Donnerstag, 23.07.2020

Foto: Menold Bezler

Für Carsten Ulbricht, Partner der Kanzlei Menold Bezler in Stuttgart, ist unklar, ob sich der Gesetzgeber in den USA von dem Privacy-Shield-Urteil überhaupt beeindrucken ist.

Recht & Steuern
Konsequenzen des EuGH-Urteils

Privacy Shield: „Das wirtschaftliche Risiko ist reell“

Das EU-US-Abkommen Privacy Shield reicht nicht mehr aus, um personenbezogene Daten rechtskonform in die USA zu übertragen. Sind Teams, Hangouts und Zoom nun für europäische Unternehmen tabu? Welche Konsequenzen das Urteil für Mittelständler hat, erläutert Fachanwalt Carsten Ulbricht.

Sind durch das aktuelle Privacy-Shield-Urteil weite Teile der amerikanischen Digitalwirtschaft für Europäer tabu?

Ein Tabu gibt es nicht. Denn anders als in einigen Berichten falsch dargestellt, hat der Europäische Gerichtshof (EuGH) nicht geurteilt, dass europäische Unternehmen überhaupt keine Daten mehr in die USA übermitteln dürfen. Den Vorgaben der DSGVO entsprechend hat der EuGH nur noch einmal klargestellt, welche Anforderungen in den Drittländern erfüllt sein müssen. Und, dass personenbezogene Daten auch dort hinreichend geschützt sein müssen. Es gibt durch das Urteil also höhere Hürden, um personenbezogene Daten in die USA weiterzureichen. Fest steht: Und das zu Recht, denn die „Überwachungsgesetze“ in den USA verhindern tatsächlich ein aus hiesiger Sicht angemessenes Datenschutzniveau.

 

Wenn wir den internationalen Datenaustausch konsequent unterbinden, wie hoch wäre der Schaden für uns Europäer? 

Datentransfers in die USA generell zu kappen, das wird kaum realistisch sein. Dazu sind die Staaten digital viel zu eng vernetzt. Tatsächlich wird sich nun zeigen, ob es die EU schafft, ihr Datenschutzniveaus als „Gold-Standard“ in der Welt zu etablieren. Verschiedene notwendige Datentransfers, wie etwa bei Vertragsbeziehungen in die USA, werden auch auf Grundlage der Ausnahmeregelung des Art. 49 DSGVO zulässig bleiben.

 

Kämen ohne US-Dienste Teile der hiesigen Wirtschaft zum Erliegen? Was bedeutet das Urteil für die Wettbewerbsstärke des deutschen Mittelstands? 

Unternehmen, die personenbezogene Daten aus Europa in die USA übertragen, sollten ihre Datentransfers zeitnah prüfen und handeln, um ein angemessenes Datenschutzniveau zu gewährleisten. Jedenfalls in den Fällen, in denen der jeweilige US-Anbieter eines Dienstes nur auf das Privacy-Shield gesetzt hat, besteht dringender Handlungsbedarf. Ansonsten können nun auch Bußgelder verhängt werden. Das wirtschaftliche Risiko ist also ab sofort reell.

 

Und das bedeutet konkret?

Der hiesige Mittelstand wird nun prüfen müssen, ob und welche US-Dienste weiter datenschutzkonform eingesetzt werden können – oder eben auf europäische Anbieter wechseln müssen. Da viele wichtige Dienste weiter aus den USA kommen, bedeutet diese Prüfung und mögliche Verhandlungen mit den Vertragspartnern in den USA zunächst einmal Verwaltungsaufwand. Soweit keine gleichwertigen Dienste in der EU gefunden werden, kann dieser Prozess dann natürlich auch zu Wettbewerbsnachteilen für den Mittelstand führen.

 

Wie soll das alles im Arbeitsalltag funktionieren? Selbst Standardprogramme wie Microsoft Office sind an die amerikanische Cloud angebunden.

