Die irische Datenschutzaufsicht hat gegen das US-Unternehmen ein Rekordbußgeld verhängt.
Berlin Spitzenverbände der deutschen Wirtschaft haben vor Verzögerungen bei dem angestrebten neuen Rechtsrahmen zur Übermittlung der Daten von Europäern in die USA gewarnt. Hintergrund ist die Sorge, dass sich viele betroffene deutsche Unternehmen einem akuten Bußgeldrisiko ausgesetzt sehen, wenn sie weiter ohne Rechtsgrundlage Daten auf Servern in den USA verarbeiten.
Datenschützer sehen in dieser Hinsicht das jüngste Rekordbußgeld gegen den Facebook-Mutterkonzern Meta wegen Verstößen gegen den Datenschutz als Präzedenzfall, der auf alle Unternehmen übertragbar ist. Iris Plöger, Mitglied der Hauptgeschäftsführung des Bundesverbands der Deutschen Industrie (BDI), sieht die Wirtschaft in einem Dilemma. „Ohne Datentransfers sind Cloud-Lösungen und Software, wie beispielsweise Videokonferenzsysteme, von US-Anbietern in der Regel nicht nutzbar“, sagte sie dem Handelsblatt.
Unternehmen müssten deshalb derzeit „aufwendige, individuelle Vorprüfungen“ durchführen und zusätzliche Schutzmaßnahmen ergreifen. Es bestehe aber immer das Risiko eines Verstoßes gegen die Datenschutz-Grundverordnung (DSGVO), weil unklar sei, was für diese Schutzmaßnahmen im Einzelfall gelte.
Plöger bemängelte, dass für den transatlantischen Transfer personenbezogener Daten seit drei Jahren ein „Angemessenheitsbeschluss zum US-Datenschutzniveau als allgemeine Rechtsgrundlage“ fehle und forderte eine „zügige“ Lösung.
Die lässt jedoch noch auf sich warten, obwohl es zuletzt Bewegung gab. Im Oktober hatte US-Präsident Joe Biden eine Verfügung erlassen, in der die Maßnahmen aufgeführt sind, die die USA ergreifen werden, um ein mögliches neues Datenschutzabkommen mit der EU zu schließen.
Datenschützerin ruft Unternehmen zum Handeln auf
Die EU-Kommission hatte daraufhin im Dezember ein Verfahren eingeleitet, das den USA ein angemessenes Schutzniveau für personenbezogene Daten bescheinigen soll, die aus der EU an Unternehmen in den USA übermittelt werden. Jedoch haben die EU-Staaten der Empfehlung der Kommission noch nicht zugestimmt.
>> Lesen Sie auch: „Aussitzen ist keine gute Idee“ – Wie Meta drohen auch deutschen Firmen hohe EU-Strafen
Die Deutsche Industrie- und Handelskammer (DIHK) mahnte ebenfalls zur Eile bei dem Thema. Denn wegen eines Urteils des Europäischen Gerichtshofs (EuGH) vom Juli 2020, wodurch das bis dahin gültige Datenabkommen namens „Privacy Shield“ gekippt wurde, bestünden immer noch „massive negative Auswirkungen für die deutsche Wirtschaft“, sagte DIHK-Chefjustitiar Stephan Wernicke dem Handelsblatt. „Die USA und die EU brauchen ein rechtssicheres Abkommen, um den Fortbestand von Datenflüssen zwischen der EU und den USA langfristig zu gewährleisten.“
Bislang gab es einen Ausweg: Die EU-Kommission stellte den Unternehmen sogenannte Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer zur Verfügung. Die irische Datenschutzbehörde hat diese Klauseln jedoch mit ihrer Entscheidung gegen Meta für unwirksam erklärt. Betroffen seien davon nicht nur die in den USA beheimateten Unternehmen, sondern auch deutsche Unternehmen „aller Größen“, sagte Wernicke.
Marit Hansen, Datenschutzbeauftragte von Schleswig-Holstein, riet diesen Firmen, die Übermittlung von Daten an US-Cloud-Anbieter dringend zu beenden. Andernfalls könnten Bußgelder wie bei Meta verhängt werden. Die Gefahr ist akut: „In Hunderten Fällen führen Datenschutzbehörden Ermittlungsverfahren wegen Datenübermittlungen in die USA“, sagte der Hamburger Datenschützer Ulrich Kühn.
DIHK warnt vor „kaum aufzuholenden Rückschritten“ für die Wirtschaft
Der DIHK-Chefjustiziar verlangte bis zu einem neuen EU-US-Datenabkommen „pragmatische Lösungen“ – auch im Hinblick auf den Datentransfer in weitere Drittstaaten. „Denn selbst wenn der internationale Datenverkehr nur vorübergehend einbricht, verursacht dies erhebliche Umstellungskosten und kaum aufzuholende Rückschritte für die europäische Wirtschaft“, sagte er.
Wernicke appellierte an die EU-Kommission und die Datenschutzaufsichtsbehörden, „zeitnah“ einheitliche Informationen zum Datenschutzniveau in Drittstaaten herauszugeben, damit nicht jede Behörde und jedes Unternehmen dies selbst ermitteln müsse. „Der rechtssichere Austausch von personenbezogenen Daten auch zwischen verschiedenen Rechtsräumen ist eine unerlässliche Grundlage für eine erfolgreiche digitale Transformation“, betonte er.
Wernicke mahnte, die Unternehmen nicht mit den momentan noch ungelösten Rechtsfragen allein zu lassen. Denn bei dem EuGH-Urteil zum „Privacy Shield“ handele es sich um „eine extraterritorial wirkende datenschutzrechtliche Entscheidung der EU gegenüber dem Recht eines Drittstaates“, worauf die Unternehmen keinen unmittelbaren Einfluss hätten, erläuterte der DIHK-Jurist.
Aus Sicht der Unternehmen bedürfe es daher endlich einer „umfangreichen“ politischen Lösung. Für problematisch hält Wernicke die teilweise „vollkommen widersprüchlichen“ Maßstäbe und Auslegungen der DSGVO innerhalb der EU sowie in den Bundesländern, auch in Bezug auf staatliche Zugriffsbefugnisse. Dies dürfe nicht weiter auf dem Rücken der Unternehmen ausgetragen werden.
„Daher sind verstärkte Anstrengungen sowohl der Bundesregierung als auch der Europäischen Kommission überfällig, um schnell Rechtssicherheit für Unternehmen sowie eine langfristige rechtssichere Lösung herbeizuführen“, sagte Wernicke.
