Max Schrems, der umstrittene und inzwischen weltweit bekannte Datenschutzaktivist aus Österreich, hatte im Juli beim Europäischen Gerichtshof (EuGH) ein Urteil (Schrems II) erwirkt, wonach das sogenannte Privacy Shield als rechtliche Basis für den Datentransfer nicht zulässig ist. Über seine Datenschutzinitiative Noyb reichte Schrems vor zwei Wochen insgesamt 101 Beschwerden gegen europäische Unternehmen ein (zur Liste), weil sie Daten über Webseiten-Besucher an Google und Facebook weiterleiteten. Das geschehe schon, wenn die Anwender Tools wie Google Analytics oder Facebook Connect verwendeten.
Ebenso beschwerte sich Schrems über Google und Facebook, weil sie diese Daten unter Verletzung der DSGVO weiterhin entgegennähmen. "Wir haben auf den wichtigsten Webseiten in jedem EU-Mitgliedsstaat eine schnelle Suche nach Code von Facebook und Google durchgeführt", lässt sich der Aktivist in einer Mitteilung seiner Organisation Noyb zitieren. "Diese Code-Schnipsel leiten Daten über jeden Besucher an Google oder Facebook weiter."
Google Analytics nicht erlaubt
Beide Internetgiganten würden auch zugeben, dass sie Daten aus der EU zur Verarbeitung in die USA übermitteln, wo sie gesetzlich verpflichtet seien, diese Daten auf Anfrage von US-Geheimdiensten wie der NSA zur Verfügung zu stellen. "Weder Google Analytics noch Facebook Connect sind für den Betrieb dieser Webseiten notwendig und hätten inzwischen ersetzt oder zumindest deaktiviert werden können", sagt Schrems.
Google und Facebook zählen laut Noyb in jedem Fall zu den Unternehmen, die unter die amerikanischen Überwachungsgesetze fallen (etwa FISA 702 oder EO 12333). Google verlasse sich immer noch auf das Privacy Shield, obwohl es für ungültig erklärt wurde. Und Facebook nutze weiter die Standardvertragsklauseln, dabei habe der EuGH festgestellt, dass diese gegen US-Überwachungsgesetze keinen ausreichenden Schutz brächten und daher nicht genutzt werden dürften.
Laut Noyb müssen die Datenschutzbehörden dringend aktiv werden. Die Europäische Datenschutzgrundverordnung (EU-DSGVO) verlange, dass die Behörden in den Mitgliedstaaten die europäischen Regeln durchsetzen müssten - erst recht, wenn eine Beschwerde vorliege. Der EuGH habe die Verantwortlichkeit der Datenschutzbehörden ausdrücklich betont. Mit kostenlosen FAQs und Musterfragebögen will der Noyb Unternehmen dabei unterstützen, sich schlau zu machen und gegebenenfalls den Cloud-Anbieter zu wechseln.
VOICE verlangt Moratorium
Der VOICE - Bundesverband der IT-Anwender e.V. sieht indes viele Unternehmen mit den neuen Datenschutz-Anforderungen überfordert und wünscht sich eine Übergangszeit von mindestens sechs Monaten, in der Bundesregierung und EU-Kommission für Rechtssicherheit sorgen sollen. In dieser Zeit solle der Bundesbeauftragte für den Datenschutz von Sanktionen gegen solche Unternehmen absehen, die derzeit noch an ihren Datenübertragungsverfahren festhalten. Die Firmen bräuchten diese Übergangsfrist, um Rechtsfragen zu klären und technische Umstellungen zu bewerkstelligen.
Bund und EU sollten laut VOICE ein DSGVO-konformes Nachfolgeabkommen mit den USA zum Privacy Shield vereinbaren oder darauf hinwirken, dass amerikanische Cloud-Provider nicht länger Kundendaten für US-Sicherheitsbehörden offenlegen müssen. Generell sollten sich Bund und EU laut VOICE stärker für digitale Souveränität einsetzen und unabhängige Infrastrukturen wie Gaia-X in Europa fördern. Ein funktionierender digitaler Binnenmarkt in Europa sei unerlässlich.
Hans-Joachim Popp, Vorsitzender des VOICE-Präsidiums, stellt fest, dass eine "1:1-Umsetzung der entstehenden Anforderungen in 'Nullzeit' schlichtweg unmöglich" sei. Die Unternehmen befänden sich in einer Zwickmühle: Kappten sie ihre Datenverbindungen, sei der wirtschaftliche Schaden erheblich. Arbeiteten sie so wie bisher mit ihren Cloud-Providern zusammen, seien die rechtlichen Risiken immens. Popp warnt in einer VOICE-Mitteilung: "Wir laufen Gefahr, durch diese erneute Unsicherheit noch mehr Zeit zu verlieren, die wir für die Digitalisierung der deutschen Wirtschaft und Verwaltung viel besser nutzen könnten. Wir fordern von den Datenschützern daher einen lösungsorientierten Umgang mit der Situation, der Unternehmen, Bundesregierung und der EU Zeit gibt, neue Verhandlungslösungen zu erreichen."