Datenschützer beraten Vorgehen Wie geht es nach "Safe Harbor"-Urteil weiter?
Deutschlands Datenschützer haben sich auf das Vorgehen nach dem "Safe Harbor"-Urteil verständigt. Sie raten generell dazu, personenbezogene Daten in Europa zu speichern. Für viele Unternehmen könnte es ab Februar richtig ernst werden.
Welche Auswirkungen hat das aufsehenerregende "Safe Harbor"-Urteil für Unternehmen in Deutschland? Mit dieser Frage beschäftigen sich derzeit Hunderte Anwälte, Dutzende Politiker und nicht zuletzt die Datenschutzbeauftragten von Bund und Ländern. Denn letztlich sind sie es, die das "Safe Harbor"-Urteil umsetzen müssen.
In einer Sondersitzung der Datenschutzkonferenz formulierten sie in Frankfurt am Main eine erste gemeinsame Position. Die "Safe Harbor"-Erklärung ist demnach als Rechtsrahmen für die Übermittlung personenbezogener Daten in die USA nicht mehr zulässig. Bis Februar 2016 soll nach Recherchen von NDR Info nun geprüft werden, inwieweit auch andere Rechtsklauseln für Datentransfers von dem Urteilsspruch betroffen sind. Trotz dieser Frist sollten Unternehmen keine Zeit verlieren, sagt Hamburgs Datenschutzbeauftragter Johannes Caspar: "Ich rate allen betroffenen Unternehmen, künftig ihre Daten in Europa zu speichern."
Tausende Unternehmen betroffen
Der Europäische Gerichtshof hatte Anfang Oktober die Übertragung personenbezogener Daten von Europäern in die USA auf Grundlage der "Safe Harbor"-Absprachen für ungültig erklärt. Der EuGH begründete seine Entscheidung damit, dass in den USA kein ausreichendes Datenschutzniveau gegeben sei.
Geklagt hatte der österreichische Jurist Max Schrems. Er wollte nicht akzeptieren, dass Facebook seine persönlichen Daten in die USA überträgt, wo Nachrichtendienste darauf zugreifen könnten. Der EuGH hatte Schrems Recht gegeben und damit viele Unternehmen vor erhebliche Schwierigkeiten gestellt. Denn potenziell betrifft das Urteil nicht nur Großkonzerne wie Facebook, Dropbox oder Amazon sondern Tausende europäische Unternehmen die Datensätze in die USA liefern, beispielsweise wenn ihr Muttersitz in den USA liegt oder sie schlichtweg Speichermöglichkeiten in den USA nutzen.
Auch weitere Rechtsklauseln von Urteil betroffen?
Viele Unternehmen die ein entsprechendes Urteil bereits erwartet hatten, haben ihre Datentransfers allerdings rechtlich nicht nur auf Basis der "Safe Harbor"-Erklärung, sondern auch durch so genannte Standardvertragsklauseln abgesichert. In diesen Klauseln garantieren US-Unternehmen ihren europäischen Geschäftspartnern, dass sie keinen Gesetzen unterliegen, die sie dazu zwingen könnten, vertragsbrüchig zu werden.
Ein solcher Fall könnte etwa vorliegen, wenn amerikanische Ermittlungsbehörden ein Unternehmen dazu drängen, bestimmte Daten preiszugeben. Genau diese rechtliche Rückfall-Position, wackelt nun auch. Man prüfe derzeit, ob auch Standardvertragsklauseln und so genannte Binding Corporate Rules, mit denen multinationale Konzerne den Datenschutz für ihre Mitarbeiter regeln, nach dem "Safe Harbor"-Urteil generell hinfällig sind, erklärte der Vorsitzende der Datenschutzkonferenz, Michael Ronellenfitsch, gegenüber NDR Info. Bis Ende Januar 2016 soll über diesen Punkt Klarheit herrschen. Bis dahin wolle man gegen betroffene Firmen nicht gezielt vorgehen.
Unternehmen sollten nach Alternativen suchen
Dieses Moratorium hat allerdings eine Lücke: Sollten sich betroffene Kunden oder Mitarbeiter eines Unternehmens bei einer Datenschutzbehörde beschweren, müsste die dennoch aktiv werden und den individuellen Fall prüfen. Dem jeweiligen Unternehmen würde dann möglicherweise noch vor Februar 2016 eine Abmahnung drohen.
"Wir können nicht den Kopf in den Sand stecken. Wir müssen dieses Urteil umsetzen", sagt Datenschützer Caspar. In der Zwischenzeit bereiten sich zahlreiche Datenschutzbehörden auf die Zeit nach Februar 2016 vor und fragen bei Unternehmen ab, auf welcher rechtlichen Basis sie Daten in die USA schicken. Hessen und Hamburg machten hier bereits den Anfang, andere Bundesländer wollen nachziehen. Manche Behörden bieten auch Workshops an in denen sie über die neue Rechtslage informieren.
Länder sind uneins
Der jetzt gefundene Kompromiss stellt einen kleinsten gemeinsamen Nenner dar, mancher Datenschutzbeauftragte in Deutschland hätte das EuGH-Urteil lieber konsequenter und vor allem rascher umgesetzt. So machte das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) bereits in der vergangenen Woche in einem Positionspapier (PDF-Format) deutlich, dass Standardvertragsklauseln nach dem EuGH-Urteil nicht mehr zulässig seien.
Offenbar wird diese strenge Position aber nicht von allen Datenschutzbeauftragten geteilt. Auch weil in Ländern wie Bayern, Baden-Württemberg oder Nordrhein-Westfalen besonders viele Unternehmen beheimatet sind, die Daten in die USA transferieren, dürfte man dort über den gefundenen Kompromiss besonders glücklich sein. Schließlich verschafft er den betroffenen Firmen Zeit, sich nach Alternativen umzuschauen.
EU muss handeln
Deutschlands Datenschützer folgen mit ihren Beschlüssen im Wesentlichen der Einschätzung ihrer europäischen Kollegen. Auch die hatten erklärt, dass sie bis zum kommenden Februar prüfen wollen, inwiefern nicht nur "Safe Harbor", sondern auch andere Rechtsklauseln durch das EuGH-Urteil betroffen sind. Zudem forderten sie die EU-Kommission und die USA dazu auf, bis zu diesem Zeitpunkt auf das "Safe Harbor"-Urteil zu reagieren und eine angemessene rechtliche Lösung, beispielsweise durch ein verbessertes Austauschabkommen, vorzulegen. Sollte die bis dahin nicht vorliegen, werde man "alle notwendigen Maßnahmen ergreifen", heißt es in einer gemeinsamen Erklärung.