Handelsblatt App
Jetzt 4 Wochen für 1 €
Alle Inhalte in einer App
Die EU will den Datenaustausch mit Amerika erleichtern. Doch es bleibt bei einem Hilfskonstrukt. Ein neues, rechtssicheres Abkommen mit den USA ist nicht in Sicht.
Didier Reynders
Der EU-Justizkommissar setzt sich für mehr Rechtssicherheit bei Datentransfers in die USA ein.
Bild: dpa
Brüssel, Berlin Die EU will die Rechtssicherheit für europäische Unternehmen erhöhen, die Daten in die USA schicken. Am Freitag wird die Kommission neue „Standardvertragsklauseln“ präsentieren, die derzeit die einzige Grundlage für einen rechtskonformen Datenaustausch bieten. „Wir gewährleisten damit das höchstmögliche Niveau an Rechtssicherheit“, sagte EU-Justizkommissar Didier Reynders im Interview mit dem Handelsblatt und anderen europäischen Medien.
Gleichzeitig aber räumte Reynders ein, dass die Anpassung der Standardvertragsklauseln „keine perfekte Lösung“ sei. Daher strebe die EU ein neues Datenschutzabkommen mit den USA an. Reynders führt derzeit Gespräche mit der amerikanischen Wirtschaftsministerin Gina Raimondo. Allerdings sei „kurz- und mittelfristig“ nicht damit zu rechnen, dass eine Übereinkunft gefunden werden kann, die den europäischen Anforderungen entspricht.
„Wir wollen eine Schrems-3-Entscheidung verhindern“, sagte Reynders. Er spielt damit an die von dem Österreicher Max Schrems angestrebten Klagen gegen frühere Datenabkommen mit den USA an, die Safe-Harbor-Prinzipien und das Privacy Shield. In beiden Fällen folgte der Europäische Gerichtshof (EuGH) der Argumentation des Klägers und kippte die Regelungen.
So urteilten die Luxemburger Richter im vergangenen Sommer, dass personenbezogene Daten nur an nicht europäische Länder übermittelt werden dürfen, wenn sie dort ein gleichwertiges Schutzniveau genießen. Dies ist nach Ansicht des EuGH in den USA nicht der Fall, weil die amerikanischen Sicherheitsbehörden umfassenden Zugriff auf die bei US-Cloud-Anbietern gespeicherten Daten haben.
Die Folgen des Urteils sind gravierend. Tausende Unternehmen sind davon betroffen, weil viele US-Cloud-Dienste gegen die europäische Datenschutz-Grundverordnung (DSGVO) verstoßen. Gegen Firmen, die die Dienste dennoch einsetzen, sind Bußgelder von bis zu 20 Millionen Euro möglich. Diese werden aber bisher nicht verhängt.
Eine Möglichkeit für Datentransfers in die USA ließ das Gericht offen: Unternehmen können auf Standardvertragsklauseln zurückgreifen. Ihre Anwendung ist für die Firmen aber mit einem hohen bürokratischen Aufwand verbunden, da sie im Einzelfall prüfen müssen, ob das Schutzniveau ausreicht.
Die neuen Standardvertragsklauseln sollen für die Unternehmen einfacher nutzbar sein, versprach Reynders: „Sie erfüllen die Ansprüche der europäischen Datenschutz-Grundverordnung und die Anforderungen des Schrems-2-Urteils vollständig.“ Europa könne „keine Kompromisse bei den Grundprinzipien des Schrems-Urteils machen“, stellte der Justizkommissar klar.
Unternehmen könnten die Standardvertragsklauseln auch mit zusätzlichen Sicherheitsvorkehrungen versehen, etwa, indem sie die Daten verschlüsselt und anonymisiert versendeten. Die Entscheidung darüber müssten die Firmen von „Fall zu Fall“ selbst treffen, so Reynders.
Datenschützer sehen in der Verschlüsselung von Daten keinen echten Ausweg. „Viele Datenverarbeitungen erfordern in der Cloud eine vorherige Entschlüsselung der Daten, sodass die Transferproblematik in diesen Fällen wieder auflebt“, sagte Baden-Württembergs Datenschutzbeauftragter Stefan Brink.
