Business Circle: Warum bedurfte es eigentlich eines „Graswurzel-Rebellen“ wie Max Schrems, um auf einen rechtswidrigen Zustand hinzuweisen?
Eckart Holzinger: Es ist wirklich faszinierend zu sehen, dass Max Schrems, ausgehend von einem „lokalen“ Zwist mit Facebook jetzt die globale Marke des Kämpfers für den Datenschutz geworden ist. Als prototypischer David, der gegen die Riesen gewinnt, ist sein Name nun mit fundamentalen Entscheidungen des EuGHs verknüpft. Überhaupt scheint Österreich ein gutes Pflaster für derartige Aktivitäten zu sein, wir erinnern uns an das Kippen der Vorratsdatenspeicherung durch epicenter.works, vormals AKVorrat. Und, ja, es braucht dazu immer wieder die Kraft und den Schwung von Privat-Initiativen, denn die kommerziellen Player am Markt sind ausschließlich an deren Geschäftsmodell interessiert.
BC: Wie weitreichend werden – denken Sie – die Folgen des gekippten Privacy-Shield-Abkommens für österreichische Unternehmen sein?
Holzinger: Die Kernaussage nach dem Ende des Privacy Shields ist: Die USA sind kein sicheres Drittland, da hier die Rechte der Betroffenen nicht so gewahrt werden, wie dies unter dem Regime der DSGVO vorgesehen ist. Daher reicht es auch nicht, einen zusätzlichen Vertrag abzuschließen, etwa in Form der Standard-Vertragsklauseln, und zu denken, damit wäre alles erledigt. Jeder Transfer von personenbezogenen Daten in die USA muss daher durch zusätzliche Maßnahmen abgesichert werden.
Die Folgen werden sehr weitreichend sein, es betrifft den Austausch personenbezogener Daten mit allen marktbeherrschenden Playern. Google scheint derzeit das einzige Unternehmen zu sein, die sich aktiv mit der Situation auseinandersetzen, aber optimal ist deren Lösung auch noch nicht. Praktisches Beispiel: Ebenfalls aus Deutschland kam jetzt die sehr klare Aussage, dass der Einsatz von Mailchimp nicht zulässig ist. Es betrifft also sehr viele Bereiche.
BC: Glauben Sie wirklich, dass so einschneidende Maßnahmen tatsächlich auch eingefordert und sanktioniert werden?
Holzinger: Ja. Es dauert, aber die Einschläge kommen näher, siehe auch die 101 Klagen von noyb/Schrems bei 17 europäischen Datenschutzbehörden. Die sind jetzt gezwungen, Stellung zu beziehen. Hier kommt – nach langer Wartezeit – der dritte Punkt im Dreieck Unternehmen, Menschen und Behörden ins Spiel. In Deutschland wird erwogen, den Einsatz von Microsoft-Produkten für den Behördengebrauch drastisch einzuschränken, wenn keine wirksamen Konzepte zum Schutz der Bürgerrechte zusätzlich eingesetzt werden. Ähnliche Überlegungen gibt es in den Niederlanden, ein aktueller Prozess in Frankreich beschäftigt sich mit Gesundheitsdaten in der Azure Cloud. Das ist auch der Sinn und Zweck der DSGVO, die Bürgerrechte zu schützen und für „gleich lange Spieße“ zu sorgen, damit Anbieter innerhalb der EU, die sich an die Spielregeln halten, nicht gegenüber den außereuropäischen Konzernen benachteiligt sind.
Jetzt Alternativen prüfen
BC: Und was bedeutet das jetzt konkret für Unternehmen, die Direktmarketing betreiben?
Holzinger: Der erste Schritt ist sich selber die Frage zu beantworten: Betrifft uns das überhaupt? Wenn es sich um personenbezogene Daten handelt, die im Zuge der Verarbeitung auch in die USA exportiert werden, dann ja. Da hilft ein Blick ins Verfahrensverzeichnis, wo diese Informationen vorhanden sein sollten.
