Pfadnavigation

Betriebe brauchen Rechtssicherheit beim Datentransfer

"Privacy Shield"-Nachfolgeabkommen rasch, aber gründlich verhandeln
Online-Konferenz

Sind meine Videokonferenzen datenschutzkonform? Das Privacy-Shield-Urteil führt viele Betriebe in eine rechtliche Grauzone

© AJ_Watt / E+ / Getty Images

Wie geht es für die Unternehmen weiter mit der Übermittlung personenbezogener Daten in die USA? Der Deutsche Industrie- und Handelskammertag (DIHK) rechnet nicht mit einem zeitnahen Abschluss der jetzt angelaufenen Gespräche und fordert angesichts der massiven Rechtsunsicherheit Hilfestellungen für die Vertragsgestaltung der Betriebe.

Das Thema transatlantischer Datenverkehr betrifft den Informationsaustausch über Cloud-Lösungen ebenso wie den Einsatz von Videokonferenz-Software, Newsletter-Tools oder Google-Diensten beziehungsweise die Nutzung von Social-Media-Plattformen wie etwa Youtube oder Facebook. Denn das Gros der entsprechenden Anbieter sitzt in den Vereinigten Staaten und unterliegt den dortigen Datenschutzvorschriften, die weniger streng sind als die der EU.

Um den europäischen Daten dennoch grundsätzlich ein ausreichendes Schutzniveau zu verschaffen, handelten die EU und die USA 2016 das "Privacy Shield" aus – eine Vereinbarung, die der Europäische Gerichtshof (EuGH) jedoch Mitte Juli 2020 kippte, weil sie den europäischen Anforderungen nicht genügte (siehe unten).

Verhandlungen für ein neues Abkommen laufen

Am 10. August starteten Brüssel und Washington nun Gespräche über eine Neuregelung der transatlantischen Übertragung persönlicher Daten. Der DIHK hofft auf möglichst zügige, aber auch gründliche Ergebnisse: "Die Unternehmen benötigen dringend eine rechtliche Basis, um Daten in die USA übermitteln zu können", mahnt DIHK-Chefjustiziar Stephan Wernicke. "Dafür muss wieder eine Vereinbarung zwischen der EU und den USA geschlossen werden, die jedoch länger halten muss als das Privacy Shield."

Die vom EuGH angeordnete Einzelfallprüfung ist nach Wernickes Einschätzung "realitätsfremd und bietet keinerlei Rechtssicherheit": Die Unternehmen müssen nun in jedem Fall der Datenübermittlung in die USA ermitteln, ob ihr Vertragspartner ein Datenschutzniveau bietet, das dem europäischen entspricht. "Dafür sind umfangreiche Recherchen – auch im US-Recht – notwendig, die kaum ein Unternehmen allein bewältigen kann", kritisiert der DIHK-Chefjustiziar.

Unternehmen oft auf US-Services angewiesen

Zudem werde eine solche Prüfung in vielen Fällen ergeben, dass das Niveau nicht gleichwertig sei. Wernicke: "Dann müsste das Unternehmen letztendlich seine Datenübermittlung einstellen – das bedeutet, bestimmte IT-Dienste nicht mehr nutzen zu können." Gerade in Corona-Zeiten seien aber viele Betriebe und Institutionen auf die IT-Dienstleistungen US-amerikanischer Anbieter angewiesen – etwa für Videokonferenzen oder virtuelle Workshops.

Die Europäische Union habe sich "in eine sehr schwierige Situation manövriert", stellt der DIHK-Chefjustiziar fest. "Der Anspruch, weltweit eigene Standards durchsetzen zu wollen, führt eben auch zu hohen Risiken für die EU selbst."

Für die EU und USA gelte es nun, den "schmalen Grat, den der Europäische Gerichtshof für einen neuen Angemessenheitsbeschluss noch zulässt, auszugestalten und dies zur Basis für eine neue Vereinbarung zu machen".

Klarstellung über Bußgelder unabdingbar

Das werde "überaus schwierig"; zudem sei zu befürchten, dass eine neue Vereinbarung nicht vor den US-Wahlen im November getroffen werde. "Da es der dritte Versuch eines Abkommens ist, sollte aber auch auf Qualität und nicht auf Schnelligkeit gesetzt werden", betont Wernicke. 

Ob es bis zu einer Neuregelung zu Bußgeldverfahren kommen werde, sei noch unklar. "Daher sind schnelle und belastbare Hinweise von der EU-Kommission sowie den zuständigen Datenschutzbeauftragten zur EU-datenschutzrechtskonformen Vertragsgestaltung in der Zwischenzeit unabdingbar."
 

Das Privacy Shield regelt den Schutz personenbezogener Daten, die aus einem EU-Mitgliedstaat in die USA übermittelt werden. Es löste 2016 die aus Sicht des EuGH ebenfalls datenschutzrechtlich unzureichende Vorgänger-Regelung "Safe Harbor" ab. Die Vereinbarung besteht im Wesentlichen aus einer Reihe von Zusicherungen der US-amerikanischen Bundesregierung und einer Erklärung der EU-Kommission, dass die Vorgaben dem Datenschutzniveau der Europäischen Union entsprächen ("Angemessenheitsbeschluss").

Nach Auffassung des EuGH genügt auch das Privacy Shield nicht als Grundlage für die Übermittlung personenbezogener Daten in die USA. Unter anderem wird kritisiert, dass die Vereinbarung die Behörden der Staaten, in die Daten übertragen werden, nicht binde und dass die Überwachungsprogramme der USA nicht auf das zwingend erforderliche Maß beschränkt seien.

Die Standardvertragsklauseln der EU-Kommission von 2010 hingegen bleiben nach der Entscheidung des EuGH gültig, weil die darin vorgesehenen Schutzmechanismen grundsätzlich erweiterbar sind. Sie müssen aber im Einzelfall um weitere Verabredungen ergänzt werden.

Insofern sei es Pflicht des Verantwortlichen und gegebenenfalls des Auftragsverarbeiters, beim Fehlen einer Angemessenheitsentscheidung der Kommission – je nach Situation im Drittland – eventuell über geschäftsbezogene Klauseln zusätzliche Garantien zu schaffen, so das Gericht. Verantwortliche müssten daher die jeweilige Situation im Drittland über eine Einzelfallprüfung evaluieren.

Kontakt

Porträtfoto Stephan Wernicke
Prof. Dr. Stephan Wernicke Bereichsleiter Recht

Kontakt

Junger Mann vor Gemälde im Haus der deutschen Wirtschaft
Dr. Christian Jekat Pressesprecher