Der amerikanische Datenschutz reicht nach europäischen Massstäben einfach nicht aus, verkündete der Europäische Gerichtshof (EUGH) und bringt damit viele Unternehmen unter Zugzwang. Ihr Datenverkehr ist rechtswidrig. Wegen dieses Urteils, das der Datenschutzaktivist Max Schrems erstritten hat, können viele Unternehmen ab sofort nicht mehr ihre personenbezogene Daten an amerikanischen Schwester-, Tochter- oder Muttergesellschaften oder Geschäftspartner übermitteln. Denn praktisch alle nutzen dafür amerikanische, israelische oder chinesische Cloud Services. Gastbeitrag von Datenschutzanwalt Jens Schefzig von Osborne Clarke in Hamburg.

 

Jens Schefzig  (Foto: PR/Osborne Clarke)

 

 

Das Datenschutzniveau der USA ist zu niedrig

Der EuGH hat jetzt zwei wesentliche Punkte zum sogenannten Privacy-Shield-Abkommen entschieden. Erstens ist diese informelle Datenschutz-Absprache, die von 2015 bis 2016 zwischen der Europäischen Union und den USA ausgehandelt wurde, unwirksam. Denn die USA gewährleisten kein angemessenes Datenschutzniveau, so die Richter in ihrem Urteil.

Und zweitens ist eine Datenübertragung auf Grundlage der Standardvertragsklauseln nur dann wirksam, wenn der Datenempfänger deren Einhaltung und damit ein angemessenes Datenschutzniveau im jeweiligen Land tatsächlich sicherstellen kann. Genau das glaubt der EuGH von den USA wohl nicht.

 

Datentransfer stoppen, um kein Bußgeld oder Untersagungen zu riskieren

Das Urteil hat massive Auswirkungen auf Datenübertragungen der Unternehmen. Ihnen blühen schlimmstenfalls Bußgelder und Untersagungsverfügungen. Denn alle ihre Datenübertragungen sind ab sofort rechtswidrig, bei denen der Datentransfer auf Grundlage des Privacy Shields gerechtfertigt wird.

Unternehmenslenker müssen sie deshalb sofort stoppen und auf andere Rechtsgrundlagen umstellen. Melde- und Entscheidungswege in Unternehmen funktionieren nun plötzlich vielleicht nicht mehr. Wer betroffen ist? Zum Beispiel alle, die amerikanische Cloud-Services nutzen. Jedes Unternehmen muss nun die Verträge zu der Dienstälteste e für Personalverwaltung wie Workday, Salesforce & Co. genau checken, ob sie die Datenübertragung hinreichend absichern. Nach meiner Erfahrung stützen Unternehmen rund 90 Prozent ihrer Datentransfers in die USA entweder auf das Privacy Shield oder die Standarddatenschutzklauseln. In beiden Fällen muss das Top-Management handeln.

 

Die Datenschutzbehörde von Rheinland-Pfalz jedenfalls hat schon angekündigt, dass sie keine Übergangsfrist einräumen will und dass die Unternehmen prüfen müssen, ob ihre verschickten personenbezogenen Daten vor Ort ausreichend geschützt werden.

 

Die langwierige Lösung: Binding Corporate Rules

Alle Datenübertragungen, bei denen das zugrunde liegende Vertragswerk die Standardvertragsklauseln enthält, müssen gecheckt werden: Kann der Empfänger die Verpflichtungen nach dem Vertrag tatsächlich erfüllen? Gerade bei konzerninternen Datentransfers haben sich internationale Konzerne bislang auf diese Verträge verlassen: Auch etliche Anbieter internationaler Clouddienste machen diese Standardvertragsklauseln zu einem Teil ihrer Verträge. Diese Datentransfers sind womöglich rechtswidrig.

Eine Lösung können sogenannte Binding Corporate Rules sein, doch das ist langwierig. Das sind verbindliche Vertragswerke, die sich Dienstleister aber auch Konzerne geben können, die die Einhaltung gewisser Datenschutzstandards sicherstellen. Die Datenschutzbehörden müssen diese Richtlinien genehmigen. Die Einführung derartiger Binding Corporate Rules ist ein echtes Projekt und dauert schon im Rahmen der bloßen Genehmigung der Behörden erfahrungsgemäß mindestens ein halbes Jahr.

 

Unternehmensprozessen umgestalten

Im Ergebnis stecken viele Unternehmen plötzlich in einem großen Dilemma. Viele Unternehmensprozesse dürften von internationalen Datentransfers abhängen, diese sind aber nun oft unzulässig. Hunderte Binding-Corporate-Rules-Projekte dürften nun hektisch gestartet werden. Bislang waren es in Deutschland wohl allenfalls wenige Dutzend. Nur wenige Berater und wenige Datenschutzbehörden haben echte Erfahrungen mit dem Thema.

Unternehmen sind faktisch gezwungen, nur absolut notwendige Prozesse auf internationale Datentransfers zu stützen. Außerdem kommt viel Arbeit auf die Juristen zu. Beim Beauftragen von Dienstleistern wird deren Standort nun zu einem sehr wichtigen Kriterium.

 

Wie das EuGH-Verfahren ins Rollen kam

Geklagt hat der Datenschutzaktivist Max Schrems, der sich seit Jahren dagegen wehrt, dass Facebook Irland die Daten seiner Nutzer zu Facebook USA überträgt. Juristisch gesehen handelt es sich dabei um eine Übertragung personenbezogener Daten in ein Drittland, also ein Land außerhalb der EU. Die Datenschutz-Grundverordnung (DSGVO) erlaubt solche Datenübertragungen nur, wenn am Zielort ein angemessenes Datenschutzniveau sichergestellt ist.

Dafür kommen bei Datentransfers in die USA im Wesentlichen zwei Mechanismen in Frage: Eine Zertifizierung nach dem sogenannten Privacy Shield – dem bilateralen Abkommen zwischen der EU und den USA – des amerikanischen Unternehmens oder der Abschluss sogenannter Standardvertragsklauseln zwischen dem europäischen und dem amerikanischen Unternehmen. Wenn keine von beiden Maßnahmen greift, ist die Datenübertragung rechtswidrig.

Die Datenschutzbehörden dürfen die Datenübertragung untersagen und Unternehmen drohen happige Bußgelder bis zu 20 Millionen Euro oder  – falls höher –  vier Prozent ihres weltweiten Jahresumsatzes im Vorjahr. Facebook USA ist nach dem Privacy Shield zertifiziert. Facebook hat aber zwischen den Konzerngesellschaften auch einen Vertrag zur Datenübertragung nach den Standardvertragsklauseln abgeschlossen.

 

Lese-Tipp: „WirtschaftsWoche“-Redakteurin Silke  Wettach in Brüssel darüber, wie es zu dem EuGH-Urtel kam

https://www.wiwo.de/my/politik/europa/eugh-datenschutz-urteil-der-mann-der-facebook-das-fuerchten-lehrt/26010516.html?Echobox=1594903538&social=linkedin&ticket=ST-6293257-9Qqdiame23dGEufclGXa-ap4#utm_medium=Social&utm_source=LinkedIn