Ende der Datenschutz-Schonfrist

Safe-Harbor-Aus: Unternehmen proben Balanceakt

01.02.2016
Die USA galten für den Datentransfer mit europäischen Unternehmen als "sicherer Hafen" - bis der EugH das Abkommen kippte. Eine Schonfrist läuft an diesem Wochende aus. Viele Unternehmen schlittern nun in eine rechtliche Grauzone - denn eine Neuregelung ist nicht in Sicht.

Schon heute könnten zahlreiche Unternehmen aus Sicht von Datenschützern in Deutschland gegen geltendes Recht verstoßen. Denn am 1. Februar läuft das Memorandum der EU-Datenschützer aus, das seit dem Fall des Safe-Harbor-Abkommens im Oktober den Datenaustausch mit den USA übergangsweise auf Basis der alten Regeln toleriert hat. Trotz entsprechender Planung und Versprechen ist ein neues, verbindliches Regelwerk vorerst nicht in Sicht. Von dem nun entstehenden rechtlichen Vakuum sieht das Institut der deutschen Wirtschaft (IW) in Köln europaweit tausende Unternehmen betroffen.

Vielen Unternehmen in Europa steht nach dem EuGH-Urteil zum Safe-Harbor-Abkommen und dem Auslaufen der Übergangsregelung ein rechtlicher Balanceakt bevor.
Vielen Unternehmen in Europa steht nach dem EuGH-Urteil zum Safe-Harbor-Abkommen und dem Auslaufen der Übergangsregelung ein rechtlicher Balanceakt bevor.
Foto: wavebreakmedia - shutterstock.com

Datenschützer: Exempel statuieren

Datenschützer wollen nun Fakten schaffen und Exempel statuieren, wenn Daten ohne eine gültige rechtliche Grundlage in die USA transferiert werden. Branchenvertreter sehen dagegen die Handlungsfähigkeit vieler Unternehmen in Gefahr. "Die europäischen Datenschutzbehörden müssen nun den Druck auf die Verhandlungen erhöhen und entschlossen gegen rechtswidrige transatlantische Datentransfers vorgehen", forderte Alexander Sander, Geschäftsführer des Vereins Digitale Gesellschaft. Nur auf diese Weise werde sich in den Verhandlungen die Einsicht durchsetzen, dass Reformen der geheimdienstlichen Befugnisse unausweichlich seien. Seit der Entscheidung des EuGH sei klar, dass das vordergründigste Problem in den nahezu unbeschränkten gesetzlichen Zugriffsbefugnissen der US-Geheimdienste liege.

Whitepaper: Der Nutzen des Chief Data Officers

Der Chief Data Officer (CDO) wird immer öfter zu einer zentralen Führungkraft in Unternehmen auf der ganzen Welt. Der Grund ist die zunehmende Relevanz von Daten. Denn Daten sind überall und allgegenwärtig; sie untermauern jede Transaktion, jeden Betrieb und jegliche Interaktion innerhalb und außerhalb von Organisationen. Daten sind aber auf eine Infrastruktur angewiesen, sie müssen gespeichert, archiviert, analysiert und gesichert werden. Dafür braucht es den CDO. In dieser IBM-Studie wird die Rolle des CDO durchleuchtet und gezeigt, welche Vorteile Unternehmen konkret von ihm haben.

Auch die europäische Verbraucherorganisation BEUC fordert die nationalen Datenschützer auf, Verstöße gegen EU-Datenschutzrecht konsequent zu verfolgen. "Wenn unsere persönlichen Daten aus den EU herausfließen, dann sollte dies nur entsprechend dem geltenden EU-Recht garantierten Schutz geschehen", sagte Monique Goyens, Generaldirektorin des BEUC. Unabhängig davon, ob es ab der kommenden Woche eine neue Regelung geben werde, müssten die europäischen Datenschutzbehörde sicherstellen, dass Unternehmen geltendes EU-Recht befolgten.

EuGH-Urteil: Unternehmen in der Pflicht

Seit dem Jahr 2000 hatte das Safe-Harbor-Abkommen Unternehmen in Europa ermöglicht, personenbezogene Daten gemäß europäischer Datenschutzbestimmungen mit den USA auszutauschen. Die USA wurden dabei als "sicherer Hafen" eingestuft. Überraschend wurde das Abkommen im Oktober nach einer Klage des Datenschutzaktivisten Max Schrems vom Europäischen Gerichtshof ohne Übergangsregelung gekippt und für ungültig erklärt. In den USA seien Datensammlungen von EU-Bürgern in großem Umfang möglich, ohne dass diese ausreichend geschützt seien, urteilte das Gericht.

Die eigentlichen Opfer seien europaweit rund 4000 Unternehmen - so die Überzeugung des IW. Denn diese müssten von der kommenden Woche an in einem rechtlichen "Limbo" operieren. Die europäischen Datenschutzbehörden müssten sich daher rasch auf eine gemeinsame Position verständigen. Dabei sollten zumindest übergangsweise die Standardvertragsklauseln und verbindliche Unternehmensregelungen als Alternative gelten.

Bitkom: Safe-Harbor-Alternativen erhalten

Vor allem Technologie-Unternehmen wie Microsoft, Apple oder Amazon - aber auch viele andere, international operierende Firmen sind auf einen Datenaustausch mit ihren Muttergesellschaften oder Niederlassungen in den USA angewiesen. Ob sogenannte Standardvertragsklauseln oder verbindliche Unternehmensregelungen (BCR), mit denen sich viele Unternehmen in der Zwischenzeit beholfen haben, tatsächlich über das Ende des Memorandums hinaus wirksame Alternativen sind, bezweifeln allerdings die Datenschutzbeauftragten.

Der Digitalverband Bitkom geht deshalb davon aus, dass die alternativen Regelungen vorerst keine Rechtssicherheit für Unternehmen gewährleisten. Denn die Auswirkungen des Safe-Harbor-Urteils auf die Regelwerke stünden derzeit noch auf dem Prüfstand der EU-Datenschutzbehörden. Aus Sicht des Bitkom seien beide Regelwerke jedoch eine "wirksame Grundlage, um den Datenschutz von Bürgern in den USA zu gewährleisten". Dabei sei sichergestellt, dass EU-Datenschutzbehörden Verträge prüfen und Verstöße ahnden könnten. Betroffene hätten zudem die Möglichkeit, in Europa vor Gericht zu ziehen.

Eine Übermittlung personenbezogener Daten in die USA müsse aber in jedem Fall möglich bleiben, fordert der Bitkom. "Europa darf keine Dateninsel werden", sagte Susanne Dehmel, beim Bitkom für Datenschutz und Sicherheit zuständig. "Deutsche Unternehmen sind international tätig und haben Töchter und Geschäftspartner in aller Welt." Betroffen sei nicht nur die Digitalbranche sondern die deutsche Wirtschaft insgesamt. (dpa/fm)