Hier muss differenziert werden. Kritisch ist die Übermittlung personenbezogener Daten, also von Daten, die einer natürlichen Person zugeordnet werden können. Andere Daten können natürlich problemlos weiter übertragen werden. Tatsächlich übertragen verschiedene Cloud-Dienste, wie der von Microsoft, bei der Nutzung auch personenbezogene Daten, etwa Telemetriedaten, in die USA. Dies wird von den Datenschutzbehörden als kritisch angesehen. Hier sehe ich zunächst die Anbieter solcher Cloud-Dienste in der Pflicht. Wenn Microsoft & Co Unternehmen in der Europäischen Union als Kunden gewinnen wollen, ist es ihre Aufgabe Lösungen zu finden und anzubieten, die sich mit unserem Datenschutzrecht vereinbaren lassen. Tatsächlich gibt es hier auch diverse Ansätze. So sollten Unternehmenskunden die Möglichkeit haben, die Datenübertragung selbst einzustellen. Alternativ sind auch Anonymisierungsansätze denkbar.

 

Schauen wir uns kleinere Unternehmen an, die stärker digitalisieren müssten. Erschwert das Urteil ihnen die Aufgabe der Digitalisierung, weil sie nun nicht mehr bekannte Standardprogramme nutzen dürfen, sondern auch gezielt überlegen müssen, wie sie Daten austauschen?

Der Aufwand für die Unternehmen steigt. Auch kleinere Firmen müssen sicherstellen, dass die Standardvertragsklauseln des jeweiligen Diensteanbieters in einem Drittland den gesetzlichen Vorschriften entsprechen. Zudem sollte bei dem entsprechenden Geschäftspartner in den USA auch nachgefragt werden, ob er die Vereinbarungen auch umsetzen und einhalten kann. Das könnte in einigen Fällen im Arbeitsalltag ziemlich schwierig werden. Nehmen Sie zum Beispiel den Fall, dass ein kleines Unternehmen bei einem weltweit agierenden Videokonferenzanbieter nachfragt, ob die Einhaltung der Standardvertragsklauseln in den USA gewährleistet werden kann.

 

Genau genommen nutzt der EuGH ja den Wirtschaftsstandort Europa als Druckmittel: Wenn sich Akteure wie die USA nicht bessern, dann haben die Unternehmen eben keinen Zugang mehr zur Nachfrage aus Europa. Geht das denn so einfach?

Ganz so einfach wird man sich dies nicht machen können. Die USA müssten ihre „Überwachungsgesetze“ ernsthaft ändern, wenn die Datentransfers aus Europa erleichtert werden sollen. Dass es dazu kommen wird, ist bei der derzeitigen politischen Situation in den USA eher unwahrscheinlich.

 

Was ist realistisch?

Es liegt zunächst an den Diensteanbietern, aber auch den Kunden, ob und. wie sie die notwendigen Standards herstellen können, um Bußgelder zu vermeiden. Der EuGH hat sehr klar gemacht, dass die nationalen Datenschutzbehörden nun eingreifen können und müssen, wenn sie der Auffassung sind, dass Standarddatenschutzklauseln in einem Land nicht eingehalten werden oder nicht eingehalten werden können. Das Risiko liegt also beim Datenexporteur.

 

Wie beeindruckt ist der Gesetzgeber in den USA vom Urteil aus Europa? Immerhin greift die EU über das Urteil ja quasi in die Gesetzgebung anderer Staaten ein.

Fraglich ist, ob sich der Gesetzgeber in den USA von dem Urteil überhaupt beeindrucken lässt. Möglich wäre das Szenario, dass die großen Digitalkonzerne wie Facebook, um die es vor dem EuGH ging, ihr Geschäftsmodell gefährdet sehen und einen gewissen Druck aufbauen. Wenn also Facebook Ireland, deren Standardvertragsklauseln konkret vor dem EuGH angegriffen worden sind, Daten nicht mehr an den Mutterkonzern übermitteln darf, ohne dass die EU-Datenschutzbehörden gegebenenfalls einschreiten, dann hat das sicher ein anderes Gewicht, als wenn mittelgroße europäische Unternehmen oder auch hiesige Datenschützer mangelnde Datenschutzstandards beklagen.

 

Und dann?

Abwarten, wer sich zuerst bewegt: Lenken die USA ein und sichern zu, auf Daten, die aus Drittländern übermittelt werden, nicht anlasslos zuzugreifen? Oder kommen die EU-Datenschutzbehörden trotz genereller Wirksamkeit der Standardvertragsklauseln in Zukunft immer öfter zu dem Schluss, dass die Klauseln ins Leere laufen? Dann müssen die betroffenen Unternehmen die Datenweitergabe tatsächlich unverzüglich einstellen.