Die Datenschutzgrundverordnung der Europäischen Union ist anstrengend, aber eine Erfolgsgeschichte. Die Europäische Kommission sollte das fünfjährige Jubiläum der DSGVO dazu nutzen, noch einmal genau über „Privacy Shield 2.0“ nachzudenken, findet Holger Dyroff, Co-Founder und COO von ownCloud.
Die DSGVO feiert fünfjähriges Jubiläum. Seit dem 25. Mai 2018 ist die europäische Datenschutzgrundverordnung in Kraft. Auch wenn sie bei ihrer Einführung die Verantwortlichen viele Nerven gekostet hat, kann sie als Erfolgsgeschichte gelten. Sie hat etwa äußerst Erfreuliches bewirkt: nämlich das allgemeine Problembewusstsein für den Datenschutz geschärft. Dafür haben nicht zuletzt die vielen Schlagzeilen über die saftigen Bußgelder gesorgt, die wegen Verstößen gegen die DSGVO verhängt wurden. Selbst mächtige US-Player müssen vor ihr zittern. Das bekam jüngst auch der Meta-Konzern zu spüren, der wegen der Weitergabe von europäischen Facebook-Nutzerdaten in die USA zu einer Rekordstrafe von 1,2 Milliarden Euro verdonnert wurde.
Dass die DSGVO eine Erfolgsgeschichte ist, zeigt auch die Tatsache, dass sie viele weltweite Nachahmer gefunden hat. Australien, Brasilien, Südkorea, Thailand und sogar US-Staaten wie Kalifornien haben sie sich bei ihren Datenschutzgesetzen die zum Vorbild genommen. Und am 1. September 2023 wird in der Schweiz das neue Datenschutzgesetz (nDSG) in Kraft treten. Es wird die Rechte der Schweizer Bürgerinnen und Bürger im digitalen Zeitalter stärken und den Datenschutz der Eidgenossenschaft auf ein mit den EU-Staaten vergleichbares Niveau heben – indem es sich ebenfalls an der DSGVO orientiert.
Dass Unternehmen sich an die Vorgaben der europäischen Datenschutzgrundverordnung halten sollten, versteht sich praktisch von selbst. Zu den guten vielen guten moralischen, rechtlichen und finanziellen Gründen kommt jetzt nach fünf Jahren ein weiterer guter Grund hinzu: Unternehmen müssen sich bei Verstößen künftig auch auf Schadenersatzforderungen für immaterielle Schäden gefasst machen. In einem Grundsatzurteil bestätigte der Europäische Gerichtshof Anfang Mai 2023, dass Betroffene von Verstößen für immaterielle Beeinträchtigungen wie beispielsweise Bloßstellung Schadenersatz fordern können, ähnlich dem Schmerzensgeld bei Körperverletzungen. Für Unternehmen ist es deshalb wichtiger denn je, saubere Prozesse zur Erfüllung ihre Pflichten zu implementieren.
Für die Europäische Kommission wäre das fünfjährige Jubiläum eigentlich der ideale Anlass, noch einmal in sich zu gehen. Sie ist nämlich derzeit im Begriff, ein drittes Mal denselben Fehler zu begehen. In den vergangenen Jahren kippte der Europäische Gerichtshof bereits zwei Abkommen der Kommission mit den USA. Erst sollte „Safe Harbor“ und dann „Privacy Shield“ einen sicheren Datentransfer von Europa nach Amerika gewährleisten, doch die obersten europäischen Richter zogen beides Mal die Notbremse. Wegen der umfassenden Zugriffsrechte der amerikanischen Geheimdienste, so ihre Begründung, seien die personenbezogenen Daten europäischer Bürger bei US-Unternehmen nicht genug im Sinne der DSGVO geschützt.
Vor kurzem haben sich die EU-Kommission und die US-Regierung auf eine neue Regelung geeinigt, der dasselbe Schicksal droht. Es deutet nämlich nichts darauf hin, dass sich an den amerikanischen Überwachungsgesetzen – und damit am Grundproblem – irgendetwas ändern wird. Datenschützer gehen deshalb davon aus, dass der Europäische Gerichtshof auch dieses „Privacy Shield 2.0“-Abkommen wieder kassieren wird. Unternehmen drohen dann beim Einsatz US-amerikanischer Cloud-Lösungen weitere Jahre der Rechtsunsicherheit. Um das zu verhindern, sollte die europäische Kommission sich anlässlich des DSGVO-Jubiläum darauf besinnen, was es wirklich bräuchte: ein „No Spy„-Abkommen mit den USA, das den Verzicht auf geheimdienstliche Aktivitäten garantiert. Bis zu einem solchen Abkommen gilt, dass die Clouds von US-Anbietern für persönliche Daten nicht rechtssicher genutzt werden können. Gut, dass es digital souveräne Lösungen als Alternativen gibt.