"Jede Übermittlung personenbezogener Daten an ein Drittland ist generell nur zulässig, wenn der Verantwortliche beziehungsweise der Auftragsverarbeiter die allgemeine Bedingung für eine rechtsmäßige Verarbeitung und auch die sonstige Bestimmungen der DSGVO einhält", mahnt Mag. Nicole Gosch. Sie ist Universitätsassistentin am Institut für Unternehmerrecht und internationales Wirtschaftsrecht an der Universität Graz. Als Absolventin vom Universitätskurs Datenschutzbeauftragte:r ist Gosch mit den Umständen der Aufhebung des Privacy Shield vertraut. "Es muss festgestellt werden, ob bzw. welche Daten überhaupt in die USA übermittelt werden und anschließend empfiehlt es sich zu evaluieren, ob eine Übermittlung in die USA auch unbedingt notwendig ist." Sollte dies nicht der Fall sein, rät die Expertin den jeweiligen Anbieter oder Dienstleister zu wechseln und auf Vertragspartner zu setzen, die sich innerhalb der Europäischen Union befinden oder ein angemessenes Datenschutzniveau entsprechend der DSGVO garantieren können.
Datenfeind USA
Schonfrist für Unternehmen gibt es keine. "Alle Übermittlungen, die sich auf das Privacy Shield stützen, müssen eingestellt werden", erklärt Gosch. Wer sich nicht daran hält, agiert rechtwidrig und kann neben Geldbußen in der Höhe von 20 Millionen Euro oder vier Prozent des weltweit erzielten Jahresumsatzes des Unternehmens im vergangenen Geschäftsjahr auch mit Schadensatzforderungen konfrontiert werden. Adobe, Amazon, Apple, Dropbox, Facebook, Zoom – die Unsicherheit im Umgang mit diesen Softwarelösungen ist groß. Aber wie steht es aktuell überhaupt um die Entwicklung von Alternativen? "Wenn wir den europäischen Datenschutzgedanken aufrechterhalten wollen, führt kein Weg daran vorbei, in Zukunft vermehrt auf europäische Software- und Internetlösungen zu setzen. Insbesondere die Coronakrise hat uns vor Augen geführt, dass in Europa ein dringender digitaler Nachholbedarf besteht. Die digitale Souveränität Europas ist mehr denn je erstrebenswert", so Gosch.
What's next?
Datenschutzbeauftragte stehen durch die Rechtsprechung des EuGH und durch die vorherrschende Digitalisierungswelle vor neuen Herausforderungen. Im Universitätskurs Datenschutzbeauftragte:r wird speziell die Zulässigkeit der Verarbeitung und die Übermittlung personenbezogener Daten ins EU-Ausland, angefangen von den Grundsätzen bis zu den Pflichten des Verantwortlichen, eingehend besprochen. Gosch: "Diese Weiterbildung bietet zukünftigen Datenschutzbeauftragten die Möglichkeit, neue Gegebenheiten wie die Aufhebung des Privacy Shield rechtlich einzuordnen, Datenschutz-Folgeabschätzungen im Alltag einzuschätzen und zeitnah alternative Möglichkeiten für Unternehmen zu finden."
Weitere Infos und Anmeldung zum Universitätskurs Datenschutzbeauftragte:r