© Herbert Hirschler

EuGH-Urteil
10/21/2015

Nach Safe Harbor-Aus: "Nicht die Augen zu machen"

Der Rechtsinformatiker Nikolaus Forgó sieht in den unterschiedlichen Interpretationen des EuGH-Urteils zum Datentransfer in die USA für kleine Unternehmen ein großes Problem.

von Barbara Wimmer

Von „es ändert sich in der Praxis nicht viel“ bis hin zu „für alle gespeicherten, personenbezogenen Daten müssen die Einwilligungen der Empfänger vorliegen und dürfen jederzeit von diesen widerrufen werden“ lauten die Einschätzungen der Datenschutzbehörden nach dem Aus für Safe Harbor durch den EuGH vor knapp zwei Wochen.

Während EU-Firmen von jeher den Auflagen der nationalen europäischen Datenschutzgesetze unterworfen waren, genügte für US-Unternehmen, die eine Safe Harbor-Zertifizierung hatten, bisher eine bloße Erklärung, personenbezogene Daten aus Europa in den USA "adäquat" zu schützen. Das ist seit knapp zwei Wochen nicht mehr so.

Nur mit Einwilligung

Doch die Datenschutzbehörden und –institutionen haben hier teilweise sehr unterschiedliche Auffassungen, wie das Urteil des EuGH zu interpretieren ist. Margit Hansen, die oberste Datenschützerin von Schleswig-Holstein, ist etwa der Ansicht, dass eine Datenübermittlung in ein Drittland ohne angemessenes Datenschutzniveau nur auf Basis einer Einwilligung des Betroffenen möglich sei und dass diese Einwilligung „ohne jeden Zweifel“ gegeben sein muss.

Die österreichische Datenschutzbehörde hingegen akzeptiert „zahlreiche andere Alternativen“, wie etwa dass die Übermittlung oder Überlassung der Daten in einer Standardverordnung oder Musterverordnung. Eine rechtliche Beratung der Behörde im Einzelfall sei allerdings nicht möglich, sondern betroffene Unternehmen sollen stattdessen ihren Rechtsbeistand kontaktieren, heißt es auf der FAQ-Seite der Datenschutzbehörde.

Keine Klauseln mehr

Der Datenschutzaktivist Max Schrems, der den Fall vor dem EuGH ins Rollen gebracht hat, vertritt in seiner eigenen Interpretation die Ansicht, dass Standardvertragsklauseln als Alternative für US-Clouddienste ausscheiden, wenn man davon ausgehen kann, dass diese von US-Massenüberwachung betroffen sind.

„Während Unternehmen wie Facebook genügend Macht und Geld habe, ist es für kleinere und mittlere Unternehmen oft eine Herausforderung, damit umzugehen“, sagt der österreichische Rechtswissenschaftler Nikolaus Forgó, der das Institut für Rechtsinformatik an der Leibniz Universität Hannover leitet. Forgó: „Es ist außerdem ein großes Problem, dass es innerhalb Europas vonseiten der Aufsichtsbehörden so viele unterschiedliche Interpretationen gibt.“ Eine bessere Absprache sei ebenso schwierig wie mehr Jurdikatur, so Forgó.

Zeit bis Ende Jänner

Die europäischen Datenschützer, die in der Artikel-29-Gruppe zusammengeschlossen sind, fordern vonseiten der EU-Kommission nun, die Verhandlungen mit den USA für eine „angemessene Lösung“ bis Ende Jänner 2016 abzuschließen. Sollte bis dahin keine solche Lösung mit den US-Behörden gefunden werden und die Arbeitsgruppe zu der Ansicht kommen, dass die bisherigen Transfertools nicht mehr erlaubt seien, würden "alle notwendigen und angemessenen Maßnahmen ergriffen". Bis dahin werde die Artikel-29-Gruppe weitere Analysen durchführen und etwa genau untersuchen, ob die Standardvertragsklauseln als Basis für den Datentransfer in die USA ausreichen.

Um zu einer „angemessenen Lösung“ zu kommen, müsste sich allerdings auch in den USA einiges ändern. So müssten etwa Europäer mehr Möglichkeiten zur Rechtsdurchsetzung bekommen. Forgó gibt sich hier wenig optimistisch: „Die Frage der nationalen Sicherheit ist in den USA ein Wert, der nicht zur Diskussion steht. Ich halte die Chance, dass sich etwas ändert, für unwahrscheinlich.“

"Nicht die Augen zumachen"

Kleineren, mittleren Unternehmen rät Forgó, dass sie sich mit dem EuGH-Urteil auf jeden Fall beschäftigen sollen. „Sie dürfen nicht die Augen zu machen, sondern müssen sich beraten lassen“, so Forgó, der auch der Meinung ist, dass das Urteil einen Vorsprung für europäische Cloud-Unternehmen mit sich bringen könnte. „Ich sehe hier durchaus Chancen für europäische Unternehmen, und dass die Datenverarbeitung in Europa durchgeführt wird. Wäre ich ein Kunde und würde mir gerade überlegen, eine Cloud-Lösung zu installieren, würde ich mir die europäischen Unternehmen jetzt genauer ansehen.“

Das EuGH-Urteil führt in Irland nun unterdessen zu ersten Konsequenzen: Die irische Datenschutzbehörde muss nun aktiv werden und untersuchen ob das Schutzniveau bei der Datenübertragung der personenbezogenen Daten von Facebook-Nutzern in die USA angemessen sei.