07.06.2016 - 12:46 Uhr

DIHK Thema der Woche

Rechtssicherheit für Cloud-Dienste herstellen

Globale Datenströme benötigen rechtssichere Übertragungswege. Damit auch Cloud-Dienstleistungen ohne großen Aufwand von kleinen und mittleren Unternehmen genutzt werden können, braucht es allgemein akzeptierte Regeln. Deswegen sollte die EU-Kommission nun schnell darüber entscheiden, ob unter anderem die USA ein angemessenes Datenschutzniveau gewährleisten können.

Bisher nutzten viele Unternehmen das sogenannte Safe-Harbor-Abkommen zwischen der EU und den USA als Grundlage für eine zulässige Datenübermittlung an amerikanische Unternehmen. Es gab aber schon lange datenschutzrechtliche Bedenken gegen die Vereinbarung, weil US-amerikanischen Geheimdiensten der umfassende, anlassunabhängige Zugriff auf Daten von EU-Bürgern gestattet ist.

Europäischer Gerichtshof erklärt Abkommen mit USA für unzulässig

Ende vergangenen Jahres hat der Europäische Gerichtshof den Transfer personenbezogener Daten von der EU in die USA auf Grundlage des Safe-Harbor-Abkommens für rechtswidrig erklärt. Damit ist eine bedeutende Grundlage für die Übermittlung personenbezogener Daten weggefallen. Ob andere Rechtsinstrumente wie die EU-Standardvertragsklauseln oder Selbstverpflichtungen (Binding Corporate Rules) einen Datentransfer rechtlich zulässig machen, darüber streiten die Datenschutzaufsichten.

Neue Rechtsgrundlage gefunden?

Schon seit Jahren verhandeln EU und USA über eine neue Vereinbarung. Ergebnis ist eine politische Absichtserklärung (Privacy Shield). Sie besteht aus verschiedenen Zusicherungen der USA, künftig den umfassenden Zugriff auf Daten zu reduzieren. EU-Bürger sollen die Möglichkeit erhalten, sich an einen Bürgerbeauftragten zu wenden bzw. ein Schlichtungsverfahren zu beantragen. Die Vereinbarung soll jährlich überprüft werden. Wie bei Safe Harbor wird es eine Selbstzertifizierung der US-amerikanischen Unternehmen als Empfänger der Daten geben. Allerdings besteht die neue Möglichkeit für das US-Handelsministerium, ein Unternehmen auszuschließen, das die Regeln für die Selbstzertifizierung nicht (mehr) einhält.

Rechtsunsicherheit bleibt

Zwar scheint das neue Abkommen für die globalen Datenströme eine rechtssichere Grundlage zu schaffen, aber auch diese Vereinbarung kann vom Europäischen Gerichtshof geprüft werden. Dieser entscheidet letztendlich, ob Privacy Shield den hohen Anforderungen entspricht, und hier haben die obersten Datenschützer der EU-Mitgliedstaaten ihre Zweifel. Ihrer Meinung nach haben die US-amerikanischen Geheimdienste immer noch einen zu umfangreichen Zugriff auf die personenbezogenen Daten der EU-Bürger. Die Entscheidung über die Vereinbarung will die EU-Kommission im Juni 2016 treffen. Für die Zwischenzeit bleibt zu hoffen, dass die Datenschutzaufsichtsbehörden in Deutschland den Unternehmen nicht untersagen, im Rahmen der EU-Standardvertragsklauseln Daten in die USA zu transferieren.

Das Urteil des Europäischen Gerichtshofes zur Datenübermittlung in die USA betrifft auch den Datentransfer in andere Drittstaaten wie Russland und China. Die spannende Frage: Wie können personenbezogene Daten vor anlasslosem, umfassendem Zugriff staatlicher Stellen geschützt werden? Die in zwei Jahren geltende EU-Datenschutz-Grundverordnung gibt darauf keine neue Antwort, sondern hält an den bisherigen Instrumenten für den internationalen Datentransfer fest. Für die Unternehmen ist es daher wichtig, dass EU-Kommission und nationale Datenschutzbeauftragte sich schnell auf eine gemeinsame Linie einigen.

Ansprechpartnerin:
Annette Karstedt-Meierrieks
DIHK Berlin
Telefon 030 20308-2706