Wer als europäisches Unternehmen noch immer US-Internetdienste ohne weitere Überprüfung oder Änderung nutzt, setzt sich einem erhöhten Bussgeldrisiko aus. Das gilt besonders in Deutschland, denn Datenschutzbehörden in der Bundesrepublik haben inzwischen angekündigt, eigene Ermittlungen einzuleiten.
Wer bislang dachte, das Ende des «Privacy Shield» aussitzen zu können, sollte durch diese Meldung aufhorchen: Deutsche Datenschutzbehörden haben angekündigt, selbst aktiv zu werden. Unternehmen müssen sich demnach darauf einstellen, einen Fragenkatalog zugeschickt zu bekommen. Darin sollen sie erklären, auf welche US-Dienste sie setzen und vor allem auf welcher datenschutzrechtlichen Grundlage sie das tun. Fallen die Antworten nicht zufriedenstellend aus, haben die Behörden verschiedene Sanktionsmöglichkeiten – von förmlichen Anordnungen bis hin zu Bussgeldern.
Bislang hatten diese Amtsstellen nur reagiert, wenn sie eine entsprechende Beschwerde bekamen. Die Rechtslage aber sei in diesem Fall eindeutig, erklärte der Hamburger Datenschützer Johannes Caspar gegenüber dem Handelsblatt.
Zum Hintergrund: Im Juli jährt sich das Ende des «Privacy Shield» zwischen der Europäischen Union und den USA zum ersten Mal. Der Europäische Gerichtshof (EuGH) hatte es für ungültig erklärt. Das bedeutet: Seit fast einem Jahr gibt es keine allgemeingültige Grundlage für EU-Unternehmen, um US-amerikanische Internetdienste für die Speicherung und Verarbeitung personenbezogener Daten einzusetzen. Betroffen sind Dienste aller Art – vom Cloudspeicher bis zum Videokonferenz-Angebot. Ähnlich gilt das für die Schweiz (dazu weiter unten mehr).
Betroffene Unternehmen sollten sich spätestens jetzt damit auseinandersetzen, wie sie auf diese Lage reagieren. Der Datenschutzbeauftragte des Landes Baden-Württemberg hatte dazu Empfehlungen veröffentlicht (PDF).
Die beste und sicherste Möglichkeit ist es demnach, sich nach Alternativen in Ländern umzuschauen, die als datenschutzrechtlich unbedenklich gelten. Das können zum Beispiel EU-Angebote sein oder auch solche aus der Schweiz. Wer hier nicht fündig wird, sollte zumindest diese Recherche gut dokumentieren. Denn das kann im Fall der Fälle belegen, dass dieses Problem ernst genommen wurde.
Einige US-Dienste bieten zudem die Option, Daten nur auf europäischen Servern zu speichern und zu verarbeiten. Das scheint manchen Beobachtern allerdings nicht ausreichend, da der Anbieter im Fall der Fälle trotzdem Informationen an US-Behörden herausgeben müsste. Anders sieht die Lage derzeit aus, wenn amerikanische Dienste ein Joint Venture mit einem europäischen Partner eingehen.
Als weiterer Ausweg werden bisweilen Standarddatenschutzklauseln empfohlen. Die sind zwar nicht wie das Privacy Shield grundsätzlich ungültig geworden. Allerdings sind sie nur dann eine wirksame Massnahme, wenn zugleich darauf geachtet wird, dass die Daten tatsächlich sicher sind. Das benötigt im Zweifel einen zusätzlichen Schutz wie beispielsweise eine Verschlüsselung, auf die der US-Dienstleister keinen Zugriff hat. Wenn Daten verarbeitet werden sollen, wird das allerdings nicht möglich sein. Generell müssen Unternehmen in diesem Fall selbst recherchieren und dokumentieren, inwiefern der Datenschutz des Anbieters ausreichend ist.
Die EU-Kommission arbeitet derzeit an neuen Klauseln. Datenschützer haben die Entwürfe einerseits begrüsst, aber auch als nicht weitreichend genug kritisiert.
Dass eine neue Lösung auf sich warten lässt, verwundert letztlich nicht. Schliesslich war das Privacy Shield bereits der zweite Versuch eines Datenschutzabkommens: Auch dessen Vorläufer «Safe Harbor» war vor dem EuGH gescheitert. Der Grund ist in beiden Fällen leicht zu verstehen: Die USA haben in Sachen Datenschutz und Privatsphäre andere Vorstellungen und Prioritäten als viele europäischen Nationen.
Beobachter des Themas sehen es deshalb als zwingend notwendig an, dass die USA grundsätzlich ändern, wie personenbezogene Daten von EU-Bürgern in ihrem Land gehandhabt werden. Unter dem vorherigen US-Präsidenten schien das mehr als unwahrscheinlich. Die neue Regierung hat hingegen Verhandlungswillen signalisiert. Die US-Handelsministerin Gina Raimondo macht sich vor allem Sorgen um den Ruf und das Geschäft der amerikanischen Internetdienste. Immerhin wurden deshalb «intensivere Verhandlungen» angekündigt. Mehr aber auch noch nicht.
In der Schweiz ist die Lage bei alldem etwas anders, aber auch nicht sehr viel klarer. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hatte in einer Stellungnahme festgestellt, dass auch die schweizerische Variante des Privacy Shield nicht den notwendigen Datenschutzstandards genügt. Damit ist dieses Abkommen zwar nicht ungültig, aber es ist zugleich keine verlässliche Grundlage mehr. Auf der offiziellen Website wird daher empfohlen, sich im Zweifel an den EDÖB zu wenden oder Rechtsberatung einzuholen.
Es erscheint nicht gerade fair, dass Unternehmen nun ausbaden müssen, was eigentlich die Politik zu verantworten hat. Das sieht auch der Hamburger Datenschützer Johannes Caspar im Gespräch mit Golem.de so. Es dürfe demnach nicht sein, «dass am Ende verantwortliche Stellen an einem Ort mit hohen Bussgeldern belegt werden, weil sie ihre Daten in die USA übermitteln, während an anderer Stelle niemand diesem Missstand abhilft.»