Daten in die USA? Unternehmen in rechtlicher Grauzone

Warum ist das alte Safe-Harbor-Abkommen hinfällig geworden?

Der Europäische Gerichtshof hatte Anfang Oktober die 15 Jahre alte Safe-Harbor-Regelung kassiert. Sie ermöglichte die unkomplizierte Datenübertragung und -speicherung in den USA. Doch dort seien die Informationen nicht ausreichend vor dem Zugriff von Behörden und Geheimdiensten geschützt, urteilten die Richter. Der österreichische Facebook-Kritiker Max Schrems hatte das Verfahren ins Rollen gebracht. Er sieht seine Daten in den Vereinigten Staaten nicht ausreichend geschützt und verweist auf die Enthüllungen über die flächendeckende Überwachung durch US-Geheimdienste.

Welche Übergangsregelungen standen zur Verfügung?

Seit Oktober standen den Unternehmen nur noch sogenannte Standardvertragsklauseln sowie verbindliche Unternehmensregeln (corporate binding rules) für eine Übergangszeit bis zum Ablauf des Memorandums als Alternativen zur Verfügung. Die Unternehmensregeln betreffen dabei den konzerninternen Datenverkehr. Auch diese Regelwerke stehen bei den Datenschutzbehörden auf dem Prüfstand.

Zudem sind sie nach Einschätzung von Guido Lobrano, Rechtsexperte beim europäischen Arbeitgeber-Dachverband Business Europe, "extrem teuer und kompliziert". Die Einrichtung dauere häufig rund zwei Jahre. "Für ein mittelständisches Unternehmen ist das nicht realistisch", meint er.

Welche Bedeutung hatte der Termin 31. Januar?

Diese Frist haben die Datenschutzbehörden der EU-Staaten gesetzt. Bis dahin konnten Unternehmen bedenkenlos auf alternative Rechtsinstrumente zur Datenübermittlung in die USA zurückgreifen. Was nun geschieht, ist unklar. Der Bundesverband der Deutschen Industrie (BDI) fordert eine Verlängerung der Übergangsfrist.

Wer ist betroffen?

"Es geht nicht allein um Facebook", sagt Heiko Willems, Rechtsexperte beim Bundesverband Deutscher Industrie (BDI). Allein 4400 amerikanische Unternehmen hätten sich für Safe Harbor zertifizieren lassen. Und die Unternehmen hätten in der Regel nicht nur einen Kunden in Europa. Nach Einschätzung des Rechtsanwalts und Datenrechtsexperten Michael Kamps treffe es "letztlich jedes Unternehmen", das Daten in irgendeiner Art und Weise mit den USA austauscht, auch viele Mittelständler. Das Institut der deutschen Wirtschaft (IW) war zuvor europaweit von 4000 Unternehmen ausgegangen.

Was hält Max Schrems davon?

Der Österreicher hatte mit seiner Klage gegen Facebook dafür gesorgt, dass am Ende das EuGH die Safe-Harbor-Vereinbarung für ungültig erklärte. Nach seiner Einschätzung haben nun in erster Linie große US-Konzerne wie Google, Microsoft und Facebook Probleme. Sollte es zu keiner Einigung kommen, müssten sie ihre Datenschutzbestimmungen neu organisieren oder ihr Geschäft in Europa aufgeben, sagte Schrems der "Washington Post". Auf Seiten der Verbraucher hält der Österreicher zahlreiche Sammelklagen für wahrscheinlich.

Wie geht es jetzt weiter?

Das ist unklar. Die Verhandlungen gehen auch nach Verstreichen der Frist weiter. Am Dienstag treffen sich in Brüssel zudem Vertreter europäischer Datenschutz-Behörden. Einen Tag später wollen sie mitteilen, wie sie die alternativen Rechtsinstrumente zum Datenaustausch im Lichte der Safe-Harbor-Entscheidung bewerten. Wenn die EU-Kommission und die Vertreter der amerikanischen Regierung sich einig werden über eine neue Vereinbarung zum Datenaustausch, muss diese später noch von Vertretern der EU-Staaten bestätigt werden. Auch das Europaparlament hat Prüfrechte.