Unzulässige Drittlandübermittlungen relativierbar?

(Schon 8 Tage nichts mehr im Forum passiert. Schnell was schreiben, damit es nicht in der Bedeutungslosigkeit versinkt. Aber was… Ach ja!)

Können Grundrechtsabwägungen konkrete Zulässigkeitsanforderungen praktisch komplett verdrängen?

Z. B. Abhilfebefugnisse zu Anforderungen aus Art. 44 ff. DSGVO für Drittlandübermittlungen. Datenschutz-Grundrecht versus the other Grundrechte aus EU-Grundrechte-Charta.

50. Tätigkeitsbericht des Hessischen Beauftragten für…, Seite 39 unten, Digitale Soureränität als Voraussetzungen für Datenschutz

https://datenschutz.hessen.de/sites/datenschutz.hessen.de/files/50_Taetigkeitsbericht_0.pdf

“2. Sind ausländische Systeme und Dienste in die Tätigkeit der Verantwortlichen voll eingebunden…”

Ich lese raus, dass die(se) Aufsicht leider nichts machen kann, wenn ein Geschäftsmodell oder eine Behördenaufgabe wegen einer Entscheidung in der Vergangenheit darauf angewiesen sind, Daten weiterhin unter unzureichenden Absicherungen in Drittländer zu übermitteln. Weil die Grundrechte auf Berufsfreiheit und Eigentum (bzw. welche Aufgaben oder Grundrechte die öffentliche Stelle gerade pusht) so wichtig sind, dass die Beeinträchtigung des Grundrechts auf Datenschutz nicht durch eine Untersagung abgestellt werden darf. (Vielleicht auch nicht mit Bußgeld belegt, weil sich das ja auf die Spielräume der Berufsfreiheit auswirken kann?)

Hä? Ja, akademisch darf man das diskutieren. Aber sollte eine Aufsicht solche Ideen in ihrem Bericht propagieren? Da ermutigt man doch… bzw. entmutigt die Bemühten.

D., der sich jetzt nicht ein freches Geschäftsmodell sucht, das er auf tönerne Drittland-Beine stellt und der nicht verlangt, dass die Vorschriften in diesem Fall gar nicht gelten dürfen, weil es ja keine zulässigen Alternativen gibt.

Und nochmal D., der als transparenzmäßige Abhilfe den Schulen und Hochschulen usw. schon lange auferlegt hätte, ihre Betroffenen über die Unzulässigkeit (sagen wir vorsichtig: Unmöglichkeit, die Zulässigkeit darzulegen) ihrer problematischen Aktivitäten zu informieren. Z. B. indem man ihnen bei der Anmeldung einen Rahmen einblendet, dass dieses System bestimmte Risiken und Nebenwirkungen enthält, die es gar nicht gäbe, wenn man sich aufraffen würde, etwas von Ratio… äh… BBB-Pharm unter eigener Kontrolle zu betreiben . Dann können sie das Zeug (immer noch nicht zulässig) weiter nutzen und auch die nächsten untragbaren Funktionen mitnehmen, die Betroffenen sind informiert, und es baut sich Handlungsdruck auf.

Das lese / verstehe ich es eher als Klage über die Realität, einen kräftezehrende “Kampf” und die Zurückhaltung bei Entscheidungen aus Angst vor Eskalationen. Aber digitale “Souveränität” für die EU dürfte ein Traum bleiben …

Das genannte Grundrechtsargument könnte jetzt standardmäßig als billige Ausrede aus dem Ärmel gezogen werden, um bei beliebigen Verstößen gar nichts unternehmen zu müssen. (Sowohl als Aufsicht als auch als Verantwortlicher.) Falls man sich stabil auf solche Aussagen berufen kann, würde man nur die Verstöße anhaken und mit den Schultern zucken.

“Datenschutz? Ja, ich weiß. Aber leider ist mein Geschäftsmodell /meine öffentliche Aufgabe darauf angewiesen, das genau so zu machen. Alternative Lösungen sind mir nicht zuzumuten (grins). Meine Grundrechte und so. Deine auch? Nicht mein Problem!”

