Das EuGH-Urteil zu Datentransfers ins Ausland zeigte deutlich die logischen Schwächen von DSGVO in den Regelungen, die den internationalen Datentransfer betreffen. DSGVO bietet dafür die sogenannten Standardvertragsklauseln, in denen ein Auftragsverarbeiter sich zur Einhaltung der DSGVO-Bestimmungen verpflichtet. Diese Verpflichtung ist aber gegenstandslos, wenn die nationalen Gesetze den Auftragsverarbeiter zu laut DSGVO unerlaubter Weitergabe der Daten an die Behörde zwingen. DSGVO hat also mit Standardvertragsklauseln ein Scheinmittel geschafft, welches nicht das Papier wert, auf dem es geschrieben ist.
Die Verfasser von DSGVO haben mit Standardvertragsklauseln eine scheinbare Datensicherheit geschaffen und dabei die volle Verantwortung für den internationalen Datentransfers auf die betroffenen Unternehmen geschoben. Die zuständigen Datenschutzbehörden mussten die gesetzliche Lage in aller Länder der Welt analysieren und entsprechende Empfehlungen oder sogar Verbote aussprechen. Das würde für Unternehmen eine rechtliche Klarheit schaffen. Es kann nicht so sein und macht auch keinen Sinn, dass jedes Unternehmen selbst entscheiden muss, ob die Nutzung von Microsoft Teams oder Slack gesetzeskonform ist, weil die Daten in der USA verarbeitet werden.
Nach diesem EuG-Urteil sind alle nationalen Datenschutzbehörden in Panik versetzt. EuG hat sie zur Handlung gezwungen. Sie müssen jetzt eindeutig festlegen, ob Standardvertragsklauseln noch ein gesetzeskonformes Mittel für den Schutz der Daten bei Transfer ins EU-Ausland sind.
Dieser Fall zeigt auch, wie dramatisch die nationalen Datenschutzbehörden mit der Bewertung der Lage überfordert sind. Das Verfahren gegen Facebook bei der irischen Datenschutzbehörde dauerte 7 Jahre! Es ist eine Ewigkeit für die digitale Wirtschaft.
Die Frage nach der Wirksamkeit von DSGVO ist also in dieser Situation absolut berechtigt. Hat DSGVO den Datenschutz tatsächlich verbessert oder nur Formalismen (Verträge, Einwilligung, Begründung, …) geschafft? Haben die Unternehmen die Art wie sie personenbezogene Daten verarbeiten, tatsächlich verändert oder nur formell (Vertrag, Einwilligung, Begründung, …) scheinbare Gesetzeskonformität geschafft?
Was bringt uns ein sehr kompliziertes Gesetz, welches eher einen scheinbaren Datenschutz schafft und gleichzeitig die digitale Wirtschaft bremst?
Mehr über dieses EuG-Urteil und seine Konsequenzen kann man in diesem Heise-Artikel finden.
Keine Kommentare:
Kommentar veröffentlichen