacy Shield ist unwirksam – Was Unternehmen jetzt wissen müssen
- Einen guten Überblick, der auch in die juristischen Details des Urteils geht, hat Carlo Piltz in seinem Blog: Das SchremsII-Urteil des EuGH: Folgen für die Praxis des Einsatzes von Standarddatenschutzklauseln