Stichwortsuche

Leben

Datentransfer in die USA derzeit heikel

Privacy Shield gekippt

Unsichere Zeiten für Unternehmen: Der Europäische Gerichtshof hat den Privacy Shield gekippt. Ohne dieses transatlantische Datenschutzabkommen fehlt die Rechtsgrundlage für den Datentransfer in die USA. Was können Betriebe tun?

Alltag im Büro einer Kölner Marketingagentur: Ein Mitarbeiter verschickt für einen Kunden einen Newsletter. Die E-Mail-Adressen der Abonnenten sind auf den Servern von Mailchimp gespeichert – ein US-amerikanischer Anbieter von Newsletter-Management-Software in der Cloud. Und die Server stehen in den USA. Bislang in puncto Datenschutz kein Problem, denn es gab seit 2016 den sogenannten Privacy Shield – ein transatlantisches Datenschutzabkommen, das die Europäische Union und die USA ausgehandelt hatten. Für ein zertifiziertes Unternehmen wie Mailchimp besagte das Abkommen: Das Datenschutzniveau der Firma entspricht den Vorgaben der EU-Datenschutzgrundverordnung (DSGVO). Die Kölner Marketingagentur war also auf der sicheren Seite und musste beim Transfer personenbezogener Daten in die USA keine Geldbußen wegen Verstoßes gegen die DSGVO befürchten. Doch mittlerweile sind die Karten neu gemischt.

„Gefahr des Zugriffs durch US-Behörden nicht auszuschließen“

Für Unternehmen in Deutschland sind unsichere Zeiten angebrochen. Denn am 16. Juli 2020 hat der Europäische Gerichtshof (EuGH) den Privacy Shield gekippt. Warum? Die Richter in Luxemburg sehen den Datenschutz nicht gewährleistet, weil US-Geheimdienste auf Daten von EU-Bürgern zugreifen können. Und tatsächlich: Unternehmen in den USA müssen personenbezogene Daten auf behördliche oder richterliche Anweisung herausgeben – sofern sie Gegenstand strafrechtlicher Ermittlungen sind. Dazu verpflichtet sie der sogenannte USA Patriot Act – ein Bundesgesetz, das der Kongress nach den Anschlägen am 11. September verabschiedet hat, im Zuge des Krieges gegen den Terrorismus. „Firmen müssen Daten sogar dann preisgeben, wenn ihre Server in Europa stehen. Das regelt seit März 2018 das Gesetz Cloud Act“, erklärt der Kölner Rechtsanwalt Christian Solmecke, spezialisiert auf Internet- und Medienrecht. „Wenn europäische personenbezogene Daten also an US-amerikanische Unternehmen fließen, ist die Gefahr des Zugriffs durch US-Behörden nicht auszuschließen.“

Standarddatenschutzklauseln als Alternative sind umstritten

Nicht nur Mailchimp ist vom gekippten Privacy Shield betroffen. Das EuGH-Urteil betrifft auch Dienste wie Dropbox, Microsoft OneDrive oder die Cloudspeicher von Amazon Web Services (AWS), mit denen Unternehmen in Deutschland Unterlagen austauschen. Ebenso Dienste wie Google Analytics, mit denen Betriebe analysieren, wer ihre Website wie lange besucht. „Diesen Betrieben fehlt die sichere Rechtsgrundlage für einen transatlantischen Datenaustausch – sofern sie sich bisher lediglich auf die Privacy-Shield-Zertifizierung stützten“, sagt Birgit Wirtz, IHK-Referentin und Leiterin Gewerbe- und Wettbewerbsrecht. „Es ist nicht hinzunehmen, dass Unternehmen hier ein kaum mehr beherrschbares Risiko tragen sollen. Die EU-Kommission und die zuständigen Datenschutzbeauftragten müssen dieses rechtliche Vakuum schnellstmöglich füllen. Denn unsere Unternehmen brauchen dringend Rechtssicherheit im globalen Datenverkehr.“

Zwar gibt es eine Hintertür, die mittlerweile auch Google nutzt: die sogenannten Standarddatenschutzklauseln (früher Standardvertragsklauseln) für den DSGVO-konformen Datentransfer zwischen EU-Ländern und Drittstaaten. Doch auch hier haben die EuGH-Richter betont: Datenschutzbehörden sollen die Datenübermittlung verbieten, sollten sie zu dem Schluss kommen, dass das Empfängerland die Klauseln nicht einhalten kann. Und laut Kritikern haben die Datenschutzklauseln keinen Einfluss auf Zugriffsmöglichkeiten der US-Behörden. „Sich auf Standarddatenschutzklauseln zu berufen, ist aufgrund der in den USA geltenden Regelungen des Cloud-Acts und des Patriot Acts heikel“, unterstreicht Solmecke. Doch was können Unternehmen in Deutschland dann noch tun?

