Privacy-Shield-Urteil: Persönliche Daten in Drittstaaten übermitteln

Auf welcher Rechtsgrundlage können Betriebe künftig personenbezogene Daten in Drittstaaten übermitteln? Ein Bündnis von Wirtschaftsverbänden warnt vor “massiven negativen Auswirkungen”, die hiesigen Unternehmen durch das “Schrems II”-Urteil des Europäischen Gerichtshofs (EuGH) drohen.

Die EuGH-Entscheidung von Mitte Juli geht auf eine Klage des österreichischen Datenschutzaktivisten Maximilian Schrems zurück. Sie besagt, dass das seit 2016 gültige “Privacy Shield”-Abkommen zwischen den USA und der EU nicht als Grundlage für die datenschutzkonforme Übermittlung personenbezogener Daten in die Vereinigten Staaten dienen kann.

Foto: IHK/ Paul Aiden Perry

In einem gemeinsamen Papier zeigen sich der Deutsche Industrie- und Handelskammertag und elf weitere Verbände besorgt über die Konsequenzen dieses Urteils für die Rechtssicherheit bei Datenübermittlungen in Länder außerhalb der EU, und sie plädieren für eine “maßvolle Umsetzung”. Dies sei umso dringlicher, als auch einige europäische Aufsichtsbehörden kürzlich die Gültigkeit der EU-Standardklauseln infrage gestellt hätten, die als alternative Rechtsgrundlage dienen konnten.

Auch für kleinere Unternehmen problematisch – gerade in Corona-Zeiten

Die Wirtschaftsvertreter verweisen auf die weltweite Vernetzung der deutschen Unternehmen. Der Datentransfer in Länder außerhalb der EU spiele nicht nur für international aufgestellte Konzerne oder weltweite Absatzmärkte eine Rolle. Auch kleinere Betriebe speicherten immer häufiger Daten in der Cloud, setzten US-amerikanische Software ein, nutzten soziale Netzwerke oder Supportleistungen aus Asien. Webkonferenzsysteme internationaler Anbieter, wie sie für die Kommunikation gerade in der Pandemie immer stärker an Bedeutung gewonnen haben, sind ebenfalls betroffen.

Nach dem EuGH-Urteil und den Zweifeln an der Gültigkeit der EU-Standarddatenschutzklauseln befänden sich die Unternehmen – und möglicherweise auch der öffentliche Sektor – in einem Dilemma, stellen die Verbände klar. Beim Datentransfer in die USA oder in andere Drittstaaten, für die es keinen Angemessenheitsbeschluss gebe, seien die Betriebe einem erheblichen rechtlichen Risiko ausgesetzt.
Zügig Nachfolgeregelung zum Privacy Shield aushandeln.

Die Unterzeichner des Papiers formulieren eine Reihe von Forderungen, die die bestehende Unsicherheit beseitigen und verhindern könnten, dass die Datenverarbeitung in der deutschen Wirtschaft erheblich blockiert wird. Dazu zählen insbesondere eine möglichst rasche Nachfolgeregelung zum Privacy Shield und eine Verbesserung der EU-Standarddatenschutzklauseln, einheitliche Informationen zum Datenschutzniveau in Drittstaaten sowie EU-einheitliche Kriterien als Anhaltspunkte für ein zulässiges Vorgehen beim Datentransfer in Drittländer.

Sofern eine Datenübermittlung in die USA nicht ausschließlich auf das Privacy Shield gestützt wird, müssten Sanktionsmaßnahmen bis zur Schaffung von Rechtsklarheit ausgesetzt werden, so die Verbände. Auch solle die erneute Rechtsunsicherheit zum Anlass genommen werden, die “teilweise überaus engen und international nicht durchgehend akzeptierten Maßstäbe der DSGVO anzupassen”.