Unter BigIDeas für unterwegsMatt Getz, Anwalt für Datenschutz und Compliance bei Boies Schiller Flexner LLP und ehemaliger Schiedsrichter im EU-US-Datenschutzschild-Rahmenwerk, erörtert die weitreichenden Auswirkungen der Datenschutzschild-Entscheidung – sowie seine Arbeit an Brown vs. Google, der bevorstehenden Sammelklage zum „Inkognito-Modus“, die bereits für Schlagzeilen sorgt.
Was die Schrems-II-Entscheidung wirklich für den Datenschutz bedeutet
Am 16. Juli hat der Gerichtshof der Europäischen Union (EuGH) EU-US-Datenschutzschild gekippt, ein Abkommen zwischen den Vereinigten Staaten und der Europäischen Union über den Umgang US-amerikanischer Unternehmen mit personenbezogenen Daten von EU-Nutzern, und bezeichnete den US-Schutz im Rahmen dieses Rahmens als „unzureichend“.
Die Entscheidung, die gemeinhin als „Schrems II“ bezeichnet wird, da sie auf dem Urteil im Fall Facebook vs. Schrems basiert, hat weitreichende Auswirkungen auf den grenzüberschreitenden Datentransfer. „Offen gesagt, wenn wir das Ganze bis zum Äußersten durchziehen“, prognostiziert Getz, „Massenübertragungen von Daten in die Vereinigten Staaten werden wirklich, wirklich schwierig werden.“
Vor der wegweisenden Entscheidung, den Privacy Shield aufzuheben, den mehr als 5.000 EU-Unternehmen bei der Übermittlung personenbezogener Daten in die USA nutzten, sei es „nur sehr wenige“ Streitigkeiten im Zusammenhang mit dem Privacy Shield gegeben und die Europäische Kommission habe dem Shield durchweg „glühende Berichte“ ausgestellt, sagt Getz.
„Ich hatte das Gefühl, dass das Programm aus der Sicht von BetroffeneEs gab nicht viele große Probleme, weshalb ich die Schrems-II-Entscheidung in vielerlei Hinsicht so interessant finde.“
Die Reaktion des „kopflosen Huhns“ auf Schrems II
Ob wirksam oder nicht, viele Anzeichen deuteten darauf hin, dass die Zahl der Privacy Shield-Initiativen steigen könnte. „Von Beginn an gab es viele Kritiker, die sich gegen das Privacy Shield-Programm ausgesprochen hatten. Einige NGOs waren dagegen, die irischen Gerichte, die es durchlief, waren nicht sehr glücklich darüber, und natürlich war Herr Schrems dagegen.“
Auch wenn Schrems II nicht ungültig machte Standardvertragsklauseln des Privacy Shield, sorgte es für große Unsicherheit darüber, welche „ergänzenden Maßnahmen“ und „zusätzlichen Sicherheitsvorkehrungen“ in Zukunft möglicherweise erforderlich sein könnten, um den Datenverkehr zwischen der EU und den USA zu schützen.
Die Datenschutzbehörden und der Europäische Datenschutz-Aufsichtsrat reagierten auf das Schrems-II-Urteil „eher kopflos“. Was die Standardvertragsklauseln für Datenverantwortliche und -exporteure angeht, „weiß niemand so recht, was das bedeutet – und was sie jetzt tun sollen“, sagt Getz.
„Sie alle sagten: ‚Oh, wir begrüßen die Entscheidung. Wir denken darüber nach und werden uns bei Ihnen melden und Ihnen sagen, was Sie tun müssen.‘ Das sagt mir“, sagt Getz, „dass auch sie überrascht waren und keine Notfallpläne hatten.“
Was kann ein EU-Unternehmen in der Zwischenzeit tun?
Obwohl die Entscheidung zum Datenschutzschild sofort in Kraft tritt, glaubt Getz, dass sich Unternehmen in der EU wahrscheinlich auf „viel Spielraum und Freiheiten in Bezug auf DurchsetzungIch denke, die Parteien werden die Menschen selbst entscheiden lassen, was zu tun ist, und nicht sofort handeln.“
In der Zwischenzeit gilt: Vorwarnung ist Vorsorge – wie es üblich ist in Fragen des Datenschutzes.
Ich denke, das Allererste, was jeder tun sollte, der dies noch nicht getan hat, ist, eine Prüfung durchzuführen und genau herauszufinden, welche Daten Sie über den Privacy Shield übermittelt haben. Prüfen Sie, ob es andere Möglichkeiten gibt, diese Daten zu übermitteln. Überlegen Sie, welche anderen Maßnahmen Sie ergreifen können – ob Anonymisierung oder Pseudonymisierung funktionieren kann.
Um sich auf die noch zu erwartenden, unbekannten zusätzlichen Maßnahmen und Sicherheitsvorkehrungen vorzubereiten, „müssen regelmäßige Audits und Überprüfungen durch Unternehmen, Kontrolleure und Exporteure durchgeführt werden, genau, was mit ihren Daten passiert und wo sie sind.
„Die Leute müssen genauer hinschauen und etwas mehr Zeit und Ressourcen investieren in Bewerten, welche Daten übertragen werden."
Während alle Augen darauf gerichtet sind, wie sich dies auf die in die Vereinigten Staaten übermittelten Daten auswirkt, „wenn man diese Entscheidung zu ihren logischen Schlussfolgerungen zieht“, sagt Getz, „scheint es mir, dass fast alle groß angelegten Übermittlungen aus der EU in ein Land, das keinen Angemessenheitsbeschluss hat – und bedenken Sie, dass es nur etwa 12 Länder mit Angemessenheitsbeschlüssen gibt –, wahrscheinlich jedes davon gegen die Regeln verstoßen."
Brown vs. Google – Wie privat ist der private Modus?
Neben seiner Arbeit am Privacy Shield ist Getz auch Mitglied des Rechtsteams der Fall Brown vs. Google, eine Sammelklage in Kalifornien, die sich auf die Datenverarbeitungsaktivitäten von Google bezieht, wenn Benutzer im privaten oder „Inkognito“-Modus surfen.
„Die Schlagzeile lautet: Fast jeder, der privat gesurft hat – und denkt, dass er privat surft – hat dies in Wirklichkeit nicht getan, weil Google die Daten gesammelt, verwendet und gespeichert hat.“
Google gibt an, dass Ihre Daten nicht erfasst werden, wenn Sie im Inkognito-Modus surfen. „Aufgrund der Funktionsweise von Google Analytics und Google Ad Manager – weil sie auf den Websites von über 70% aller Herausgeber eingebettet sind – sammelt, verarbeitet und speichert Google jedoch tatsächlich Benutzerdaten, wenn Sie beim privaten Surfen eine Seite besuchen, auf der Google Analytics und Google Ad Manager installiert sind, wie etwa die New York Times, die Washington Post, BuzzFeed, Reddit; sie sind überall.
Und [Google] speichert diese Daten und macht Dinge damit, obwohl die Leute denken, dass Google die Daten nicht nimmt. Wir denken, dass dies ein Verstoß gegen die Kalifornische Datenschutzgesetze."
Obwohl sich der Fall noch „in einem sehr frühen Stadium“ befindet und Google bisher noch nicht einmal reagieren musste, könnten die Auswirkungen einer Klage gegen einen Internetgiganten wie Google den Schluss nahelegen, dass „die Leute, wenn sie Taten folgen lassen, auch Worte sprechen müssen“, sagt Getz.
Podcast anhören um mehr über Getz‘ Vorhersagen für Schrems II und Brown vs. Google zu erfahren.