Der bayerische Diözesandatenschutzbeauftragte Jupp Joachimski hat sich Zeit genommen: Mehr als ein Vierteljahr nach dem Schrems-II-Urteil äußert er sich zu seinem Umgang mit dem Aus fürs Privacy Shield. Das Warten hat sich gelohnt: Das schon in der Woche nach dem Urteil veröffentlichte Prüfschema aus NRW und dem Nordosten half in der Praxis nicht viel weiter, hier gibt es etwas mehr Konkretes.
Joachimski legt nun eine Aufstellung von Einschätzungen vor, aufgeschlüsselt nach unterschiedlichen Datenarten – und er gibt (nach ersten Äußerungen im Tätigkeitsbericht) auch einen Ausblick, wie er selbst vorgehen wird. Grundsätzlich und der herrschenden Meinung entsprechend weist Joachimski darauf hin, dass explizit zwar nur Privacy Shield gekippt wurde, dass aber auch die Standardvertragsklauseln nach dem Urteil auf tönernen Füßen stehen, vor allem wegen des CLOUD Acts. Entgegen der herrschenden Meinung (aber mit der herrschenden Praxis) will er aber Übergangsfristen gewähren – mit einem Corona-Bonus. Weil es eh nicht anders geht: »Ein fahrender Zug hat auch einen gehörigen Bremsweg.«
Differenzierung nach Art der Daten
Der DDSB unterscheidet grundsätzlich IP-Adressen, Lizenzdaten, E-Mail, Cloud-Speicher, Soziale Netzwerke und besondere Kategorien von Daten und skizziert jeweils den Handlungsbedarf. Größtenteils ändert sich nichts wesentliches in der Bewertung. Brisanz hat vor allem die sehr deutliche Aussage zu Sozialen Netzwerken, deren Nutzung »jedenfalls bei Facebook, WhatsApp und Instagram« »wegen Weitergabe der Kontaktdaten« als unzulässig angesehen wird. Was genau damit gemeint ist, wird nicht deutlich – gibt es über die (grundsätzlich abschaltbare) Synchronisierung von Adressbüchern hinaus schon aufgrund der Bildung von Kontakt-Netzwerken Bedenken?
Immerhin: Es gibt keine Anweisung, sofort aufzuhören, stattdessen werden »Abschaltfristen« gewährt, »um den Gesamtbetrieb nicht zu gefährden«. Pandemiebedingten Aufschub gibt es auch bei personalisierten Lizenzdaten.
Augenmaß und Blick für den Einzelfall
Sehr transparent macht Joachimski seine Handlungsmaximen – er will seinen Beurteilungsspielraum nutzen. Schon im Tätigkeitsbericht hatte er angekündigt, dass er der (herrschenden) Meinung nicht folgt, dass das Schrems-II-Urteil sofort umgesetzt werden muss. Der DDSB kündigt nun zwei Punkte an:
- bei bereits in Anwendung befindlichen Verfahren jedenfalls bis zur Überwindung der gegenwärtigen Unsicherheiten akuten Pandemiefolgen keine Änderung zu verlangen, die den Betrieb erheblich erschwert und
- bei neuen Anwendungen aber von vorneherein eine Weichenstellung zu verhindern, die später den Dienststellen unnötige Kosten aufbürdet
Bei aller Kulanz: »Eines werde ich sicher nicht tun: Ich werde mich nicht auf die Entgegennahme des Arguments (fast) aller Anwender beschränken, die Nutzung von Programmen mit US-Bezug sei alternativlos.« Joachimski verweist auf startpage.com als Suchmaschine und LibreOffice (das leider oft etwas unbequem ist); bei Videokonferenzsystemen konstatiert er eine „ordentliche, aber nicht eben unüberwindbare Hürde“ – ohne allerdings Alternativen vorzuschlagen. Stattdessen wird auf eine Aufstellung von eRecht24 (eher hilfreich) sowie aus dem Blog von Hubspot (nicht hilfreich) hingewiesen. Im Tätigkeitsbericht wurden zudem Microsoft Teams und Zoom explizit als unzulässig erachtet.
Fazit
Nach den bisher sehr allgemein gehaltenen Positionen der kirchlichen Datenschutzaufsichten ist die Differenzierung nach verschiedenen Datenarten sehr hilfreich. Das Grundproblem von Schrems II kann aber der bayerische Diözesandatenschutzbeauftragte auch nicht lösen: Dass einfach zu viele in der Praxis dann doch alternativlose Dienste (und sei es nur, weil man ihnen im Netz überall begegnet) ohne US-Transfers nicht möglich sind.
Die Kulanz und die gewährten Übergangsfristen sind immerhin ein Trost – aber auch das wird nicht ewig währen.