Studie: Zahlreiche Firmen verstoßen beim Datentransfer in die USA gegen EU-Recht

Eine Erhebung zeigt, dass viele Unternehmen noch immer personenbezogene Daten in die USA übermitteln. Datenschützer drohen mit empfindlichen Bußgeldern, die Wirtschaft ist alarmiert.

Der Europäische Gerichtshof (EuGH) hatte den „Privacy Shield“ Mitte Juli 2020 für nichtig erklärt. Darin wurde geregelt, dass Unternehmen personenbezogene Daten unter bestimmten Schutzvorkehrungen von EU-Ländern in die USA übermitteln dürfen. Foto: dpa

Eine Studie zu den Konsequenzen aus der gekippten EU-US-Datenschutzvereinbarung „Privacy Shield“ alarmiert die deutsche Wirtschaft. „Es muss schnellstmöglich eine wirksame Nachfolgeregelung zum Privacy Shield zwischen der EU-Kommission und den US-Behörden ausgehandelt werden, um die dringend benötigte Rechtsunsicherheit im unverzichtbaren transatlantischen Daten- und Wirtschaftsverkehr wiederherzustellen“, sagte Iris Plöger, Mitglied der Hauptgeschäftsführung des Industrieverbands BDI, dem Handelsblatt.

Auch der Außenhandelsverband BGA sieht dringenden Handlungsbedarf. Die EU-Kommission sollte „umgehend mit der neuen US-Administration in Verhandlungen über eine wirksame Nachfolgeregelung zum Privacy Shield eintreten“, sagte BGA-Präsident Anton Börner dem Handelsblatt. Große Konzerne sowie mittelständische oder kleine Unternehmen mangele es derzeit schlicht an rechtssicheren Alternativen für den Datentransfer über den Atlantik. „Die Unternehmen benötigen nun dringend für die Datenübertragung in Drittländer zeitnah eine EU-weit gültige, maßvolle Lösung, die den Anforderungen der Datenschutz-Grundverordnung (DSGVO) entspricht.“

Hintergrund ist ein Urteil des Europäischen Gerichtshofs (EuGH). Die Luxemburger Richter hatten im Juli vergangenen Jahres eine der wichtigsten Rechtsgrundlagen für den Transfer personenbezogener Daten europäischer Bürger in die USA, den sogenannten Privacy Shield, für nichtig erklärt. Das Datenschutzniveau in den USA sei nach den europäischen Normen nicht ausreichend, hatte das Gericht erklärt.

In der Praxis kann der Richterspruch schwerwiegende Konsequenzen für Firmen nach sich ziehen, sofern sie keinen legalen Weg für den Datenaustausch finden. Denn die DSGVO sieht für Verstöße gegen die Regeln für die internationale Datenübermittlung grundsätzlich Bußgelder von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Vorjahresumsatzes vor. Wie brisant die Lage ist, zeigt eine Untersuchung der Freiburger Denkfabrik CEP (Centrum für Europäische Politik) zu den Konsequenzen aus dem EuGH-Urteil, die dem Handelsblatt vorliegt.

Die CEP-Juristin Anja Hoffmann kommt in der knapp 70-seitigen Expertise zu dem Schluss, dass zahlreiche Unternehmen aus der Europäischen Union nach wie vor illegal personenbezogene Daten in die USA übermitteln. „Datentransfers von Unternehmen aus der EU an Cloud-Dienste in den USA wie Microsoft, Amazon, Google oder Dropbox sind rechtswidrig, wenn die dortigen Datenempfänger den US-Überwachungsgesetzen unterliegen und Zugriff auf die Dateninhalte im Klartext haben“, sagte Hoffmann dem Handelsblatt.

Dies gelte auch dann, wenn sich die Unternehmen auf Standardvertragsklauseln oder unternehmensinterne Datenschutzregelungen stützten. Denn in diesen Fällen lasse sich der Zugriff der US-Behörden auch durch zusätzliche Datenschutzmaßnahmen nicht wirksam verhindern.

BDI: Rechtssicherer Datentransfer „von überragender Bedeutung“

Für die Wirtschaft ist der Befund mehr als ernüchternd, zumal ein rechtssicherer Transfer von Daten auf globaler Ebene für die stark exportorientierte deutsche Wirtschaft „von überragender Bedeutung“ ist, wie BDI-Expertin Plöger betont. Der transatlantische Datenverkehr spiele hierbei eine ganz besonders wichtige Rolle. „Insbesondere wegen der Wichtigkeit der USA als Investitionsstandort und Exportmarkt sowie als Anbieter innovativer und leistungsfähiger globaler IT-Services ist ein einfacher und rechtssicherer transatlantischer Datentransfer für die deutsche Industrie essenziell“, sagte Plöger.

