Weil Schleswig-Holstein und die Datenschutzbeauftragten aus der europäischen Reihe tanzen, stehen deutsche Unternehmen vor der Wahl: Entweder keine Datenübertragungen mehr in die USA oder mühsam Einwilligungen einsammeln, die womöglich ohnehin unwirksam sind?

Gastbeitrag von Lokke Moerel, einer der renommiertesten europäischen IT-Rechtlerinnen, Anwältin bei Morrison & Foerster in Berlin und Professorin an der niederländischen Universität Tilburg.

 

 

                       

Das Landeszentrum für Datenschutz Schleswig-Holsteins und die Konferenz der Datenschutzbeauftragten des Bundes und der Länder tanzen bei der Zusammenarbeit mit ihren europäischen Kollegen aus der Reihe.

Anders als ihre europäischen Datenschutzkollegen haben Sie sich dazu entschlossen, Unternehmen nicht wenigstens bis 31. Januar 2016 Zeit zu lassen, um das Urteil des Europäischen Gerichtshofs umzusetzen. Vielmehr haben sie erklärt, dass auch die alternativen Methoden für einen rechtmäßigen Datentransfer in die USA unwirksam seien – und setzen sich damit von ihren Kollegen in Europa ab.

 

Keine große Wahl mehr

Die Folge: Deutsche Unternehmen stehen daher vor der Wahl, Datentransfers in die USA einzustellen, oder die betroffenen Personen um Zustimmungen im Einzelfall zu bitten – was indes für Arbeitnehmer als unwirksam angesehen wird.

 

Zur Erinnerung: Am 6. Oktober 2015 hat der Europäische Gerichtshof (EuGH) eine Klage gegen Facebook zugunsten des Klägers Max Schrems entschieden. Damit erklärte er alle Datenübertragungen in die Vereinigten Staaten im Rahmen des Safe-Harbor für ungültig. In einer gemeinsamen Erklärung gaben die europäischen Datenschutzbehörden den USA und der EU bis 30. Januar 2016 Zeit, um zu einem Konsens zu kommen. Darin sollen die Bedenken des EuGH zum ungehinderten Zugang der US-Regierung zu Daten europäischer Bürger berücksichtigt werden. Die europäischen Datenschutzbehörden kündigten konzertierte Durchsetzungsmaßnahmen an, falls keine Einigung erzielt werden sollte.

 

Die europäischen Datenschutzbehörden erkennen in der Zwischenzeit allerdings die alternativen Mechanismen für Datenübertragung in die USA an, die auch bisher zur Verfügung stehen: also insbesondere die Vereinbarung von Standardvertragsklauseln (SSC – Standard Contract Clauses) mit den Empfängern der Daten in den USA, sowie verbindliche Unternehmensrichtlinien, sogenannte Binding Corporate Rules (BCR), die sichere Datentransfers gewährleisten sollen.

 

Deutsche Datenschützer erklärten die Alternativen für ungültig

Die deutschen Datenschützer erklärten diese alternativen Transfermechanismen nun ebenfalls für ungültig. Man stelle vorerst keine neuen Genehmigungen für Datenübertragungen auf der Grundlage von BCR aus und halte Datenübertragungsvereinbarungen (SCC) ebenfalls für unzureichend.

 

Erste Warnungen an US-Firmen aus Rheinland-Pfalz

Die Folge: Deutsche Unternehmen haben nun keine Möglichkeit mehr, Daten auf rechtlich sicherer Basis in die USA zu übertragen.

Die deutschen Behörden scheinen vor allem Auswirkungen auf die amerikanische Cloud-Service-Dienstleister im Auge zu haben. Die Datenschutzbehörde in Rheinland-Pfalz hat, Meldungen zufolge, bereits begonnen, erste Warnschreiben an Unternehmen mit Sitz in den USA zu versenden.  Der Berliner Datenschutzbeauftragte Alexander Dix erklärte, dass sich europäische Cloud-Dienstleister nun besser positionieren könnten. Dies könnte zu mehr Arbeitsplätzen und Investitionen im Technologiebereich in Europa führen.

Fakt ist: Die derzeitige Praxis hat gravierende Auswirkungen auf die Geschäftstätigkeit deutscher multinationaler Konzerne mit kontinuierlichem Datenaustausch.

 

Die praktischen Folgen

Einige Bespiele: Deutsche Banken, die Niederlassungen in den USA haben, können ihren Verpflichtungen nicht mehr nachkommen und die notwendigen Kontrollen durchführen, um Betrug und Geldwäsche zu verhindern.

Oder: Deutsche Pharmafirmen mit US-Sparten können nicht mehr – wie gesetzlich gefordert – Nebenwirkungen von Arzneien und Fehlfunktionen medizinischer Geräte melden.

Deutsche multinationale Konzerne, die auch in den USA an der Börse sind, können das geforderte weltweite Meldesystem für Rechtsverstöße nicht mehr umsetzen, ihr Personal nicht mehr global verwalten und ihr Recruiting nicht mehr weltweit durchführen.

Deutsche Firmen können nicht auf globalen, internetbasierten E-Commerce-Plattformen agieren, die US-Firmen betreiben.

 

Früher laxer deutscher Datenschutz, plötzlich eine Kehrtwende

Die Haltung der deutschen Datenschutzbehörden ist eine Kehrtwende gegenüber der Vergangenheit. Denn bis jetzt hat es wenig oder gar keine Durchsetzungskraft im Datenschutz gegeben. Obwohl Deutschland auf dem Papier eines der strengsten Datenschutzgesetze weltweit hat, ist die praktische Umsetzung anders: Datenschutz wird in Deutschland oft als soft law und nicht als hard law betrachtet.

 

Bislang schützten gerade Betriebsräte die Daten

In der Praxis gewährleisten vor allem die Betriebsräte in Deutschland die Umsetzung des Datenschutzes. Setzt ein Unternehmen beispielsweise ein neues globales Personalverwaltungssystem ein, verlangt häufig der Betriebsrat, ein Datentransfer-Tool, wie etwa Binding Corporate Rules (BCR), zu nutzen. Inzwischen arbeiten 72 multinationale Konzerne auf der Grundlage solcher BCRs – 24 davon aus den USA und Großbritannien, wo das Datenschutzrecht oft als lax betrachtet wird. Nur sieben dieser Unternehmen stammen aus Deutschland.

Mein Vorschlag: Wie wäre es also, zunächst Unternehmen, die derzeit über gar keine Datentransferstandards verfügen, zur Durchsetzung der Datentransferregeln zu verpflichten?

Anstatt diejenigen Firmen abzustrafen, die ihre Verpflichtungen ernst nehmen und sich Mechanismen eines soliden Datenschutzes bedienen, wie beispielsweise der Binding Corporate Rules (BCR).