Datenschutz: Abkommen mit den USA wieder gekippt

Das EuGH-Urteil war Ergebnis einer Klage des österreichischen Juristen Max Schrems gegen Facebook. Es entzog damals jeglicher Übertragung von personenbezogenen Daten in die USA die Grundlage. Da die Verflechtungen der europäischen und US-amerikanischen Wirtschaft aber so groß sind, dass sie nicht ohne weiteres von heute auf morgen getrennt werden können, musste in aller Eile ein neues Abkommen geschlossen werden. Das gelang nicht ganz so zügig wie zunächst versprochen, aber immerhin lag im Juli 2016 mit „Privacy Shield“ eine neue Regelung vor. Die ließ noch einiges zu wünschen übrig – aber um ihre Geschäfte fortführen zu können, beriefen sich die meisten Firmen auf diesen Behelf und sahen über die Unzulänglichkeiten großzügig hinweg.

Doch es kam, wie es kommen musste: Fast genau auf den Tag vier Jahre nach dem Beschluss der EU-Kommission, dass die USA einen „angemessenen“ Schutz persönlicher Daten gemäß eigener Gesetze und internationaler Vereinbarungen garantiere, hob der EuGH, erneut nach einer Klage des Juristen und Datenschutzaktivisten Schrems, diesen Beschluss auf. Der mit Privacy Shield zugesagte Schutz sei nicht gewährleistet. Dem Gerichtshof zufolge wird in den USA „den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung amerikanischen Rechts Vorrang eingeräumt.“ Dadurch seien Eingriffe in die Grundrechte der Personen möglich, deren Daten in die USA übermittelt würden. Dort seien die Anforderungen an einen Datenzugriff durch Behörden geringer und entsprächen nicht dem in der EU geltenden Grundsatz der Verhältnismäßigkeit.

Damit steht die Branche 2020 wieder vor demselben Problem wie 2015. Überrascht mich das? Nein. Das Problem war und ist prinzipieller Natur. Dass in den USA das Argument der nationalen Sicherheit beinahe alle Rechtsgrundsätze schlägt, gilt derzeit sicher noch mehr als früher. Leider heißt das für Unternehmen in Europa, dass für ihre Geschäfte mit US-Firmen noch lange Zeit keine Rechtssicherheit erreichen werden.

Věra Jourová, die Vizepräsidentin der EU-Kommission lässt bereits durchblicken, dass erneut eine wie auch immer geartete Regelung gefunden werden soll, weil es in der globalisierten Welt unerlässlich sei, „über ein breites Instrumentarium für internationale Datenübertragungen zu verfügen und gleichzeitig ein hohes Schutzniveau für personenbezogene Daten sicherzustellen.“ Daher arbeite die EU nun zusammen mit den Datenschutzbehörden der Mitgliedstaaten eine neue Version der sogenannten Standardvertragsklauseln aus. So lange auf der anderen Seite des großen Teichs aber keine grundlegende Reform der Überwachungsgesetze vorgenommen wird, bleibt jedes Abkommen angreifbar. 

Daher gilt auch weiterhin für Unternehmen „Weniger ist mehr“ – je weniger über internationale Server läuft, desto sicherer kann man sein, sich rechtskonform zu verhalten. Meine Empfehlung an deutsche Unternehmen ist daher wie bereits 2016, Daten nach Möglichkeit innerhalb Deutschlands zu verarbeiten und zu speichern und damit auf die bekannte rechtliche Basis zu vertrauen. Und da weiß ich zufällig ein nagelneues Top-Colocation-Rechenzentrum in München :)

Ein Kommentar von Felix Netzheimer