https://www.faz.net/-gqe-9pcmi

Datenschutz : Stopp für den Datenverkehr

  • -Aktualisiert am

Bild: dpa

Der Europäische Gerichtshof verhandelt derzeit über die EU-Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Unternehmen in Drittländern und einen Nachfolger des Safe-Harbor-Abkommens. Die Auswirkungen der Entscheidung könnten weitreichende Folgen für den globalen Datentransfer haben.

          Im Jahr 2015 hatte der Europäische Gerichtshof das Safe-Harbor-Abkommen für ungültig erklärt. Jetzt verhandelt er über die EU-Standardvertragsklauseln und den Safe Harbor-Nachfolger Privacy Shield, die beide für viele Unternehmen die Grundlage für den internationalen Datenaustausch bilden. Erklärt der EuGH Standardklauseln ebenfalls für ungültig, hätte das weitreichende Folgen für den globalen Datentransfer. Nahezu der gesamte außereuropäische Datentransfer würde zum Erliegen kommen. Denn die Klauseln sind nicht nur beim Austausch personenbezogener Daten zwischen der EU und den Vereinigten Staaten im Einsatz, sondern international.

          Die Auswirkungen der Entscheidung des EuGH, mit der Anfang des kommenden Jahres zu rechnen ist, sind also weitaus umfangreicher als bei der zu Safe-Harbor. Und nach der mündlichen Verhandlung am 9. Juli sieht es stark danach aus, dass die Luxemburger Richter bei den EU-Standardvertragsklauseln ähnlich urteilen könnten. Dem globalen Datentransfer droht eine Katastrophe, und Unternehmen tun gut daran, sich darauf vorzubereiten.

          Für den Transfer personenbezogener Daten in das nichteuropäische Ausland müssen Unternehmen besondere Vorkehrungen treffen, wenn das Empfängerland kein von der Europäischen Kommission anerkanntes angemessenes Datenschutzniveau hat, was nur bei 13 Ländern der Fall ist. Liegen keine Einwilligung durch die Betroffenen oder eine Einzelfall-Genehmigung der Aufsichtsbehörden vor, müssen die Datentransfers meist entweder auf der Grundlage des Privacy Shields oder der EU-Standardvertragsklauseln erfolgen.

          In Deutschland setzen viele Unternehmen vorwiegend auf die EU-Standardvertragsklauseln, da das Privacy Shield nur für Transfers von personenbezogenen Daten in die Vereinigten Staaten gilt, nicht aber etwa nach China, in den Mittleren Osten, Russland oder Australien und in das Vereinigte Königreich im Falle eines No-Deal-Brexits. Zudem müssen sich die Empfänger der Daten bei Privacy Shield der entsprechenden Zertifizierung unterwerfen. Im Vergleich dazu waren die EU-Standardvertragsklauseln bislang ein unkompliziertes Instrument, um Datentransfers ins außereuropäische Ausland zu ermöglichen, und gelten wortwörtlich als Standard im Datenverkehr. Oder anders formuliert: Ohne diesen Standard würde Unternehmen beim internationalen Datentransfer der Boden unter den Füßen weggezogen.

          Sobald Unternehmen Daten – etwa für IT- oder Personal-Dienstleistungen, aber auch an dort ansässige Tochterunternehmen – ins außereuropäische Ausland transferieren, macht die Datenschutzgrundverordnung (DSGVO) strenge Vorgaben. Diese erfüllen die EU-Standardvertragsklauseln, erklärt der EuGH diese aber für unwirksam, können Unternehmen kaum noch praktikabel personenbezogene Daten in Länder außerhalb der EU übertragen. Zwar erarbeitet die EU-Kommission aktuell neue Klauseln. Ob diese aber die vom EuGH in einem zu erwartenden Urteil aufgestellten Grundsätze erfüllen können, ist unklar.

          Unternehmen sollten daher die Zeit bis zur Entscheidung des EuGH nutzen, um ihre Datentransfers ins außereuropäische Ausland gründlich zu überprüfen. Dabei gilt es, die personenbezogenen Daten zu identifizieren und zu klären, inwieweit die Daten für die Durchführung eines Vertrages mit den jeweiligen Betroffenen erforderlich sind – dann sind möglicherweise Transfers ohne flankierende Maßnahmen möglich.

          Ansonsten muss im Einzelfall entschieden werden, welche Optionen für die jeweiligen Daten zur Auswahl stehen. Gleichwohl sollten sich Unternehmen – stärker als zuvor – die Frage stellen, inwieweit sich der Datentransfer und die Speicherung von personenbezogenen Daten auf die EU beschränken lassen. Denn innerhalb der EU ist die Verwendung und die Sicherung von personenbezogenen Daten durch die DSGVO geregelt, und es besteht damit Rechtssicherheit.

          Der Autor ist Rechtsanwalt und Partner bei Heuking Kühn Lüer Wojtek.

          Weitere Themen

          Topmeldungen

          Immer mehr, immer größer, immer schneller: Autos auf den Straßen von Berlin.

          Wandel der Mobilität : Augen auf vorm Autokauf!

          Ob Auto, Bahn oder Fahrrad – Mobilität ist individuell und abhängig von Bedürfnissen und Lebensumständen. Doch jeder sollte bereit sein, sich zu hinterfragen.

          Größte Computerspiele-Messe : Das sind die Kracher der Gamescom

          In Köln läuft noch bis heute ein kunterbuntes Festival – die Gamescom: Was ist dort neu? Welche Bedeutung spielt die Cloud? Und: Warum begeistern dystopische Spiele und Außenseiterrollen die Gamer? Das und mehr im neuen Digitec-Podcast.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.