Netzpolitik
18.10.2015

Safe Harbor: Firmen unter Abkommen brauchen Genehmigung

Zeger: Bei der Datenschutzbehörde sei unverzüglich ein Antrag zu stellen. Die Zahl von bis zu 4.000 betroffenen Unternehmen in Österreich ist realistisch.

Heimische Unternehmen, die sich bei ihren Datentransfers in die USA auf das Anfang Oktober vom Europäischen Gerichtshof (EuGH) gekippte Safe-Harbor-Abkommen zwischen EU und Vereinigten Staaten gestützt haben, müssen bei der österreichischen Datenschutzbehörde „unverzüglich einen Antrag auf Genehmigung des Datenverkehrs stellen“. Darauf verwies am Samstag Hans Zeger von der ARGE Daten im ORF-Radio.

Dieser Antrag werde genehmigt, wenn man andere Garantien vorweisen könne. „Das können zum Beispiel die EU-Standardvertragsklauseln sein, das könnte auch die Zustimmung der Einzelnen sein“, so Zeger im Ö1-„Mittagsjournal“: „Das könnten aber auch eigene Verträge sein, die eben den österreichischen Datenschutz- oder Datensicherheitsniveaus entsprechen.“

Die Zahl von bis zu 4.000 betroffenen Unternehmen in Österreich hält Zeger dem Bericht zufolge für realistisch, denn es gebe hierzulande viele Firmen, die Tochter eines amerikanischen Konzerns sind, und weil zahlreiche Betriebe regelmäßigen Datenaustausch mit anderen Unternehmen in den USA haben. Als Beispiele nennt Zeger „Hotelketten, Fluglinien, Reisebüros, Internet Service Provider, Telekom-Unternehmen“ bis zu „Versandhändlern und so weiter und so fort“.

Musterverfahren

Der Jurist Christoph Grabenwarter von der Wirtschaftsuniversität Wien plädiert dafür, ein Musterverfahren in Österreich durchzuführen: „Wir haben in Österreich sehr gute, sehr spezialisierte Datenschutzbehörden - und ich denke, bevor man jetzt selber sein eigenes Konzept strickt, sollte man in einem Musterverfahren klären, was die Konsequenzen für Unternehmen sind, die Daten in andere Staaten, Staaten außerhalb der EU schicken und dort speichern“, meinte der Vize-Leiter des Instituts für Europarecht und Internationales Recht an der WU Wien.

Demgegenüber rät Rechtsanwalt Nicolas Raschauer derzeit Firmen eher dazu, das Thema vorsichtig anzugehen. „Einerseits im Hinblick darauf: Darf ich nach den bestehenden Richtlinien im Konzern etwa Daten nach Amerika übermitteln? Und wenn ich mir da nicht sicher bin, einfach den ganzen Prozess noch einmal aufschnüren“, so der Advokat aus der Kanzlei Cerha Hempel Spiegelfeld Hlawati. Und weiter: „Muss ich nicht die Einwilligung der Betroffenen einholen? Gibt es vielleicht Möglichkeiten der Datenschutzbehörde, in einen Diskussionsprozess einzutreten, damit hier einfach keine Verletzungen von Rechten Betroffener stattfinden?“