EuGH-Urteil bringt Unsicherheit ins Datenabkommen mit den USA

Das Urteil des EuGH veränderte maßgeblich eine bislang funktionierende Vereinbarung zum Datenschutz, die bei Geschäften zwischen US-Unternehmen und EU-Firmen galt, den sogenannten Privacy Shield. Bei betroffenen Unternehmen führt das zu großer Verunsicherung.

Transatlantische Geschäftsbeziehungen beinhalten in der Regel eine Menge Berührungspunkte mit den IT-Giganten Google, Facebook, Microsoft und vielen anderen. Immer wieder sind Cloudspeicher, Social-Media-Plattformen oder Konferenzsoftware Teil eines Deals. Dabei besteht grundsätzlich das Problem des gravierenden Unterschieds zwischen dem Datenschutzrecht in den USA und der im EU-Raum gültigen DSGVO. Der Privacy Schild stellte bislang eine Rechtsgrundlage dar, die unternehmerischen Datenaustausch mit US-Firmen grundsätzlich absicherte. Dies ist nun Geschichte. Im Klartext heißt das für EU-Unternehmen, dass diese im Sinne der DSGVO dafür verantwortlich sind, dass personenbezogene Daten auch dann ausreichend geschützt sind, wenn sie auf US-Servern gespeichert sind.

Genau das beschreibt den unterschiedlichen Datenschutz im Kern: US Unternehmen sind gesetzlich dazu verpflichtet, zahlreichen Behörden Zugang zu Daten zu ermöglichen, die nach EU-Recht unantastbar sind.

Rechtsunsicherheit auf der ganzen Linie

Ein schönes Beispiel für das hohe Gut Datenschutz in der EU ist zum Beispiel die Corona-Warn-App der deutschen Bundesregierung. Bei ihrer Entwicklung galt der oberste Grundsatz, dass Infizierte, die durch die App identifiziert werden, vor jeglicher Behörde absolut anonym bleiben. In USA hingegen erlaubt das Datenschutzrecht den Zugriff beispielsweise der US-Geheimdienste auf sämtliche Daten, die ein EU-Bürger auf Social-Media-Plattformen preisgibt. Gleiches gilt für personenbezogene Daten in US-basierten Cloud-Diensten. Ein eklatanter Unterschied zur EU-Rechtsauffassung und damit eine echte Herausforderung für jedes EU-Unternehmen, das mit den USA Geschäftsbeziehungen unterhält.

Laut aktuellem Recht liegt die gesetzliche Überprüfungspflicht bei den Unternehmen: Sie müssen sicherstellen, dass in die USA transferierte Daten so behandelt werden, wie es die DSGVO vorschreibt. Einer solchen Prüfung bedarf es freilich nicht, da von vorneherein die datenschutzrechtliche Handhabe in den USA absolut unvereinbar mit den Grundsätzen der DSGVO ist. Die Unternehmen, die etwa Speicherdienste von Google in Anspruch nehmen, mit Microsoft-Software konferieren und Kommunikation mit Kunden und Partnern auf gängigen Social-Media-Plattformen betreiben, müssten dies streng genommen mit sofortiger Wirkung auf datenschutzrechtliche Unzulänglichkeiten überprüfen und gegebenenfalls einstellen, wenn sie nicht Gefahr laufen wollen, in den Fokus der Datenschutzbehörden zu rücken.

Wie können sich Unternehmen angesichts dieser Rechtsunsicherheit schützen?

Nach wie vor sind die auch bisher ausgehandelten Standardvertragsklauseln, die Unternehmen mit einander vereinbaren, die solideste rechtliche Grundlage für Datenaustausch-Prozesse. Diese werden auch bis zu einer neuen generellen Einigung auf dem Niveau des Privacy-Shield, die die EU zwangsläufig mit den US-Behörden aushandeln wird, der einzig gangbare Weg sein, das eigene Unternehmen rechtlich abzusichern. Allerdings sollten diese nach dem Urteil des EuGH datenschutzrechtlich überprüft und angepasst werden. Dazu ist nach dem Urteil jedes Unternehmen verpflichtet, wenn es nicht Gefahr laufen will, auf rechtlich unsicheren Boden zu gelangen.