Die DSGVO verbietet die Verarbeitung personenbezogener Daten außerhalb der EU, sofern in den Drittländern – und dazu gehören die USA nun einmal – kein angemessenes Datenschutzniveau herrscht. Ob ein solches herrscht konnte bisher im Wesentlichen an zwei Indikatoren festgemacht werden: Die beteiligten Unternehmen aus Drittländern konnten ein Privacy-Shield-Zertifikat vorweisen oder es wurden zwischen vorgefertigte Standardschutz- bzw. vertragsklauseln („Standard Contractual Clauses“ abgeschlossen.
Zumindest die Gültigkeit der Privacy-Shield-Zertifizierung ist nunmehr Geschichte. Und was die Standardvertragsklauseln angeht, so kann man sich nicht mehr einfach darauf verlassen, sondern muss (als Unternehmen) nun selbst prüfen, ob diese in der Praxis überhaupt eingehalten werden können.
Dieses Urteil ist nicht die Ursache für eine Beschränkung der Datenübermittlung, sondern die Folge der US-amerikanischen Überwachungsgesetze. Man kann dem Gerichtshof nicht vorwerfen, das Unvermeidliche zu sagen.
Max Schrems, noyb
Auch wenn ich das Vorgehen begrüße – meine Güte, wieviel zum Thema Datenschutz habe ich selbst hier schon geschrieben! – so sorge ich mich um die Qualität dessen, was jetzt kommt. Sofern US-Unternehmen nicht rasch mit einer rechtlich kompatiblen Lösung aufwarten können, werden wir früher oder später wieder mit Software arbeiten müssen, die den der europäischen Softwareindustrie anhaftenden Mief zur Maxime erhoben hat: keine tatsächliche Innovation, kein wirklicher Fortschritt, sondern die Zementierung längst überkommener (betrieblicher) Vorgehens- und Verhaltensweisen in sie perpetuierende Software: Pseudodigitalisierung, also.
Mein persönlicher Albtraum wäre es, Dropbox, Google Drive oder OneDrive gegen eine lokale SharePoint-Instanz eintauschen oder cloudbasierte Office-Dienste wieder lokal installieren oder die unendlichen Vorteile von Mailsystemen wie Gmail gegen die Qualen, die Outlook verursacht, in Ermangelung datenschutzkonformer Alternativen eintauschen zu müssen. Mal sehen, was kommt.