Obwohl der Europäische Gerichtshof den Privacy-Shield gekippt hat, haben viele Tech-Konzerne ihre Datentransfers noch nicht an die veränderte Lage angepasst. Der Datenschutzverein Noyb hat die Datenschutzbeauftragten und Kundendienste von 33 Konzernen gefragt, wie sie mit internationalen Datentransfers umgehen.
Urteil noch nicht umgesetzt
„Die Antworten reichen von detaillierten Erklärungen, über Eingeständnisse, dass die Unternehmen keine Ahnung von der Situation haben, bis hin zu schockierend aggressiver Leugnung des Rechts“, so Max Schrems, Vorsitzender von Noyb, laut Pressemitteilung.
Nach einer Klage von Max Schrems hatte der EuGH im Juli das EU-US-Datenschutzabkommen Privacy-Shield gekippt. Das Abkommen entsprach demnach nicht dem europäischen Datenschutzrecht, weil US-Behörden wie die NSA und das FBI auf Daten europäischer Nutzer zugreifen könnten, ohne, dass diese etwas dagegen tun könnten.
Auflagen werden nicht erfüllt
Mehrere Unternehmen schrieben jetzt auf Anfrage von Noyb, sie würden Daten auf Basis von Standardvertragsklauseln (SCCs) übermitteln, die nach dem Urteil weiter erlaubt sind. Allerdings müssten auch sie im Zielland prüfen, ob europäisches Datenschutzrecht eingehalten wird.
Diese Auflage wird nicht erfüllt, so Noyb. Beispielsweise habe Microsoft behauptet, personenbezogene Daten weiterhin in die USA übermitteln zu dürfen. Tatsächlich übergebe Microsoft aber Daten an die US-Regierung, was europäischen Recht widerspreche.
„Keinen Plan, wie es weitergehen soll“
Von einigen Unternehmen, darunter Airbnb, Netflix und Whatsapp hat Noyb keine Antworten bekommen, obwohl Nutzer darauf laut DSGVO ein Recht hätten, so Schrems.
Andere antworteten nicht direkt auf die gestellten Fragen. Slack beispielsweise machte nicht deutlich, ob Überwachungsgesetze eine Offenlegung von Daten erzwingen könnten. Amazon schrieb, die Auswirkungen des Urteils noch zu prüfen.
„Es scheint, dass der größte Teil der Unternehmen immer noch keinen Plan hat, wie es weitergehen soll. Andere Unternehmen leugnen einfach das EuGH-Urteil“, so Schrems.
- Privacy-Shield gekippt: Das müssen Unternehmen jetzt wissen
- Privacy-Shield gekippt: EU-US-Datenübertragung in vielen Fällen illegal
- Wegen Datenweitergabe an US-Konzerne: Beschwerden gegen 101 europäische Firmen
Man denke auch mal an die kleinen und Mittelgroßen Unternehmen, die schlichtweg keine Möglichkeit haben, sich zu 100% auf die sichere Seite zu bewegen, aber trotzdem das Risiko auf sich nehmen müssen.
Das Gesetz sagt ja eigentlich nur, das keine Daten mehr an die USA übertragen werden sollen, die nicht in besonderer Weise geschützt werden können.
Man darf aber nicht vergessen, dass die digitale Landwirtschaft in Europa in einem derart desaströsen Zustand ist, dass es vergleichbare Lösung wie in den USA überhaupt nicht gibt. Kombiniert mit der Tatsache, dass der digitale Wettbewerb in den USA dem Europäischen 5 Jahre voraus ist, und Unternehmen die diesen Fortschritt nutzen und Daten austauschen einen erheblichen Vorteil haben, zeigt eigentlich nur das grobe Versagen auf europäischer Ebene. Hier arbeitet niemand mit Vision, sondern mit Leugnung.
Warum schalten wir das Internet dann nicht einfach ab?
Wenn man keine Globalisierung will dann muss man konsequent sein.