Der Privacy Shield ermöglichte bislang vielen Unternehmen in der EU, personenbezogene Daten von Kunden, Mitarbeitern oder auch für die Nutzung von Internetdiensten in die USA zu transferieren und dort verarbeiten zu lassen. Eine besondere Prüfung der Angemessenheit des Datenschutzniveaus in den USA durch die Betriebe selbst war nicht notwendig.

Nach dem EuGH-Urteil steht nun ein dem europäischen Recht angemessenes Datenschutzniveau in den USA infrage. Auch die von der EU-Kommission definierten sogenannten Standarddatenschutzklauseln, mit denen der Datenexporteur in der EU personenbezogene Daten an einen Datenimporteur in den USA übermitteln darf, können als alternative Rechtsgrundlage nur bedingt helfen.

Den Unternehmen sei einseitig die Verantwortung dafür übertragen worden, ein angemessenes Datenschutzniveau für die Datentransfers im Einzelfall sicherzustellen, „ohne ihnen jedoch zugleich ein praktikables Instrumentarium für diese Mammutaufgabe an die Hand zu geben“, kritisierte Plöger. Die Prüfungs- und Anpassungsprozesse in den Unternehmen seien „enorm zeit- und kostenaufwendig“. Und dennoch können sich die Unternehmen derzeit nicht sicher sein, die Anforderungen des EuGH und des Datenschutzrechts zu erfüllen.

Hoffen auf neue US-Präsidentschaft

Den Datenschutzaufsichtsbehörden ist die Problematik bewusst. Man gebe den Unternehmen Orientierungshilfe und suche im Einzelfall auch nach „Transfermechanismen oder Schutzmaßnahmen wie etwa Verschlüsselung oder zusätzlichen vertraglichen Garantien“, um Datenübertragungen in die USA datenschutzkonform gestalten zu können, sagte Baden-Württembergs Datenschützer Stefan Brink dem Handelsblatt. „Die Möglichkeiten für legale Datentransfers bleiben aber sehr beschränkt.“

Der BDI appelliert daher an die Aufsichtsbehörden, für Datenübermittlungen in die USA, die nicht ausschließlich auf den Privacy Shield gestützt werden, Sanktionsmaßnahmen bis zur Schaffung von Rechtsklarheit auszusetzen.
Derzeit hielten sich die Aufsichtsbehörden mit Sanktionen zurück, weil viele Unternehmen auf ihre US-Dienstleister wie Microsoft, Amazon Webcloud Services, Facebook oder Google angewiesen seien, sagte Brink. Diese Zurückhaltung werde aber ihr Ende finden, sobald erste Bußgelder etwa in Frankreich oder Spanien verhängt würden. Zudem werde auch der EuGH eine „längere Untätigkeit“ der Aufsichtsbehörden nicht hinnehmen.

Aus Sicht des Hamburger Datenschützers Johannes Caspar liegt der Schlüssel für eine Lösung in den US-Sicherheitsgesetzen. „Es wird sich zeigen, ob die neue US-Präsidentschaft den Weitblick hat, das Niveau des Datenschutzes gegenüber europäischen Nutzern zu verbessern und die erforderlichen Garantien für Rechte und Freiheiten zu schaffen“, sagte Caspar dem Handelsblatt.

Die CEP-Juristin Hoffmann sieht es ähnlich. Weder ein reformierter Privacy Shield noch die von der EU-Kommission im November 2020 vorgeschlagenen neuen Standardvertragsklauseln seien zielführend, „solange die USA ihre Überwachungsgesetze nicht auf das nach EU-Recht zulässige Maß begrenzen und EU-Bürgern keine wirksamen Rechtsbehelfe gewähren“, sagte sie.

Langfristig wäre aus Sicht von Außenhandelspräsident Börner eine europäische Souveränität in Sachen Datenverarbeitung und digitaler Wirtschaft wünschenswert. „Das Projekt Gaia-X bietet hier sicherlich eine große Chance, in einer europäischen Cloud einen sicheren Datenaustausch auf der Basis europäischer Datenstandards zu gewährleisten“, sagte der BGA-Präsident. „Bis dies in der unternehmerischen Praxis Anwendung finden kann, müssen jedoch den Unternehmen Instrumente an die Hand gegeben werden, um die bestehende Rechtsunsicherheit zu beseitigen.“