Datenübermittlung in die USA Was das Safe-Harbor-Urteil für Unternehmen bedeutet

Wer Kundeninformationen in die USA weiterleitet, kann sich künftig nicht mehr auf das "Safe Harbor"-Abkommen verlassen.

Wer Kundeninformationen in die USA weiterleitet, kann sich künftig nicht mehr auf das "Safe Harbor"-Abkommen verlassen.© picture alliance / Ulrich Baumgarten

Ein Urteil des Europäischen Gerichtshofs schiebt der einfachen Datenübermittlung in die USA einen Riegel vor. Das betrifft auch deutsche Unternehmen.

Was hat der Europäische Gerichtshof entschieden?

Die Daten europäischer Internet-Nutzer sind nach Ansicht des Europäischen Gerichtshofs in den USA nicht ausreichend vor dem Zugriff der Behörden geschützt. Angesichts der massiven Überwachung würden dort die Rechte der Europäer verletzt, folglich sei die Blanko-Erlaubnis zur einfachen Datenübermittlung in die USA („Safe Harbor“) ungültig, entschied das Gericht am Dienstag.

Wer hatte geklagt – und warum?

Ausgelöst hatte das Verfahren der österreichische Facebook-Kritiker Max Schrems. Er klagte gegen das weltgrößte Online-Netzwerk, weil seiner Ansicht nach seine Facebook-Daten in den USA nicht vor staatlicher Überwachung etwa durch die Geheimdienste geschützt sind.

Anzeige

Inwiefern hat das Urteil auch Auswirkungen auf deutsche Unternehmen?

Nach dem Urteil bleiben tausende Unternehmen in einem Zustand der Unsicherheit zurück. Sie fragen sich: Verstoßen sie ab sofort gegen das Gesetz, wenn sie Kundeninformationen auf Servern in den USA speichern, ohne dafür eine zusätzliche Absicherung, etwa eine Einwilligungserklärung der Betroffenen, zu haben? Können sie dafür belangt werden? Werden ihre Kunden jetzt scharenweise vor Gericht ziehen und einen Stopp der Datentransfers fordern?

Dürfen Unternehmen jetzt wirklich keine Daten mehr in die USA übermitteln?

„Der Transfer von personenbezogenen Daten von der Europäischen Union in die USA unter dem ‚Safe-Harbor‘-Regime ist ab sofort illegal“, erklärt Anwalt Stefan Schuppert von der Kanzlei Hogan Lovells. „Es sei denn, die zuständigen nationalen Datenschutzbehörden stimmen dem Datentransfer nach einer gründlichen Prüfung ausdrücklich zu oder der Datenaustausch fällt unter eine gesetzliche Ausnahme.“

Unternehmen bleiben aber noch verschiedene andere Wege für eine legale Datenübermittlung in die USA: Den Nutzern können zum Beispiel entsprechende Einwilligungserklärungen vorgelegt werden oder Unternehmen können auf EU-Standardvertragsklauseln zurückgreifen.

Was können Unternehmen tun, um rechtlich auf der sicheren Seite zu sein?

„Unternehmen sollten sich am besten erst einmal einen Überblick verschaffen, an welche IT-Dienstleister sie Daten übermitteln“, sagt Datenschutzexpertin Susanne Dehmel vom IT-Branchenverband Bitkom. Aus den Vertragsunterlagen gehe in der Regel hervor, wo sich die Server befinden und ob der Datentransfer dem Safe-Harbor-Abkommen unterliegt. Sei dies der Fall, könne man versuchen, den Vertrag zu ändern und auf EU-Standardvertragsklauseln zurückzugreifen.

Generell rät Datenschutzexpertin Dehmel Unternehmern aber, nicht in Panik zu geraten: „Das Gericht hat sich zur Rechtslage geäußert, aber nicht zur praktischen Umsetzung.“ Derzeit sprechen die für den Datenschutz zuständigen Aufsichtsbehörden der Länder noch darüber, wie das Urteil zu bewerten sei und mit welchen Fristen es Anwendung finden könne. Immerhin könnten in großen Unternehmen hunderte Verträge betroffen sein, und kleine Unternehmen müssten ohne Rechtsabteilung häufig erst einmal klären, wo sie relevante Vertragsdetails finden.

Dehmel empfiehlt verunsicherten Unternehmern, im Zweifel ihren zuständigen Landesdatenschutzbeauftragten zu befragen.

Warum trifft das Urteil kleine Unternehmen noch mehr als große Konzerne?

Insgesamt sind rund 5000 Unternehmen für eine Datenübermittlung nach „Safe Harbor“ registriert. Vor allem kleinere Unternehmen haben sich bislang darauf verlassen, dass die Datenübermittlung in die USA rechtlich in Ordnung ist. Ohne „Safe Harbor“ müssen sie nun selbst dafür sorgen, dass der Datenschutz eingehalten wird. Das kann zusätzliche Verträge und Aufwand für Anwälte bedeuten.

Für die Großen dürfte es keine Problem sein, eine rechtliche Basis zu schaffen, so nicht schon geschehen. Schwergewichte wie Microsoft oder Google mit ihren großen Rechtsabteilungen können leichter die nötigen Verträge zur Datenübermittlung ohne “Safe Harbor“ ausarbeiten. Das wiederum nutzt aber auch kleinen deutschen Unternehmen, wenn sie beispielsweise Programme wie Google Docs oder Office 365 nutzen, um Daten von Kunden und Mitarbeitern zu speichern – denn auch die könnten betroffen sein.

Ausgerechnet Facebook, das Online-Netzwerk, um das der ganze Streit entbrannte, sieht sich auf der sicheren Seite, weil man Verträge für die Übermittlung der Daten der Tochterfirma in Irland habe.

Wie kam es überhaupt zu dem Urteil?

Die Safe-Harbor-Entscheidung der EU-Kommission im Jahr 2000 beruhte auf der Annahme, dass die USA ein angemessenes Schutzniveau von übermittelten personenbezogenen Daten gewährleisten. Nach den Enthüllungen des Informanten Edward Snowden zur Internet-Überwachung sehen die Europäer das inzwischen anders.

Schon seit rund zwei Jahren wurde über eine Neuauflage von „Safe Harbor“ verhandelt. Es soll bereits Zusicherungen geben, dass nicht alle Daten von Europäern anhaltslos für Behörden offenstehen und dass die Nutzer auch ihre Rechte in den USA geltend machen könnten. Doch die Gespräche zogen sich hin – jetzt schafft der EuGH massiven Zeitdruck.

„Das Urteil hat eine politische Komponente und soll die Diskussion über ‚Safe Harbor‘ anheizen“, sagt Anwalt Tobias Neufeld von der Kanzlei Allen & Overy. „Ein Stück weit wird dieses politische Tauziehen jetzt auf dem Rücken der Unternehmen ausgetragen.“

impulse-Akademie: Strategie & Inspiration für Ihr Unternehmen
Hinterlassen Sie einen Kommentar

(Kommentare werden von der Redaktion montags bis freitags von 10 bis 18 Uhr freigeschaltet)

Bitte beantworten Sie die Sicherheitsabfrage (Anti-Spam-Schutz): * Time limit is exhausted. Please reload CAPTCHA.