Deutsche Märkte öffnen in 1 Stunde 21 Minute
  • Nikkei 225

    28.864,32
    -65,79 (-0,23%)
     
  • Dow Jones 30

    30.924,14
    -345,95 (-1,11%)
     
  • BTC-EUR

    39.406,34
    -2.362,24 (-5,66%)
     
  • CMC Crypto 200

    942,13
    -45,08 (-4,57%)
     
  • Nasdaq Compositive

    12.723,47
    -274,28 (-2,11%)
     
  • S&P 500

    3.768,47
    -51,25 (-1,34%)
     

Stefan Brink: „Unternehmen sind mit einer massiven Bußgeldgefahr konfrontiert“

Neuerer, Dietmar
·Lesedauer: 5 Min.

Nach einem EuGH-Urteil können Firmen nicht mehr ohne Weiteres Daten in die USA übermitteln. Für Datenschützer Brink könnte langfristig das Cloud-Projekt Gaia-X eine Lösung sein.

Der Landesdatenschützer sieht Unternehmen wegen des Datentransfers in die USA in einem Dilemma. Foto: dpa
Der Landesdatenschützer sieht Unternehmen wegen des Datentransfers in die USA in einem Dilemma. Foto: dpa

Baden-Württembergs Datenschutzbeauftragter Stefan Brink sieht deutsche Firmen, die personenbezogene Daten in die USA übermitteln, einem erheblichen Bußgeldrisiko ausgesetzt. Hintergrund ist, dass es bislang keine Nachfolgeregelung der vom Europäischen Gerichtshof (EuGH) gekippten EU-US-Datenschutzvereinbarung „Privacy Shield“ gibt. Die europäischen Unternehmen seien aktuell „mit einer massiven Bußgeldgefahr konfrontiert und benötigen rasche Lösungen“, sagte Brink dem Handelsblatt.

Trotz Orientierungshilfen der Aufsichtsbehörden blieben die Möglichkeiten für legale Datentransfers „sehr beschränkt“, so Brink. In „zahllosen Fällen“ verstießen Unternehmen gegen die Datenschutz-Grundverordnung (DSGVO), etwa wenn US-Dienstleister von Unternehmen mit Sitz in der EU weiter eingesetzt würden. Auch der Einsatz von Standardvertragsklauseln ohne notwendige zusätzliche Garantien bleibe rechtswidrig.

Zwar hielten sich die Aufsichtsbehörden mit Bußgeldern „sehr zurück“, weil viele Unternehmen auf ihre US-Dienstleister wie Microsoft, Amazon Webcloud Services, Facebook oder Google angewiesen seien. Diese Zurückhaltung werde aber ihr Ende finden, sobald erste Bußgelder etwa in Frankreich oder Spanien verhängt würden, glaubt der Datenschützer. Zudem werde auch der EuGH eine „längere Untätigkeit“ der Aufsichtsbehörden nicht hinnehmen.

Die Luxemburger Richter hatten im Juli 2020 den bisherigen Datenschutzschild für ungültig erklärt, da mit Blick auf Zugriffsmöglichkeiten der US-Behörden die Anforderungen nicht gewährleistet seien. Zudem sei der Rechtsschutz für Betroffene unzureichend.

Lesen Sie hier das komplette Interview:

Herr Brink, wie geht Ihre Behörde mit den Folgen des EuGH-Urteils um?
Wir klären Unternehmen und Behörden über die neue Rechtslage auf. Dazu haben wir eine inzwischen weit verbreitete Orientierungshilfe herausgegeben, die nicht nur die extrem schwierige Transfersituation beschreibt, sondern auch Lösungsansätze aufzeigt. Darüber hinaus suchen wir im Einzelfall nach möglichen Transfermechanismen oder Schutzmaßnahmen wie etwa Verschlüsselung oder zusätzlichen vertraglichen Garantien, wie wir sie gemeinsam mit Microsoft im November entwickelt und präsentiert haben. Die Möglichkeiten für legale Datentransfers bleiben aber sehr beschränkt.

Verstoßen Unternehmen, die rechtswidrige Datentransfers nicht einstellen wollen oder können, gegen die Datenschutz-Grundverordnung (DSGVO)?
Ja.

Können Sie das in Zahlen beziffern?
Das geschieht nach wie vor in zahllosen Fällen, etwa wenn US-Dienstleister von Unternehmen mit Sitz in der EU weiter eingesetzt werden. Nicht selten berufen sich Unternehmen dazu auf das ungültige Transferabkommen Privacy Shield. Auch der fortgesetzte Einsatz von Standardvertragsklauseln ohne notwendige zusätzliche Garantien bleibt rechtswidrig.