Wenn solche Daten im Spiel sind, dann ist im ersten Schritt zu prüfen, ob mit dem Processor/Datenverarbeiter die EU-Standard-Vertragsklauseln abgeschlossen werden können. Seriöse Anbieter haben so etwas im Portfolio – allerdings reicht dies nach Ansicht vieler Experten alleine nicht aus: Es müssen also zusätzliche technische und/oder organisatorische Maßnahmen getroffen werden. Genau darum geht es bei den 101 Klagen von noyb. Die Datenschutzbehörden sind nun am Zug um diese Frage zu klären, ein genaues „Rezept“ gibt es bis dato dafür nicht.
Klug wäre es, Alternativen zu prüfen. Ein Beispiel: Die bayrische Landesdatenschutzaufsicht hat festgestellt, dass die Verwendung von „Mailchimp“ auch mit Standard-Vertragsklauseln nicht zulässig sei. Hier ist etwa zu prüfen, ob nicht ein europäisches Unternehmen für denselben Zweck besser geeignet ist.
Und am konkreten Beispiel einer Webseite: Wenn es zu Datenübertragungen in die USA kommt, dann muss dies einerseits in der Datenschutzerklärung in nachvollziehbaren Worten dargestellt sein, andererseits auch im „Cookiebanner“ deutlich präsent gemacht werden.
BC: Mit welchen Sanktionen kann ein privatwirtschaftliches Unternehmen belegt werden?
Holzinger: Von den Behörden wird im ersten Schritt meist keine Geldbuße verhängt, aber die sofortige Einstellung der Datenverarbeitung bis zu dem Zeitpunkt, wo eine rechtskonforme Lösung sichergestellt ist. Das kann also bedeuten, dass von heute auf morgen ein anderer Anbieter gefunden werden muss oder zusätzliche technische Maßnahmen eingebaut werden müssen.
BC: Welche „Fallstricke“ sind zu beachten? Gibt es so etwas wie eine Faustregel, ab wann man den legalen Bereich verlässt?
Holzinger: Lassen Sie mich ein Beispiel aus der Straßenverkehrsordnung als Analogie heranziehen: Wenn im Ortsbereich 50 km/h erlaubt sind, dann sind auch 51 km/h nicht zulässig – stellen aber einen anderen Verstoß dar, als mit 100 km/h einen Unfall mit Personenschaden zu verursachen. Es kommt also immer auf die jeweiligen Umstände an.
BC: Zum Abschluss etwas Persönliches: Sie sind ja seit 2018 regelmäßig als Teilnehmer und Vortragender mit dabei – unter anderem bei der PriSec – möchten Sie uns mitteilen, welche Eindrücke Sie von unseren Konferenzen mitgenommen haben?
Holzinger: Was bei Business Circle herausragend gut funktioniert, ist die Organisation und die immer freundlichen und hilfsbereiten Menschen, die sofort zur Stelle sind, wenn unerwartete Fragen auftauchen. Dieser Spirit ist auch für die Teilnehmenden spürbar und für mich als Vortragenden immer eine große Freude und ein Ansporn jedes Mal möglichst zufriedene Teilnehmerinnen und Teilnehmer wieder in den „Arbeitsalltag“ zu entlassen.
Weiterführende Links:
- Eine gute Übersicht auch mit Checklisten für den eigenen Gebrauch
- Informationen von noyb/Max Schrems zum Thema
Eckart Holzinger, MBA ist Datenschutzbeauftragter. Sein Kernthema ist die Schnittmenge zwischen Marketing, Technik und Recht. Speziell die Anforderungen von Unternehmen im Projekt- und Prozessmanagement. Er gestaltet seit mehreren Jahren das Business Circle Seminar „DSGVO und Marketing“
Zum Seminar: "Datenschutz - DSGVO und Marketing"
