Rechtsunsicherheit beim internationalen Datenaustausch

Vier von zehn Unternehmen mit 20 oder mehr Mitarbeitern (genau: 44 Prozent) lassen personenbezogene Daten von externen Dienstleistern verarbeiten. Unter den großen Unternehmen ab 500 Beschäftigten sind es sogar zwei Drittel (67 Prozent), die solche Dienste nutzen. Und fast jedes dritte Unternehmen (31 Prozent) verarbeitet selbst Daten im Auftrag anderer (unter den Großen sind es sogar 59 Prozent). Das ist das Ergebnis einer repräsentativen Befragung unter mehr als 500 Unternehmen im Auftrag von Bitkom. Alle Unternehmen, die Daten mit Unternehmen oder Standorten außerhalb der EU austauschen, müssen  bangen: Der irische Gerichtshof hat entschieden, eine Klage gegen die Rechtmäßigkeit sogenannter Standardvertragsklauseln, die Grundlage für den internationalen Datenaustausch sind, dem Europäischen Gerichtshof (EuGH) weiterzuleiten.

Das Urteil der EU-Richter könnte sich auch negativ auf das Privacy Shield auswirken, das die rechtlichen Grundlagen für den Datenaustausch mit den USA geschaffen hat, nachdem das vorher gültige Safe-Harbor-Abkommen von den Gerichten kassiert worden war. Der irische Gerichtshof äußert generelle Zweifel daran, dass das Grundrecht auf gerichtlichen Rechtsschutz für europäische Bürger in den USA gewahrt ist. „Deutsche Unternehmen sind international tätig und haben Töchter und Geschäftspartner in aller Welt“, erläutert Susanne Dehmel, Geschäftsleitern Recht & Sicherheit beim Bitkom. Ohne Daten zu übermitteln, könnten sie nicht mit Niederlassungen und Kunden zusammenarbeiten. Die Unternehmen brauchten verlässliche und handhabbare Regeln, um ihre internationale Zusammenarbeit auf legale Datentransfers zu stützen. Wenn Europa die grenzüberschreitenden Datenströme kappe, habe das negative Auswirkungen auf das internationale Geschäft deutscher Unternehmen. „Europa darf keine Dateninsel werden“, fordert Dehmel.

Das meistgenutzte Instrument beim rechtssicheren Datenaustausch mit den USA

Ein Aus für Standardvertragsklauseln oder das Privacy Shield würde die deutsche Wirtschaft hart treffen. Jedes zehnte Unternehmen (10 Prozent) übermittelt Bitkom zufolge selbst personenbezogene Daten in die USA, unter den großen Unternehmen ab 500 Mitarbeitern ist es sogar mehr als jedes zweite (54 Prozent). Darüber hinaus lassen 6 Prozent der Unternehmen, die externe Dienstleister beauftragt haben, personenbezogene Daten in den USA verarbeiten. Unter den großen Unternehmen ist es sogar rund jedes Dritte (32 Prozent). Mit 8 von 10 Unternehmen (79 Prozent) setzt die große Mehrheit aller Unternehmen, die Daten direkt oder über einen Dienstleister mit den USA austauschen, auf Standardvertragsklauseln als Rechtsgrundlage, 13 nutzen den Privacy Shield. „Standardvertragsklauseln sind bislang das meistgenutzte Instrument für einen rechtssicheren Datenaustausch mit den USA“, beschreibt Susanne Dehmel. Viele Unternehmen, die früher mit Safe Harbor gearbeitet hätten, hätten nach dem Urteil des EuGH in 2015 ihre Verträge darauf umgestellt. „Sollten die Standardvertragsklauseln als nicht ausreichend angesehen werden, wissen Unternehmen nicht, womit sie weiterarbeiten können“, befürchtet Dehmel.

Die nun auf den Prüfstand gestellten Standardvertragsklauseln spielen darüber hinaus eine bedeutende Rolle in europäischen Datenschutzgrundverordnung (DS-GVO). Diese regelt ab 25. Mai 2018 noch detaillierter als die bislang geltende Datenschutzrichtlinie, unter welchen Umständen personenbezogene Daten aus der EU in Drittstaaten übermittelt werden dürfen. Dies ist künftig dann ohne weiteres möglich, wenn die EU-Kommission festgestellt hat, dass das Drittland ein angemessenes Datenschutzniveau bietet.

Verheerende Folgen für die europäischen Volkswirtschaften möglich

Besteht kein solcher Beschluss für ein bestimmtes Drittland, dürfen personenbezogene Daten nur dorthin übermittelt werden, wenn der Datenverarbeiter geeignete Garantien vorgesehen hat. Als geeignete Garantien nennt die DS-GVO ausdrücklich und prominent Standardvertragsklauseln. „Die durch den irischen Gerichtshof angestoßene EuGH-Entscheidung dürfte noch sehr viel bedeutender sein als das Urteil über Safe Harbor, weil die Gültigkeit von Standardvertragsklauseln fast alle Unternehmen, die international agieren, betrifft “, befürchtet Susanne Dehmel Falls sich die EuGH-Entscheidung nicht nur auf den Datentransfer zwischen der EU und den USA beziehe, sondern allgemein auf die Vertragsklauseln, könnte dies verheerende Folgen für die europäischen Volkswirtschaften haben.

Unternehmen, die international agieren oder Dienstleistungen nutzen, bei denen Daten international ausgetauscht werden, sollten sich über die Entwicklung auf dem Laufenden halten. Um ihnen Orientierung zur rechtlichen Absicherung von Datentransfers zu geben, hat Bitkom einen Leitfaden erarbeitet, der die Neuerungen und Vorgaben der Datenschutzgrundverordnung für Drittstaaten-Transfers erläutert und einen Überblick über die verschiedenen Garantien gibt. (ig)