Unklare Zeiten: Schonfrist für Safe Harbor läuft aus

Die Uhr tickt. Bereits am Montag könnten zahlreiche Unternehmen aus Sicht von Datenschützern in Deutschland gegen geltendes Recht verstoßen. Denn am 1. Februar läuft das Memorandum der EU-Datenschützer aus, das seit dem Fall des Safe-Harbor-Abkommens im Oktober den Datenaustausch mit den USA übergangsweise auf Basis der alten Regeln toleriert hat. Trotz entsprechender Planung und Versprechen ist ein neues verbindliches Regelwerk vorerst nicht in Sicht. Das Institut der deutschen Wirtschaft (IW) in Köln sieht nun europaweit tausende Unternehmen von dem nun entstehenden rechtlichen Vakuum betroffen.

Exempel statuieren

Datenschützer wollen nun Fakten schaffen und Exempel statuieren, wenn Daten ohne eine gültige rechtliche Grundlage in die USA transferiert werden. Branchenvertreter sehen dagegen die Handlungsfähigkeit vieler Unternehmen in Gefahr. „Die europäischen Datenschutzbehörden müssen nun den Druck auf die Verhandlungen erhöhen und entschlossen gegen rechtswidrige transatlantische Datentransfers vorgehen“, forderte Alexander Sander, Geschäftsführer des Vereins Digitale Gesellschaft am Freitag. Nur auf diese Weise werde sich in den Verhandlungen die Einsicht durchsetzen, dass Reformen der geheimdienstlichen Befugnisse unausweichlich seien. Seit der Entscheidung des EuGH sei klar, dass das vordergründigste Problem in den nahezu unbeschränkten gesetzlichen Zugriffsbefugnissen der US-Geheimdienste liege.

Auch die europäische Verbraucherorganisation BEUC fordert die nationalen Datenschützer auf, Verstöße gegen EU-Datenschutzrecht konsequent zu verfolgen. „Wenn unsere persönlichen Daten aus den EU herausfließen, dann sollte dies nur entsprechend dem geltenden EU-Recht garantierten Schutz geschehen“, sagte Monique Goyens, Generaldirektorin des BEUC. Unabhängig davon, ob es ab der kommenden Woche eine neue Regelung geben werde, müssten die europäischen Datenschutzbehörde sicherstellen, dass Unternehmen geltendes EU-Recht befolgten.

Nach Schrems-Klage gekippt

Seit dem Jahr 2000 hatte das Safe-Harbor-Abkommen Unternehmen in Europa ermöglicht, personenbezogene Daten gemäß europäischer Datenschutzbestimmungen mit den USA auszutauschen. Die USA wurden dabei als „sicherer Hafen“ eingestuft. Überraschend wurde das Abkommen im Oktober nach einer Klage des Datenschutzaktivisten Max Schrems vom Europäischen Gerichtshof ohne Übergangsregelung gekippt und für ungültig erklärt. In den USA seien Datensammlungen von EU-Bürgern in großem Umfang möglich, ohne dass diese ausreichend geschützt seien, urteilte das Gericht.

Die eigentlichen Opfer seien nun europaweit rund 4000 Unternehmen, ist das IW überzeugt. Sie müssten von der kommenden Woche an in einem rechtlichen „Limbo“ operieren. Die europäischen Datenschutzbehörden müssten sich rasch auf eine gemeinsame Position verständigen. Dabei sollten zumindest übergangsweise die Standardvertragsklauseln und verbindliche Unternehmensregelungen als Alternative gelten.

Klauseln dürften nicht reichen

Vor allem Technologie-Unternehmen wie Microsoft, Apple oder Amazon, aber auch viele international operierende Firmen sind auf einen Datenaustausch mit den Muttergesellschaften oder Niederlassungen in den USA essenziell angewiesen. Ob sogenannte Standardvertragsklauseln oder verbindliche Unternehmensregelungen (BCR), mit denen sich viele Unternehmen in der Zwischenzeit beholfen haben, tatsächlich über das Ende des Memorandums hinaus wirksame Alternativen sind, bezweifeln allerdings die Datenschutzbeauftragten.

Der Digitalverband Bitkom geht deshalb davon aus, dass die alternativen Regelungen vorerst keine Rechtssicherheit für Unternehmen gewährleisten. Denn die Auswirkungen des Safe-Harbor-Urteils auf die Regelwerke stünden derzeit noch auf dem Prüfstand der EU-Datenschutzbehörden. Aus Sicht des Bitkom seien beide Regelwerke jedoch eine „wirksame Grundlage, um den Datenschutz von Bürgern in den USA zu gewährleisten“. Dabei sei sichergestellt, dass EU-Datenschutzbehörden Verträge prüfen und Verstöße ahnden könnten. Betroffene hätten zudem die Möglichkeit, in Europa vor Gericht zu ziehen.

"Keine Dateninsel"

Eine Übermittlung personenbezogener Daten in die USA müsse aber in jedem Fall möglich bleiben, fordert der Bitkom. „Europa darf keine Dateninsel werden“, sagte Susanne Dehmel, beim Bitkom für Datenschutz und Sicherheit zuständig. „Deutsche Unternehmen sind international tätig und haben Töchter und Geschäftspartner in aller Welt.“ Betroffen sei nicht nur die Digitalbranche sondern die deutsche Wirtschaft insgesamt.