Der Europäische Gerichtshof hat das Privacy-Shield-Abkommen gekippt. In der Entscheidung vom 16. Juli, die die von Max Schrems gegründete NGO »None Of Your Business« (NOYB) veröffentlicht hat, wird Facebook zudem die Nutzung von Standardsvertragsbedingungen zur Ermöglichung von Datentransfers in die USA verboten.
Die Entscheidung wird weitreichende Konsequenzen haben für Dienste und Daten, die in den USA gehostet sind. Dass das Abkommen auf wackligen Beinen steht, haben Datenschutzaktivist*innen schon seit Jahren betont, die Frage war eher wann, nicht ob.
Auch im Bereich der Kirchen wurde bei der Prüfung von Standardsoftware aus den USA immer wieder darauf hingewiesen, zuletzt vom Diözesandatenschutzbeauftragten der Ost-Bistümer. In seinem Tätigkeitsbericht für das Jahr 2019 vermutete er schon ein baldiges Kippen. Dort fiel die Äußerung im Kontext von in den USA gehosteten Office-365-Instanzen. Sein Fazit: »Damit [mit einem Kippen von Privacy Shield] wäre eine Nutzung bereits aus diesem Grund obsolet.« Auch das Katholische Datenschutzzentrum Frankfurt hatte in seiner Einschätzung zum „Einsatz von Office 365 auf der Microsoft Cloud“ vom Februar 2019 das Privacy-Shield und seine mögliche Unwirksamkeit als Risiko bezeichnet, dessen »Eintritt zum Entfall der Rechtsgrundlage einer Auftragsverarbeitung durch Microsoft« führt. Die Südwest-Aufsicht hatte daher empfohlen, von vornherein auch eine Exit-Strategie einzuplanen. [Ergänzung, 17. Juli 2020, 11.50 Uhr: Microsoft sieht nach wie vor einen datenschutzkonformen Betrieb als möglich an.] Der Datenschutzbeauftragte der EKD hatte in seiner Stellungnahme zu Messengerdiensten 2018 als potentiell unsichere Rechtsgrundlage bezeichnet. Wie seine katholischen Kolleginnen empfiehlt er daher Serverstandorte in der EU und Ländern mit adäquatem Datenschutzniveau.
[Ergänzung, 17.30 Uhr] Am Nachmittag haben die ersten kirchlichen Aufsichtsbehörden angekündigt, dass sie die neue Lage prüfen: »Die katholischen Datenschutzaufsichten werden unverzüglich prüfen, in welchem Umfange das heutige Urteil des EuGHs Einfluss auf die Bewertung internationaler Datentransfers kirchlicher Stellen haben wird«, heißt es in Dortmund und Bremen bei den katholischen DDSB, der EKD-DSB meldet: »Der BfD EKD wird prüfen, inwiefern das heutige Urteil des EuGHs Einfluss auf die Bewertung datenschutzkonformer Datenübermittlungen gemäß § 10 DSG-EKD und somit auf die Tätigkeit unserer Behörde haben wird.«[/Ergänzung]
Wie weitreichend das Aus für Privacy Shield ist, zeigt ein Blick auf die Liste der Unternehmen, die sich auf die Standards des Abkommens verpflichtet haben: Google, Dropbox, Twitter, WhatsApp sind nur einige Auszüge.
Wie geht es jetzt weiter?
Wer Daten in den USA hostet oder dort Dienstleistungen nutzt, sollte überprüfen, ob dies auf Grundlage des Privacy-Shield-Abkommens geschehen ist – und sich dann eine Alternative suchen. Dass es dauerhaft kein Abkommen mit den USA gibt, ist zwar sehr unwahrscheinlich; das für US-Verhältnisse weitreichende kalifornische Datenschutzgesetz zeigt auch, dass es durchaus Mehrheiten für eine datenschutzfreundliche Gesetzgebung auch in den USA geben kann. Die US-Überwachungspolitik wird aber ein großes Hindernis bleiben – die NGO Access Now hat Vorschläge, was jetzt in den USA politisch passieren muss.
Der EuGH weist auf Art. 49 DSGVO hin, der einschlägig ist, wenn es weder einen Angemessenheitsbeschluss noch sonstige geeignete Garantien gibt. Weitgehend gleichlautende Normen gibt es auch in § 10 Abs. 2 Nr. DSG-EKD und in § 41 KDG. Für den Alltag sind diese Möglichkeiten, auch nach Privacy Shield US-Dienste zu verwenden, aber wohl nicht praktikabel.