„Unternehmen kommen an rechtlicher Beratung derzeit kaum vorbei“

Zunächst heißt es Ruhe bewahren. Die Änderungen durch das Urteil betreffen ausschließlich den Transfer personenbezogener Daten. Deswegen sollten Unternehmen im ersten Schritt identifizieren, mit welchen US-Dienstleistern sie überhaupt diese Datenart austauschen. Als Nächstes sollten Betriebe prüfen, ob der Dienstleister Privacy-Shield-zertifiziert war. Falls ja, müssen die Betriebe eine neue Rechtsgrundlage wählen. In Frage kommen hier – gerade für Konzerne – neben den Standarddatenschutzklauseln auch sogenannte Binding Corporate Rules (BCR), bei denen der Datentransfer bindenden Unternehmensrichtlinien folgt. Doch auch diese BCR gilt es zu prüfen. „Ein Datenschutzverstoß kann für Unternehmen teuer werden. Dies gilt es dringend zu vermeiden“, sagt Solmecke. „Da die Folgen des Urteils selbst für Datenschutzexperten eine Menge Rechtsfragen aufwerfen, kommen Unternehmen an einer rechtlichen Beratung derzeit kaum vorbei. Insbesondere Konzerne, die Daten in die USA übermitteln, sollten sich dringend beraten lassen, ob und wie dies aktuell überhaupt noch rechtmäßig möglich ist. Sie sollten auch die Möglichkeit erörtern, ihre Daten im europäischen Inland zu belassen.“


Kölner Rechtsanwalt Christion Solmecke erklärt im Interview, was das Datenschutz-Urteil für Unternehmen in Deutschland bedeutet.

Herr Solmecke, der Privacy Shield regelt nicht länger den Datentransfer in die USA. Was bedeutet das für Unternehmen in Deutschland?
Das Urteil hat enorme Tragweite für hiesige Unternehmen. Viele Firmen in Deutschland nutzen Services US-amerikanischer Dienstleister, etwa Cloudspeicher von Amazon Web Services. Oder sie schalten Werbeanzeigen bei Google und Facebook. Dafür gelangen auch personenbezogene Daten auf Server in den USA. Bislang garantierte eine Zertifi zierung nach dem transatlantischen Datenschutzabkommen EU-U.S.-Privacy Shield: Das Datenschutzniveau dieser Unternehmen entspricht den Vorgaben der EU-Datenschutzgrundverordnung (DSGVO). Doch dieses Abkommen hat der Europäische Gerichtshof am 16. Juli 2020 gekippt. Datenschutz sei nicht gewährleistet, so die Richter. Um einen teuren Datenschutzverstoß zu vermeiden, müssen Unternehmen in Deutschland deshalb für ihre Datenübermittlung in die USA eine andere Rechtsgrundlage wählen.

Christian Solmecke über die Auswirkungen des Verlustes des Privacy Shield Abkommens.
Foto: Tim Hufnagl

Halten Sie es für wahrscheinlich, dass in den USA mit Daten europäischer Bürger Schindluder getrieben wird?
Unternehmen in den USA müssen gespeicherte Daten, die Gegenstand strafrechtlicher Ermittlungen sind, auf behördliche oder richterliche Anweisung herausgeben. Dazu verpflichtet sie der sogenannte USA Patriot Act – ein Bundesgesetz, das der Kongress nach den Anschlägen am 11. September im Zuge des Krieges gegen den Terrorismus verabschiedet hat. Firmen müssen Daten sogar dann herausgeben, wenn ihre Server in Europa stehen. Das regelt seit März 2018 ein Gesetz namens Cloud Act. Wenn europäische personenbezogene Daten also an US-amerikanische Unternehmen fl ießen, ist die Gefahr des Zugriff s durch US-Behörden nicht auszuschließen.

Was müssen Unternehmen jetzt tun? Wie können sie sich für die Zukunft sicher aufstellen?
Zwar gibt es die Möglichkeit, sich beim Datentransfer auf sogenannte Standarddatenschutzklauseln zu berufen. Doch das ist aufgrund der in den USA geltenden strengeren Regelungen des Cloud Act und des Patriot Act heikel. Und da die Folgen des Urteils selbst für Datenschutzexperten eine Menge Rechtsfragen aufwerfen, kommen Unternehmen, insbesondere Konzerne, an einer rechtlichen Beratung derzeit kaum vorbei. Zudem sollten Firmen zeitnah die Möglichkeiten erörtern, ihre Daten im europäischen Inland zu belassen.


Das Interview führte Patrick Schröder

WEITERE THEMEN