Freitag, 11.12.2015
Uncle Sam will zu viel wissen: Datentransfers in die USA können nicht mehr mit einer Safe-Harbor-Zertifizierung von US-Unternehmen vollzogen werden.

Foto Tony Bagett Thinkstock Getty Images

Uncle Sam will zu viel wissen: Datentransfers in die USA können nicht mehr mit einer Safe-Harbor-Zertifizierung von US-Unternehmen vollzogen werden.

Recht & Steuern
Safe Harbor und die Folgen

EU stoppt Datentransfer in die USA

US-IT-Dienstleister wurden vom EU- Datenschutz ausgebremst. EU-Unternehmen, die mit ihnen zusammenarbeiten, riskieren ab Ende Januar juristische Sanktionen.

Wenn Unternehmen für Dienstreisen oder Bestellungen IT- Dienstleistern aus den USA personenbezogene Daten aushändigen, handeln sie illegal. Diese Sorge ist zumindest formell beseitigt. Anfang Februar haben sich die EU-Kommission und die USA auf ein neues Safe-Harbor-Abkommen geeinigt. So sollen Unternehmen, die Daten in die USA transferieren, eng kontrolliert werden. Wird ein Verstoß gegen die europäischen Datenschutzregeln festgestellt, wird der Datentransfer gestoppt. Zudem sollen künftig EU-Bürger in einem kostenfreien Schlichtungsverfahren gegen Datenschutzverstöße vorgehen können.

Doch allzu groß ist der Unterschied zu der gekippten Vorgängerversion nicht. "Fraglich ist, ob ein neues Abkommen europäische Datenschutzrichtlinien in der Praxis durchsetzen kann und einer gerichtlichen Prüfung durch den EuGH Stand halten kann", sorgt sich Martin Blumenau, Geschäftsführer des Softwareherstellers Datapine.

Rechtsanwalt Axel von dem Bussche von Taylor Wessing bewertet die Folgen des nach wie vor gültigen Safe-Harbor-Urteils des Europäischen Gerichtshofes.

Markt und Mittelstand: Herr von dem Bussche, was bedeutet das Urteil des Europäischen Gerichtshofes (EuGH) zum Safe-Harbor-Abkommen?
Axel von dem Bussche: Zunächst einmal hat der EuGH eine Ausnahmeregelung der Europäischen Kommission gegenüber den USA für ungültig erklärt. Die Übermittlung von Daten in die USA auf der Basis einer Safe-Harbor-Zertifizierung ist seit dem 6. Oktober nicht mehr zulässig. Die Kommission selbst hat festgestellt, dass ein massenhafter und undifferenzierter Zugriff auf personenbezogene Daten von EU-Bürgern von Seiten der Behörden in den USA stattfindet. Darauf bezieht sich das Urteil. Damit können Datentransfers in die Vereinigten Staaten nicht mehr auf eine Safe-Harbor-Zertifizierung von US-Unternehmen gestützt werden.

Markt und Mittelstand:
Betrifft das nur dieses Abkommen?
von dem Bussche: Das Urteil hat aber darüber hinaus auch eine unmittelbare Relevanz für die anderen üblichen Alternativen eines Datentransports aus der EU heraus, namentlich den Abschluss von EU-Standardvertragsklauseln oder die Vereinbarung von konzerninternen sogenannten Binding Corporate Rules (BCR), weil auch durch diese Maßnahmen nicht verhindert werden kann, dass ohne Anlass und ohne Rechtsschutz personenbezogene Daten von EU-Bürgern durchleuchtet werden. Hierin liegt die eigentliche Sprengkraft des Urteils.

Safe-Harbor-Entscheidung trifft deutsche Firmen

Rechtsanwalt Axel von dem Bussche von Taylor Wessing

Foto Taylor Wessing

Rechtsanwalt Axel von dem Bussche von Taylor Wessing

MuM: Welche Folgen sind für mittelständische Unternehmen zu erwarten?
von dem Bussche: Die Entscheidung betrifft deutsche Unternehmen sehr direkt. Für Firmen, die in der IT-Branche unterwegs sind, ist sie ein Glücksfall. Aber alle anderen Unternehmen müssen jetzt ihre Datenströme sowohl zu US-IT-Dienstleistern als auch zu eventuellen US-Tochtergesellschaften sehr genau ansehen.

MuM:
Wie können deutsche Mittelständler vorsorgen?
von dem Bussche: Am besten ist, wenn Unternehmen eine Bestandsaufnahme machen, welche Datenströme in die USA auf welcher Rechtsgrundlage stattfinden. Diese Informationen befinden sich in den Verträgen zur Datenverarbeitung. Das Ergebnis ist ein Vertragsaudit. Selbst ein Facebook-Like auf der Webseite kann theoretisch ein Verstoß gegen das EuGH-Urteil zur Folge haben. Sämtliche Datenschutzerklärungen, Werbematerialien und Texte auf Webseiten müssen überprüft und notfalls geändert werden.

Unternehmen sind Datensünder

MuM: Kommt nun die große Überprüfungswelle auf den Mittelstand zu?
von dem Bussche: Das ist eher bei sehr großen Unternehmen zu erwarten. Hier werden die Aufsichtsbehörden aller Wahrscheinlichkeit nach ein paar prominente Konzerne vorführen, um so darauf hinzuweisen, dass die Ämter handeln. Eine Datenschutz-Compliance kann von der nationalen Datenschutzbehörde sicherlich auch bei Mittelständlern aktiv überprüft werden, das ist aber selten der Fall. Eher wahrscheinlich ist dagegen, dass ein unzufriedener Mitarbeiter oder der Betriebsrat das Amt über Verstöße beim Datenschutz nach dem Safe-Harbor-Urteil informiert. Wenn sich die Vorwürfe bewahrheiten, drohen Bußgelder zwischen 50.000 und 350.000 Euro. Weitaus unangenehmer ist in solchen Fällen häufig der Imageschaden. Das Unternehmen steht als „Datensünder“ da.