Auf US-Dienstleister angewiesen

Müssen diese Unternehmen dann mit hohen Geldstrafen rechnen?
Ja, es werden auf breiter Linie Bußgeldtatbestände erfüllt. Allerdings halten sich die Aufsichtsbehörden sehr zurück, deswegen auch tatsächlich Bußgelder zu verhängen.

Warum?
Viele Unternehmen fühlen sich auf ihre US-Dienstleister wie Microsoft, Amazon Webcloud Services, Facebook oder Google angewiesen, einige sind es auch. Diese Zurückhaltung der Aufsicht hängt auch damit zusammen, dass die berechtigte Kritik des EuGH an den überbordenden Überwachungsmaßnahmen von US-Sicherheitsbehörden nicht in eine Bestrafung europäischer Unternehmen münden sollte, zumal Unternehmen in Europa wie in den USA keinerlei Einwirkungsmöglichkeit auf das Überwachungsgebaren von US-Behörden haben.

Dann haben die Unternehmen also gar nichts zu befürchten?
Das kann man so nicht sagen. Die Zurückhaltung der deutschen Datenschutzbehörden wird ihr Ende finden, sobald erste Bußgelder etwa in Frankreich oder Spanien verhängt werden. Auch der EuGH wird eine längere Untätigkeit der Aufsichtsbehörden, wie wir sie nach seiner absolut vergleichbaren Safe-Harbor-Entscheidung von 2015 erlebt haben, nicht hinnehmen. (Das Safe-Harbor-Abkommen galt vor dem Privacy Shield und war von den Luxemburger Richtern mit ähnlicher Begründung gekippt worden; Anm. d. Red.)

Bei welchen amerikanischen Produkten bestehen datenschutzrechtliche Zweifel, weil die Zugriffsmöglichkeiten auf personenbezogene Daten, etwa in der Cloud, problematisch sind?
Betroffen sind praktisch alle US-Produkte, Ausnahmen sind nur denkbar bei reinen Cloud-Speichern, die eine Verschlüsselung durch den Nutzer zulassen, oder Nischenprodukten, die zum Beispiel nicht unter den Cloud-Act fallen (Dieses Gesetz verpflichtet US-amerikanische Unternehmen, gespeicherte Kundendaten an Strafverfolgungsbehörden in den USA weiterzugeben - etwa im Fall eines Terrorverdachts; Anm. d. Red.). In allen anderen Fällen kann man zwar das Risiko des Zugriffs von US-Behörden minimieren, aber nicht völlig ausschließen. Und bereits das führt zur Rechtswidrigkeit.

Zusätzliche Garantien als gangbarer Weg

Wie könnten für Unternehmen Lösungen für das Dilemma der Datenübermittlung in die USA aussehen?
Lösungsmöglichkeiten haben wir in unserer aktuellen Orientierungshilfe vorgestellt. Gangbar könnte der Weg über zusätzliche Garantien zu den Standardvertragsklauseln sein.

Wäre es auch möglich, dass Unternehmen Daten ausschließlich in der EU speichern oder ausschließlich Datenverarbeiter nutzen, die dies tun?
Ja, im Prinzip ist das der richtige Ansatz. Allerdings hilft das nur wenig bei US-Dienstleistern, welche dem US-Cloud-Act unterliegen und auch Daten, welche ausschließlich in der EU verarbeitet werden, ihren US-Geheimdiensten auf Anforderung ausliefern müssen. Dies betrifft etwa alle US-Unternehmen, welche Kommunikationsdienste anbieten und die deswegen derzeit grundsätzlich nicht rechtskonform nutzbar sind.

Wäre es dann sinnvoll, wenn die Kontrolle über die Daten allein bei EU-Unternehmen ohne US-Bezug verbleibt?
Ja. Allerdings gibt es für eine Reihe von Dienstleistungen keine EU-Anbieter, da US-Unternehmen marktbeherrschend sind. Klug ist auch die Idee einzelner US-Unternehmen, durch Joint Ventures mit EU-Unternehmen sich rechtlich vom US-Cloud-Act zu befreien. Es bleibt abzuwarten, ob die US-Regierung solche Versuche toleriert.

Könnte die geplante Schaffung von Gaia-X als erster europäischer Cloud zumindest langfristig eine Lösung sein?
Sehr langfristig, durchaus. Aber die europäischen Unternehmen sind aktuell mit einer massiven Bußgeldgefahr konfrontiert und benötigen rasche Lösungen.

Vielen Dank für das Interview.