Dies zeigt schon, dass auch die neuen Klauseln einigen Aufwand erfordern und es bei einer bürokratischen Belastung der Unternehmen bleibt. Die Klauseln sollen daher ein Provisorium sein, weswegen mit den USA über ein umfassendes Abkommen verhandelt wird. Die neue Regierung in Washington zeige sich in den Gesprächen „offener“ als die Vorgängerregierung, lobte Reynders.
Das Hauptproblem aber bleibt: In den USA gibt es auf Bundesebene kein Datenschutzrecht, das mit der europäischen Datenschutz-Grundverordnung vergleichbar wäre. Reynders wies zwar auf Gesetzesinitiativen im Kongress hin, doch ob diese jemals eine Mehrheit finden, ist unklar.
Möglich wäre auch, dass die USA EU-Bürgern das Recht geben, sich juristisch gegen den Zugriff der Sicherheitsbehörden auf ihre Daten zu wehren. Dieses gibt es bisher nicht. Ob sich die Biden-Regierung allerdings auf die Forderung nach einem Klagerecht für Europäer einlässt, ist unklar.
Denn was die USA EU-Bürgern zugestehen, könnten dann auch Bürger aus anderen Ländern verlangen. Die recht umfassende Überwachung des Internets, wie sie etwa die NSA betreibt und die in Washington weiterhin als wichtiges Instrument im Kampf gegen Terrorismus gilt, wäre erheblich erschwert.
Das EuGH-Urteil zur bisherigen Datentransferpraxis zwingt derweil auch die Datenschutzbehörden zum Handeln. In Deutschland überprüfen die Behörden die Datenübermittlungen durch europäische Unternehmen in Staaten außerhalb der EU oder des Europäischen Wirtschaftsraums. Dies geschieht auf der Basis mehrerer Fragekataloge, die von einer „Taskforce“ der Datenschutzkonferenz (DSK) der Länder und des Bundes erarbeitet wurden.
Der Co-Vorsitzende der Taskforce, der Hamburger Datenschützer Johannes Caspar, betonte, dass das Urteil der Luxemburger Richter in vielen Fällen eine „grundlegende Umstellung lange praktizierter Geschäftsmodelle und -abläufe“ erfordere. Der Einsatz der Standarddatenschutzklauseln für Datenübermittlungen in Drittstaaten sei nur noch unter Verwendung wirksamer zusätzlicher Maßnahmen ausreichend, „wenn die Prüfung des Verantwortlichen ergeben hat, dass im Empfängerstaat kein gleichwertiges Schutzniveau für die personenbezogenen Daten gewährleistet werden kann“.
Der EuGH habe klargemacht, dass die Behörden unzulässige Transfers „aussetzen oder verbieten“ können. „Das Aussetzen einer Übermittlung kann voraussichtlich in vielen Fällen im kooperativen Dialog mit den Unternehmen gelingen“, glaubt Caspar. Wo dies aber nicht möglich sei, werde mit den „zur Verfügung stehenden aufsichtsbehördlichen Maßnahmen“ reagiert, sprich: mit Geldbußen.
Caspar räumte ein, dass das EuGH-Urteil für viele Unternehmen Hindernisse bedeute – aus Gründen, für die sie letztlich nicht selbst verantwortlich seien. „Es ist daher immer wieder daran zu erinnern, dass der Schlüssel für das Grundrecht der informationellen Selbstbestimmung in den Empfängerstaaten liegt“, sagte der Datenschützer.
„Gerade die Politik in den USA sollte erkennen: Geeignete Garantien gegenüber dem Zugriff der US-Sicherheitsbehörden zum Schutz der übermittelten Daten sowie ein wirksamer Rechtsschutz für Menschen aus der EU sind zentrale Voraussetzung für einen freien Datenverkehr.“ Eine Lösung liege im beiderseitigen Interesse.
Dass die Aufsichtsbehörden jetzt aktiv werden, hat auch mit dem Datenschutzaktivisten Schrems zu tun. Mit seiner Organisation „Noyb“ (kurz für none of your business) hat Schrems über 100 Beschwerden in allen EU-Ländern gegen Firmen erhoben, die weiterhin auf amerikanische Datenanalysedienste wie Google Analytics setzen.
Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.
Auf tippen, dann „Zum Startbildschirm“ hinzufügen.
×