Data Privacy Framework (DPF) für eine Schonfrist nutzen
Unternehmen sollten sich keine langfristige Rechtssicherheit von dem neuen DPF erhoffen, sagt Nader Heinein, VP Analyst bei Gartner.
Welche wirtschaftliche Bedeutung sehen Sie für das neue DPF (Data Privacy Framework)?
Google hat Bard bereits zwei Tage nach der Einigung in der EU eingeführt. Ich glaube nicht, dass die Tinte schon trocken war, als die Entscheidung getroffen wurde. Es vereinfacht das Geschäft erheblich. Die meisten Cloud-Dienste gehören US-Unternehmen, werden von ihnen betrieben und haben ihren Sitz in den USA. Aus wirtschaftlicher Sicht ermöglicht dies vielen Unternehmen, zur Tagesordnung überzugehen, ohne sich um grenzüberschreitende Transfers und die Wahl des richtigen Cloud-Anbieters kümmern zu müssen. Viele übersehen jedoch, dass die von ihnen unterzeichneten Vereinbarungen weiterhin auf Standardvertragsklauseln beruhen und möglicherweise nicht von der Angemessenheitsentscheidung profitieren.
Sehen Sie einen Fortschritt bei dem DPF im Vergleich zu Privacy Shield? Denken Sie, dass die Anforderungen von GDPR und die des EuGH dadurch umgesetzt werden?
Die Abkommen sind fast identisch. Was sich unterscheidet, sind die in den USA gewährten Schutzmaßnahmen, auf die sich jedes Abkommen stützt. Europäische Gerichte haben den Rechtsschutz für europäische Daten im Rahmen von Privacy Shield für unzureichend befunden. Die Durchführungsverordnung, auf der die neue Angemessenheitsentscheidung beruht und wie sie umgesetzt werden soll, ist nur unwesentlich besser als die PPD 28, die die Obama-Regierung zur Verabschiedung des Privacy Shield verwendet hat. Meiner Meinung nach hätte der EuGH mit der DPF sehr viel weiter gehen müssen, um angemessen zu sein, als es tatsächlich geschehen ist.
Wie bewerten Sie das Risiko, dass auch das DPF vor Gericht für ungültig erklärt wird?
Wir gehen davon aus, dass es in 2-5 Jahren für ungültig erklärt wird (je nach Anfechtung). Wir raten unseren Kunden, die nächsten zwei Jahre als Schonfrist zu nutzen, um ihre Cloud-Strategien so auszurichten, dass sie sich nicht auf das neue Angemessenheitsurteil verlassen müssen. Auf diese Weise sind sie nicht betroffen, wenn das DPF ein ähnliches Ende findet wie sein Vorgänger.
Das DPF schafft erst einmal Rechtssicherheit, doch sollten sich Unternehmen darauf verlassen?
Nein. Es sei denn, sie wollen sich in der gleichen Lage wie wiederfinden, in der sich die meisten im Juni 2020 befanden, als das Privacy Shield für ungültig erklärt wurde. Das wäre ein weiteres Deja-vu.
Sollten Unternehmen eher auf die neuen EU-Standardvertragsklauseln oder auf andere Rechtsgrundlagen setzen? Was raten Sie den Unternehmen?
Wir raten unseren Kunden, die im Abkommen vorgesehene Frist von zwei Jahren (Untergrenze der geschätzten Ungültigkeit) zu nutzen, um mit ihren Cloud-Anbietern eine Lösung zu finden, die entweder keine Datenübermittlung erfordert oder den Anforderungen der Standardvertragsklauseln entspricht. Dies ist auch die Frist für europäische Cloud-Initiativen wie Gaia-X und Blue, um eine praktikable Alternative zu einem wettbewerbsfähigen Preis zu finden.