EuGH kippt Rechtsgrundlage für Datentransfers in die USA

Die EU-Kommission hatte sich bereits auf das ablehnende Urteil vorbereitet. Justizkommissar Didier Reynders kündigte am Donnerstag an, mit der US-Regierung über den weiteren Weg zu sprechen und neue Standardvertragsklauseln zu erarbeiten, die im Einklang mit dem EuGH-Urteil stünden. US-Wirtschaftsminister Wilbur Ross zeigte sich „tief enttäuscht“ über das Aus für Privacy Shield.

Der Deutsche Industrie- und Handelskammertag (DIHK) warnte vor den Folgen des Urteils für deutsche Unternehmen. „Wenn selbst die EU-Kommission nicht in der Lage war, mit dem Privacy Shield eine europarechtsgemäße Vereinbarung mit den USA zu treffen – wie soll man das in diesem von Unsicherheit geprägten Rechtsbereich dann gerade von kleinen und mittleren Unternehmen, erwarten?“, sagte DIHK-Chefjustiziar Stephan Wernicke dem Handelsblatt. Rechtssicherheit sehe anders aus.

„Unternehmen mit Datentransfer in Drittstaaten brauchen nun nicht allein für die USA sondern demnächst auch für Großbritannien schnelle und belastbare Hinweise von der Kommission sowie den zuständigen Datenschutzbeauftragten zur EU-datenschutzrechtskonformen Vertragsgestaltung“, verlangte Wernicke. Auch wenn für den Datenaustausch sogenannte Standardvertragsklauseln weiterhin grundsätzlich möglich bleiben, „bürdet die EU einmal mehr den Unternehmen das Risiko auf, ob ihre Verträge auch den weithin unbestimmten rechtlichen Anforderungen der Datenschutz-Grundverordnung DSGVO im Lichte der Grundrechtscharta genügen“.

Auch die IT-Industrie äußerte sich kritisch: „Für Unternehmen mit einer Datenverarbeitung in den USA entsteht durch dieses Urteil massive Rechtsunsicherheit“, sagte Susanne Dehmel, Mitglied der Geschäftsleitung des Branchenverbandes Bitkom. Eco-Geschäftsführer Alexander Rabe sagte, den Unternehmen bleibe jetzt nur die Möglichkeit von Standardvertragsklauseln. Diese bedeuteten aber „einen erheblichen Aufwand für die Unternehmen“.

Thomas Kahl, Partner bei der Wirtschaftskanzlei Taylor Wessing, erwartet ebenfalls einen erheblichen Mehraufwand und wachsende Unsicherheit bei den betroffenen Unternehmen. „Es gibt mit Sicherheit großen Beratungsbedarf“, so der Experte.

Microsoft verspricht Rechtssicherheit

Aber auch der Hamburger Datenschützer Johannes Caspar kritisierte das Urteil: „Dass das Privacy Shield aufzuheben ist, die Standardvertragsklauseln aber ein angemessenes Datenschutzniveau in den USA schaffen sollten, erscheint abwegig“, sagte er dem Handelsblatt. „Der Ball befindet sich damit wieder einmal im Spielfeld der Aufsichtsbehörden, die nun vor der Entscheidung stehen werden, insgesamt die Datenübermittlung über Standardvertragsklauseln kritisch zu hinterfragen.“

Die meisten Unternehmen setzen bereits auf solche Musterverträge, um etwa persönliche Daten von Kunden oder Mitarbeitern an ausländische Dienstleister transferieren zu können. Der US-Konzern Microsoft, einer der größten Anbieter von Cloud-Speichern, versicherte seinen Kunden denn auch umgehend, sie könnten die Dienste des Konzerns weiter rechtmäßig nutzen.

Laut Vera Jungkind, Partnerin der Kanzlei Hengeler Mueller, sind die Firmen schon heute verpflichtet zu prüfen, ob ihr Vertragspartner in den USA oder Asien die datenschutzrechtlichen Verpflichtungen auch einhalten könne - oder ob die dortigen Sicherheitsgesetze dem entgegenstünden. Die Expertin rechnet aber damit, dass Datenschützer wie Caspar nach dem EuGH-Urteil hier nun genauer hinschauen - auch auf Drängen von Nutzern wie Schrems.

Verhandlungen zwischen EU und USA über ein Nachfolgeabkommen für das Privacy Shield hält Jungkind für wenig erfolgversprechend: Der EuGH habe bereits zum zweiten Mal einen mangelnden Schutz der individuellen Rechte von EU-Bürgern in den USA bemängelt, daher ergebe „ein erneuter Anlauf für ein Datenabkommen wenig Sinn, solange sich die Rechtslage in den USA nicht substantiell ändert“. Die US-Regierung scheint derzeit aber kaum bereit, ihre Sicherheitsgesetze zu ändern, die die heimischen IT-Unternehmen zur Zusammenarbeit mit den Nachrichtendiensten verpflichten.

Axel Voss, rechtspolitischer Sprecher der EVP-Fraktion im Europaparlament, drängt dennoch auf Zugeständnisse Washingtons: „Die USA müssen zusätzliche Zusicherungen geben, wie sie mit europäischen personenbezogenen Daten umgehen“, so der CDU-Politiker. Die EU-Kommission wiederum müsse dringend die neue Rechtslage klären.

Auf Schrems' Betreiben hatte der EuGH 2015 bereits den Vorgänger des „Privacy Shield“, die Safe-Harbor-Regelung, beanstandet, weil sie die Daten europäischer Bürger nicht ausreichend vor dem Zugriff von US-Behörden geschützt habe. Für diese Einschätzung spielten auch die Enthüllungen des Whistleblowers Edward Snowden 2013 zur ausufernden Internet-Überwachung durch US-Geheimdienste eine wichtige Rolle.

Facebook beruft sich allerdings bei der Übertragung der Daten von Europa in die USA nicht auf das „Privacy Shield“, sondern auf die Standardvertragsklauseln als alternative Rechtsgrundlage. Diese sollen im Kern Garantien dafür bieten, dass die Daten von EU-Bürgern auch bei einer Übermittlung aus der EU ins Ausland angemessen geschützt sind.

Aus Sicht des DIHK-Chefjustiziars Wernicke verdeutlicht das EuGH-Urteil „die fortbestehende und auch von vielen deutschen Unternehmen beklagte massive Rechtsunsicherheit im Datenschutzrecht der EU“. Dieses Recht entwickle in Verbindung mit der Grundrechtecharta „immer stärkere extraterritoriale Wirkungen“. Hier sei Vorsicht geboten. „Für die Weiterentwicklung der Digitalökonomie ist dies eine kritische Situation“, sagte der DIHK-Experte.

Dass der EuGH nach Safe Harbor nun auch das Privacy Shield für ungültig erklärt, bedeutet eine weitere Niederlage für die Brüsseler Behörde vor Gericht. Am Mittwoch hatte das EU-Gericht in erster Instanz die Anordnung für nichtig erklärt, Irland müsse von Apple 13 Milliarden Euro an zu wenig bezahlten Steuern eintreiben.

Mehr: EU-Kommission droht Mitgliedstaaten bei mangelhafter Datenschutz-Umsetzung.