D., der solche öffentlichen… Vorschläge für riskant hält. Obwohl er unvorsichtigerweise auch schon mal welche gemacht hat. Z. B. nach Schrems II dass sich die problematische Abweichung im Schutzniveau der USA ganz einfach durch ein Absenken des Niveaus in der EU anpassen ließe. War damals nicht ernst gemeint, aber… Vorratsdaten, Verarbeitung auch mal gern ohne Rechtsgrundlage, in der Praxis ignorierte Informationspflicht, strukturelle Durchsetzungsdefizite etc.

Ok, verstanden.

Aber nicht ganz einverstanden … Den Bericht liest kein 'Verantwortlicher, der wird im Zweifel seinen Anwalt fragen - wenn er das Argument nicht ohnehin informell nutzt (“Firma kann sonst nicht arbeiten” o.ä.). Und ich kann nicht jeden speziellen Fall aus verfügbaren Kommentaren oder Urteilen behandeln. Die Rückendeckung und Unterstützung durch die Aufsichten durch Beratung des DSB scheint noch löchriger zu werden (*). Da ist ein “Danke lieber DSB für deine Einschätzung” schnell und ohne großes Risiko gesagt

Da es unter dem Stichwort “Digitale Souveränität” steht, liegt es nahe, mal die Praxis zum Einsatz von Microsoft anzugucken. Und da passiert genau das: “Kann sonst nicht arbeiten und alle anderen machen es auch und denen passiert nix”. Was sich kaum bestreiten läßt …

Letztlich beschreibt der Berichtsteil die Praxis und nennt kleine Beispiele, wie’s besser ginge.

(*) meine gerade aktuelle Erfahrung

Der Bericht beschreibt in meinen Augen einfach nur die Realität. Europa hat die Digitalisierung im Endeffekt komplett verschlafen und die Entwicklung von Hard- und Software weitgehend auf US-Amerikanische Unternehmen oder Anbieter aus anderen Drittländern mit teilweise zweifelhaftem Datenschutzniveau abgegeben. Hierdurch ist eine Abhängigkeit entstanden, wie auch in anderen wichtigen Bereiche - z.B. Verteidigung oder Energieversorgung - die nur schwer zu durchbrechen ist, ohne erheblich wirtschaftliche Schäden zu riskieren.

Die Datenschutzaufsichten kämpfen da eher wie seinerzeit Don Quichote gegen die Windmühlen.

Ich persönlich verstehe diesen Teil des Berichtes weniger als Freibrief für Verantwortliche weiterhin wenig bis gar nicht DSGVO-konforme Anwendungen für die Erfüllung ihrer Aufgaben zu nutzen, dann als dringenden Appell an die politisch Verantwortlichen in Europa entsprechende Alternativen zu entwickeln und anzubieten.

An der Stelle trifft die aktuelle Diskussion aus BW ja auch schön zu.

Dürfen US-Anbieter nur deshalb ausgeschlossen werden bei der Vergabe weil sie eben nicht aus der EU sind.

Siehe auch:

• https://www.dr-bahr.com/news/datenschutzrecht/vergabe-von-it-und-cloud-dienstleistungen-an-eu-toechtern-amerikanischer-firmen-doch-moeglich.html
• https://community.beck.de/2022/07/28/vergaberecht-mischt-den-datenschutz-auf
• https://www.baden-wuerttemberg.datenschutz.de/stellungnahme-zum-beschluss-der-vergabekammer-bw/

Ja ich weiß das Thema geht in eine etwas andere Richtung - trotzdem sehe ich da einen inhaltlichen Zusammenhang

Der generelle Ausschluss, wie ihn die Vergabekammer gesehen hatte wurde ja inzwischen zurückgedreht.
https://www.dr-bahr.com/news/datenschutzrecht/vergabe-von-it-und-cloud-dienstleistungen-an-eu-toechtern-amerikanischer-firmen-doch-moeglich.html

D., der sich über dieses “Das kann man so nicht sagen…” aufregen möchte. Weil es den meisten Verantwortlichen praktisch nicht möglich sein wird, die Wirksamkeit der üblicherweise (wenn überhaupt) angebotenen zusätzlichen Garantien darzulegen.

Tatsächlich ist es umgekehrt, dass man in den allermeisten Fällen zunächst von der Unzulässigkeit auszugehen hat. Auf dieser Basis bräuchte man wenigstens ein paar spezifische Überlegungen, warum die eigene Verarbeitung mit Drittländern in Ordnung sein soll.