Der Europäische Gerichtshof (EuGH) hat das Privacy-Shield Abkommen zwischen der EU und den USA im Juli für ungültig erklärt. Dadurch ist die aktuelle Form der Übertragung persönlicher Daten durch Unternehmen von der EU in die USA nun in vielen Fällen illegal. Ursächlich für die Entscheidung der Richter in Luxemburg sind primär die mangelhaften Datenschutzstandards in den USA sowie die beinahe grenzenlosen Zugriffsrechte amerikanischer Geheimdienstbehörden. Für Unternehmen in Deutschland ergeben sich aus diesem Urteil ernst zu nehmende Konsequenzen. Müssen sich also KMU auf Strafen und Schreiben von Abmahnanwälten einstellen?
Was ist das Privacy-Shield Abkommen?
Das 2016 geschlossene EU-US Privacy Shield (EU-US Datenschutzschild) regelt grundsätzlich den Schutz personenbezogener Daten, die aus einem Mitgliedsstaat der Europäischen Union in die USA übertragen werden. Die informelle Absprache, in den USA häufig nur als „Deal“ tituliert, trat dabei an die Stelle des Safe-Harbor Abkommen, das zuvor bereits auch durch den EuGH für ungültig erklärt wurde. Inhalt des Abkommen sind Grundsätze zum Datenschutz im Umgang mit Daten von europäischen Bürgern, die von den amerikanischen Unternehmen einzuhalten sind, sowie weitere Garantien und Beschränkungen für den Datenzugriff durch US-Behörden. Dadurch sollten personenbezogene Daten von europäischen Bürgern auch in den USA durch vergleichbare Datenschutzbestimmungen geschützt werden.
Bereits bei Bekanntgabe sah sich das Abkommen breiter Kritik ausgesetzt. Vorrangig störten sich Datenschützer vor allem daran, dass es kein rechtlich bindender Vertrag war. US-Geheimdienste konnten so zum Beispiel durch ihre weitreichenden Befugnisse weiterhin beinahe ungehinderten Zugang zu den Daten von EU-Bürgern erlangen. Durch die neue US-Regierung unter Donald Trump hat sich die Diskussion zusätzlich verstärkt.
Können Unternehmen noch mit US-Anbietern arbeiten?
Die Folgen durch das Urteil des EuGHs sind weitreichend. Grundsätzlich ist der Datentransfer zwischen europäischen Unternehmen und amerikanischen Anbietern, die sich ausschließlich auf das gekippte Abkommen stützen, ab sofort nicht mehr möglich respektive nicht legal. Davon betroffen sind unter anderem bekannte Dienste wie Google Analytics, Dropbox oder Amazons Cloud Speicher. Doch das ist nur die Spitze des Eisberges. Viele weitere Unternehmen und Dienstleister, die sich beim Thema Datenschutz bisher auf das Privacy Shield berufen haben, erfüllen seit dem Urteil vom 16.Juli nicht mehr die notwendigen europäischen Datenschutzbestimmungen. Wie dürfen nun aber Daten, Namen, E-Mails und Bilder noch weiter fließen?
Derzeit verweisen Amazon, Google, Facebook und Co darauf, dass durch die Nutzung der sogenannten Standardvertragsklauseln europäische Unternehmen weiterhin ihre Dienste nutzen können. Bislang galt die Übertragung dann als legal. Doch auch hier herrschen Zweifel, ob diese einer möglichen Klage standhalten. Besonders in solchen Staaten, in denen Geheimdienste weitreichende Befugnisse haben. Zusätzlich müssen europäische Unternehmen sicherstellen, dass diese Standardvertragsklauseln auch befolgt werden. In Realität ist das besonders für kleine und mittelständische Betriebe kaum umsetzbar. Professor Kelber, Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, betont hierzu: „Standardvertragsklauseln sind weiterhin eine mögliche Grundlage für den Datentransfer. Eine Übermittlung von Daten in die USA kann allerdings nur dann über Standardvertragsklauseln begründet werden, wenn zusätzliche Maßnahmen getroffen werden, die das gleiche Datenschutzniveau wie in der Europäischen Union gewährleisten. Dabei müssen die Umstände der Datentransfers von Fall zu Fall betrachtet werden.“
Gibt es schon ein neues Abkommen?
Wie es beim Thema Datentransfer mit den USA oder anderen Drittländern genau weiter gehen wird, ist unklar. Einige Experten zeigen sich optimistisch, dass die EU eine Lösung finden wird. So äußerte sich ein Sprecher des Software-Konzern SAP gegenüber der SZ wie folgt: „Wir sind zuversichtlich, dass sich die europäischen Datenschutzbehörden, wie schon als das Safe-Harbor Abkommen für unwirksam erklärt wurde, konstruktiv an der Lösungsfindung beteiligen werden.“ Wie diese Lösung aussehen könnte, und wie sich der Datentransfers mit den USA in Zukunft gestalten wird, steht momentan allerdings noch in den Sternen.
Muss man mit Strafen rechnen?
Insbesondere große Unternehmen prüfen derzeit bereits ihre Abmachungen mit amerikanischen Dienstleistern. Für KMU ist dies wesentlich schwieriger, da diese meistens nicht über eigene Datenschutzexperten verfügen oder sich externe Fachleute leisten können. Wer auf Nummer sicher gehen will, kann als Unternehmer bei der Nutzung von personenbezogenen Daten aber auf europäische Anbieter umsteigen. Diese liegen zwar technisch häufig hinter den amerikanischen Platzhirschen, erfüllen aber die europäischen Datenschutzrichtlinien. In Zukunft kann es aber auch zu Strafen durch die zuständigen Datenschutzbehörden kommen. Jedoch ist damit zu rechnen, dass ähnlich wie nach dem Ende des Safe-Harbor Abkommen eine Schonfrist zugestanden wird und zunächst keine Strafen verhängt werden. Allerdings stehen wohl schon die ersten Abmahnanwälte in den Startlöchern.