Nachdem Max Schrems nun auch Privacy Shield, den Nachfolger des bereits verunglückten Safe Harbor gekippt hat, sodass das Abkommen keine rechtskonforme Grundlage mehr für den Datentransfer in die USA bietet, erwarten Unternehmen und die öffentliche Verwaltung zumindest Fingerzeige und Hinweise, wie es nun praktisch weitergehen soll.
Als erste Datenschutzaufsichtsbehörde in Europa hat sich der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Baden-Württemberg zu Wort gemeldet. „Was jetzt in Sachen internationaler Datentransfer?“, fragt Dr. Stefan Brink und antwortet selbst mit einer Orientierungshilfe und einer Reihe von praktischen Beispielen. Er selbst sieht die Situation durchaus realistisch: Das Urteil lasse Aufsichtsbehörden und Anwender im Regen bzw. in einem „Vakuum“ stehen:
„Ohne Übergangsfrist, und – wie sich jetzt gerade zeigt – ohne adäquate Alternative.“
Daher werde Baden-Württemberg die Umsetzung des EuGH-Urteils „mit Augenmaß nach dem Grundsatz der Verhältnismäßigkeit tun und immer die Frage stellen, ob die Datentransfers in die USA alternativlos sind oder nicht.“ In der Praxis dürfte das etwa so aussehen: Wenn es „zumutbare Alternativangebote ohne Transferproblematik“ gibt, wird der LfDI Baden-Württemberg auf Beendigung der bislang von Privacy Shield gedeckten Datentransfers bestehen. Falls der problematische Dienstleister alternativlos ist, sieht Dr. Stefan Brink die Nachweispflicht aufseiten des Unternehmens.
Die Standardvertragsklauseln sind zwar weiterhin anwendbar, sofern das Schutzniveau dem innerhalb der EU entspricht,
„[E]ine Übermittlung auf Grundlage von Standardvertragsklauseln ist zwar denkbar, wird die Anforderungen, die der EuGH an ein wirksames Schutzniveau gestellt hat, jedoch nur in seltenenFällen erfüllen“.
Dr. Sebastian Kraska weist im IITR-Blog außerdem darauf hin, dass es bei Lage der Nation einen Podcast mit Max Schrems und Dr. Stefan Brink zum Thema gibt (LdN202).
