Ein EU-Urteil zum Datentransfer in die USA sorgt für Unruhe in der deutschen Wirtschaft. Ziehen betroffene Firmen nicht die richtigen Konsequenzen, drohen harte Strafen.
Führende Vertreter der Digitalwirtschaft in Deutschland haben sich besorgt darüber gezeigt, dass im Fall der gekippten EU-US-Datenschutzvereinbarung „Privacy Shield“ deutschen Unternehmen Bußgelder drohen können.
„Das Quasi-Verbot vieler Datenübermittlungen wirkt sich auf zahlreiche etablierte Geschäftsmodelle aus und verkennt die Realität einer globalen Datenwirtschaft“, sagte Susanne Dehmel, Mitglied der Geschäftsleitung des IT-Verbands Bitkom, dem Handelsblatt. „Die betroffenen Unternehmen können nicht von heute auf morgen ihre Prozesse umstellen, gleichzeitig drohen Strafen von Aufsichtsbehörden – all das führt zu großer Verunsicherung.“
Auch der Verband der Internetwirtschaft Eco zeigte sich alarmiert. Für alle Unternehmen, die auf den freien Verkehr und Austausch personenbezogener Daten angewiesen seien, berge das Urteil des Europäischen Gerichtshofs (EuGH) von Mitte Juli, mit dem das „Privacy Shield“ für nichtig erklärt worden war, „enorme Risiken“, sagte Eco-Geschäftsführer Alexander Rabe dem Handelsblatt.
In dem EU-US-Abkommen wurde geregelt, dass Unternehmen personenbezogene Daten unter bestimmten Schutzvorkehrungen von EU-Ländern in die USA übermitteln dürfen. Daten werden häufig in den USA gespeichert – selbst wenn es sich um Firmen aus Europa handelt. Diese greifen oft auf Cloud-Dienste in den USA wie Amazon AWS, Microsoft Azure oder Google Cloud zurück.
Die Luxemburger Richter begründeten ihr Urteil vor allem damit, dass Überwachungsbefugnisse der US-Behörden zu umfangreich seien. Aus ähnlichen Gründen hatte der EuGH 2015 bereits die Vorgängerregelung „Safe Harbor“ gekippt.
Verbände sehen EU am Zug
Der baden-württembergische Datenschutzbeauftragte Stefan Brink hält nach dem neuen EuGH-Urteil Bußgelder gegen deutsche Unternehmen für möglich. Die Aufsichtsbehörden versuchten derzeit, einen Ausweg aus einer „nahezu unlösbaren Situation“ zu finden, sagte Brink dem Handelsblatt. Andernfalls müsse jedes deutsche Unternehmen geprüft und mit Bußgeld belegt werden, wenn es seine Infrastruktur auf US-Datenverarbeiter aufgebaut habe.
Eco-Geschäftsführer Rabe sieht dringenden Handlungsbedarf. „Die EU muss deshalb möglichst rasch praktikable und nachhaltig verlässliche Lösungen für den Datentransfer in die USA präsentieren und so für Unternehmen wieder Rechtssicherheit schaffen“, sagte er. Dies sei im Interesse der gesamten Wirtschaft in Deutschland und Europa.
Bitkom-Expertin Dehmel appellierte ebenfalls an die EU, „schnell für Rechtssicherheit zu sorgen und eine Datenverarbeitung in Drittländern wie den USA langfristig zu ermöglichen“. Von den Aufsichtsbehörden verlangte sie, die betroffenen Unternehmen jetzt zu beraten und praktische Hinweise zu geben.
Das EuGH-Urteil hat laut Dehmel für europäische Unternehmen mit einer Datenverarbeitung in den USA „massive“ Auswirkungen. „Wer bislang allein auf Basis des Privacy Shield Daten verarbeitet hat, muss zumindest auf die Standardvertragsklauseln umstellen“, erläuterte sie. „Aber auch das bietet nicht für alle Prozesse ausreichend Rechtssicherheit“, fügte Dehmel hinzu. „Pauschale Lösungen sind bisher kaum in Sicht.“
Nur noch Einzelfall-Transfers auf Einwilligungsbasis möglich
Die EU-Kommission hatte indes betont, dass der Datenfluss zwischen Europa und den USA nach dem EuGH-Urteil nicht grundsätzlich unmöglich sei – denn es gebe noch die sogenannten Standardvertragsklauseln für den Datentransfer zwischen EU-Ländern und Drittstaaten.
Der Datenschützer Brink wendet indes ein, dass die „Standard-Datenschutz-Klauseln“ laut EuGH alleine „keine hinreichende Grundlage sein könnten, sondern durch zusätzliche Garantien unterstützt werden müssten“. Das heißt: Es müsse sichergestellt sein, dass US-Behörden nicht im Rahmen ihrer gesetzlichen Befugnisse auf Daten von Europäern bei US-Unternehmen zugreifen.
Brink hält eine solche vertragliche Zusicherung für kaum vorstellbar. „Seit wann kann ein Unternehmen seinem Kunden den Bruch geltenden Rechts seines Landes vertraglich zusichern?“, fragte er. „Mehr als ein Feigenblatt sind auch die Standardverträge also nicht mehr.“
Somit wären nach den Regeln der EU-Datenschutz-Grundverordnung DSGVO nur noch Einzelfall-Transfers auf Einwilligungsbasis oder zur Erfüllung von Einzelverträgen möglich, wie Brink erklärt, also keine regelmäßige Kooperation mit US-Anbietern mehr.
Autor: Dietmar Neuerer, Handelsblatt