„Proaktive Ansprache“ klingt toll, leitet aber den nächsten Akt im Drama um Schrems II ein

Seit der EuGH letzten Sommer den Privacy Shield als Rechtfertigungsbasis für Datenübermittlungen in die USA kippte, operieren Unternehmen in diesem Punkt ggf. auf dünnem Eis. Und an dieses halten die Aufsichtsbehörden nun noch ein Feuerzeug – vielleicht auch einen Flammenwerfer … denn es sind nicht einzelne Aufsichtsbehörden, sondern eine Taskforce der Datenschutzkonferenz (DSK), die Aktivitäten angekündigt hat. Was passiert da?!

Seit letztem Sommer sind die Möglichkeiten, Daten in die USA zu übermitteln, sehr begrenzt (es gab ohnehin schon nur 3 zulässige Wege, von denen der gekippte Privacy Shield einer war und die verbliebenen zwei Wege haben es in der Praxis in sich). Da der EuGH in seinem Urteil sehr klar war, bestand Handlungsbedarf für die Behörden – und die Unternehmen. Denn die sollten seither geprüft haben, ob Datenübermittlungen in die USA stattfinden, welche das sind und wie man das absichert. Die Aufsichtsbehörden-Taskforce hat nun Fragenkataloge zur Nutzung von US-Dienstleistern vorbereitet, die demnächst dazu genutzt werden, Unternehmen „anzusprechen“, und zwar unabhängig davon, ob es zuvor Beschwerden gab. Mit fast jeder „Ansprache“ dürften die Behörden Erfolg haben, denn nahezu jedes Unternehmen setzt AWS, Microsoft  oder ähnliche Tools bzw. Dienstleiser ein. Trudelt der Fragebogen ein, sollte man darauf vorbereitet sein, begründen zu können, auf welcher Grundlage man das tut. Bei unzulänglicher Antwort dürfte es sinngemäß heißen: „Ziehen Sie nicht über „Los“, sondern wechseln Sie den Anbieter“, nicht ausgeschlossen auch Bußgelder. Und wer nutzt neben dem fast unvermeidlichen Office oder Clouddiensten in Corona-Zeiten nicht auch Videokonferenztools, deren Anbieter (fast) samt und sonders überm großen Teich beheimatet sind? Auf der Frageliste dürften auch Website-Tracking-Toolsstehen … ein buntes Füllhorn der Unternehmenssoftware eben.

Ein bisschen ist es wie mit dem Lieferkettengesetz: Die Verantwortung wird auf die Unternehmen abgewälzt. Doch bis die Politik ihre Hausaufgaben macht und im 3. Anlauf vielleicht mal ein Abkommen mit den USA hinbekommt, das der EuGH nicht nach einiger Zeit wieder kassiert, oder besser noch europäische Alternativen fördert, sollten Unternehmen sich auf mögliche Post von der Behörde bzw. deren Fragen vorbereiten.