DIHK fordert Rechtssicherheit im Datenaustausch mit Drittstaaten

Das Problem: Seit der Europäische Gerichtshof (EuGH) Mitte 2020 mit seinem nach dem Kläger Maximilian Schrems benannten "Schrems II"-Urteil das bis dahin gültige Datenabkommen "Privacy Shield" für nichtig erklärt hat, fehlt den Unternehmen eine einfache und praktikable Rechtsgrundlage für den Transfer personenbezogener Daten in Drittstaaten, insbesondere in die USA. Und eine solche Datenübertragung ist derzeit noch zwingender Bestandteil unzähliger Kommunikations- oder Cloud-Lösungen sowie weiterer Anwendungen.

Bislang setzten die Betriebe auf sogenannte Standardvertragsklauseln, die die EU-Kommission ihnen für die Übermittlung personenbezogener Daten an Drittländer zur Verfügung gestellt hat. Die DPC hat diese Klauseln jedoch mit ihrer Entscheidung gegen die Facebook-Mutter Meta für weitgehend unwirksam erklärt.

Deutsche Wirtschaft immer noch massiv beeinträchtigt

"Der rechtssichere Austausch von personenbezogenen Daten auch zwischen verschiedenen Rechtsräumen ist eine unerlässliche Grundlage für eine erfolgreiche digitale Transformation", stellte Stephan Wernicke, Chefjustiziar der Deutschen Industrie- und Handelskammer (DIHK), auf Medienanfrage klar.  

Bei der internationalen Datenübermittlung an Empfänger in Staaten außerhalb der EU, insbesondere in die USA, sei auch durch den EuGH Rechtsunsicherheit im Datenschutz geschaffen worden – mit "immer noch massiven negativen Auswirkungen für die deutsche Wirtschaft". Die USA und die EU bräuchten "ein rechtssicheres Abkommen, um den Fortbestand von Datenflüssen zwischen der EU und den USA langfristig zu gewährleisten", forderte Wernicke.

Der Konflikt betreffe nicht nur in den Vereinigten Staaten beheimatete Unternehmen, sondern auch deutsche Betriebe aller Größen. Diese könnten ihn jedoch nicht lösen, da es sich bei der Auslegung der DSGVO durch den EuGH im Ergebnis "um eine extraterritorial wirkende datenschutzrechtliche Entscheidung der EU gegenüber dem Recht eines Drittstaates handelt, auf das Unternehmen keinen unmittelbaren Einfluss haben". Die aktuellen Entscheidungen gefährdeten auch Lösungen über Standardvertragsklauseln, kritisierte Wernicke.

Betriebe brauchen kein "Privacy Shield 3.0"

Aus Sicht der Unternehmen bedürfe es keines "Privacy Shield 3.0". Vielmehr müsse das Problem dort angegangen werden, wo es verwurzelt sei: "in den momentan noch innerhalb der EU selbst und auch in den deutschen Bundesländern unterschiedlichen, teilweise vollkommen widersprüchlichen Maßstäben und Auslegungen der Datenschutz-Grundverordnung (DSGVO) – auch in Bezug auf staatliche Zugriffsbefugnisse".

Dieser Streit dürfe nicht weiter auf dem Rücken der Unternehmen in Europa ausgetragen werden, mahnte der DIHK-Chefjustiziar. "Daher sind verstärkte Anstrengungen sowohl der Bundesregierung als auch der Europäischen Kommission überfällig, um schnell Rechtssicherheit für Unternehmen sowie eine langfristige rechtssichere Lösung herbeizuführen."

Einbrüche im internationalen Datenverkehr pragmatisch verhindern

In der Zwischenzeit gelte es, pragmatische Lösungen zu finden – auch im Hinblick auf den Datentransfer in weitere Drittstaaten. "Denn selbst wenn der internationale Datenverkehr nur vorübergehend einbricht, verursacht dies erhebliche Umstellungskosten und kaum aufzuholende Rückschritte für die europäische Wirtschaft", warnte Wernicke. "Die EU-Kommission und die Datenschutzaufsichtsbehörden sollten hierfür zeitnah einheitliche Informationen zum Datenschutzniveau in Drittstaaten herausgeben, damit nicht jede Behörde und jedes Unternehmen dies selbst ermitteln muss."

Als "Geburtsfehler" der DSGVO bewertete er die uneinheitliche Umsetzung durch die Aufsichtsbehörden, die sich gegenwärtig sogar vor dem EuGH verklagten: "ein trauriges, aber bezeichnendes Bild". Die Evaluierung der DSGVO solle "zum Anlass genommen werden, um die dringend notwendige Vereinheitlichung und Handhabbarkeit zu erreichen", so Wernicke.