Sonntag, 25. August 2019

Facebook-Urteil des EuGH Safe Harbor ist tot - es lebe der institutionelle Datenschutz!

Safe Harbor Abkommen gekippt: Viele Unternehmen müssen nach dem Urteil des EuGH schlagartig ihr Datenschutz-Budget erhöhen

Der Europäische Gerichtshof hat wie erwartet das Safe-Harbor-Abkommen für ungültig erklärt. Der Transfer von personenbezogenen Daten von der Europäischen Union in die USA unter dem "Safe-Harbor"-Regime ist damit ab sofort illegal.

Kann man als Anwalt, der Großunternehmen berät, das Urteil des EuGH zum Safe-Harbor-Abkommen gut finden? Natürlich nicht! Schließlich wird diese Entscheidung die Unternehmen kurzfristig viel Geld kosten, müssen viele doch schlagartig das Datenschutz-Budget erhöhen; und es nicht nicht auszuschließen, dass das eine oder andere Unternehmen die Grenzen der Belastbarkeit spürt, wenn sie sich jetzt ganz schnell an die neue Rechtslage anpassen und eine neue Datenschutz-Architektur installieren müssen.

Da ist es ein schwacher Trost, dass das Urteil - glaubt man Ökonomen - wenigstens keinen gesamtwirtschaftlichen Einbruch als Kettenreaktion von Firmenpleiten, Konjunktureinbruch und steigende Arbeitslosigkeit nach sich ziehen wird.

Was wäre eine Alternative zu dem sofortigen De-facto-Verbot gewesen? Als Wirtschaftsanwalt hätte ich mir gewünscht, dass der Europäische Gerichtshof den Unternehmen zumindest eine mehrmonatige Übergangsfrist gewährt hätte. Aber damit war leider nicht mehr zu rechnen, nachdem sich Generalanwalt Yves Bot in seinem Schlussantrag vor zwei Wochen so überraschend klar und deutlich gegen das seit 2000 geltende Safe-Harbor-Abkommen ausgesprochen hatte, auf das sich seinerzeit die EU-Kommission und das amerikanische Wirtschaftsministerium geeinigt hatten.

Und wer ist jetzt der Gewinner? Etwa die Verbraucher? Wohl kaum, denn bereits heute geben viele stillschweigend ihre Zustimmung zum Datentransfer, wenn sie sich bei sozialen Netzwerken anmelden oder online einkaufen gehen. Nein, für mich hat der Datenschutz gewonnen. Der Datenschutz als rechtliche Institution. Ab sofort steht das Thema bei Sitzungen von Vorstand und Aufsichtsrat oben auf der Tagesordnung. Auch die Prüfer der internen Revision werden den Datenschutz von nun an gründlicher als bisher in Betriebsprüfungen unter die Lupe nehmen.

Kleines Konjunkturprogramm für Wirtschaftsanwälte

Fest steht: Unternehmen in der Europäischen Union dürfen Kundendaten nur noch dann in Staaten mit einem niedrigeren Datenschutzniveau als in der Europäischen Union übermitteln, wenn sie bestimmte Voraussetzungen erfüllen - entweder, die nationale Datenschutzbehörde kommt nach einer gründlichen Prüfung zu dem Ergebnis, dass die Übermittlung der Daten in die USA zulässig ist; oder der konkrete Fall fällt unter eine gesetzliche Ausnahmeregelung - welche das für Deutschland sind, regelt § 4c des Bundesdatenschutzgesetzes.

Der EuGH hat aber nicht nur ein klares Urteil für mehr institutionalisierten Datenschutz in Europa gefällt, sondern - vermutlich unbeabsichtigt - auch ein kleines Konjunkturprogramm für Wirtschaftsanwälte aufgelegt. Advokaten, die sich auf Datenschutzrecht spezialisiert haben, werden sich in nächster Zeit nicht über Arbeitsmangel beklagen können.

Für deutsche und andere europäische Unternehmen, die bislang Daten auf der Grundlage von Safe-Harbor in die USA übermittelt hatten, besteht Handlungsbedarf - und zwar dringend! Zwar hatten die EU-Kommission und die USA bereits vor der Entscheidung des EuGH Verhandlungen über eine Neufassung von Safe-Harbor aufgenommen. Ob und wann diese zum Abschluss kommen, ist aber offen. Deshalb müssen sich Unternehmen nun bei grenzüberschreitenden Datentransfers umgehend nach Alternativen zu Safe-Harbor umsehen. Versäumen sie das, drohen Bußgelder, Rufschäden, Gerichtsverfahren und andere gravierende Nachteile.

Was Unternehmen jetzt tun können

Konzerne mit Tochtergesellschaften in verschiedenen Ländern können den konzerninternen grenzüberschreitenden Datentransfer auf Grundlage so genannter Binding Corporate Rules (BCRs) abwickeln. Damit sind verbindliche Unternehmensrichtlinien gemeint, die den Datenschutz und die Weitergabe personenbezogener Daten zwischen verbundenen Unternehmen regeln. Konzerne können sich so ein ihren Bedürfnissen entsprechendes Regelwerk zum Datenschutz geben. BCRs ermöglichen ein hohes Maß an Flexibilität, müssen aber vor ihrer Einführung mit den Datenschutzbehörden abgestimmt und von ihnen genehmigt werden. Ich gehe deshalb davon aus, dass die Entscheidung des EuGH den Trend zu BCRs weiter verstärken wird. Allerdings können solche verbindlichen Unternehmensrichtlinien nur die Übermittlung von Daten innerhalb eines Konzerns rechtfertigen.

Für eine Übermittlung an andere Unternehmen bieten die so genannten EU-Standardvertragsklauseln eine Alternative zu Safe-Harbor. Übermittler und Empfänger der Daten schließen einen Vertrag auf Grundlage der von der EU-Kommission beschlossenen Standardvertragsklauseln. Diese sind zwar weniger flexibel und zudem deutlich aufwendiger zu handhaben als BCRs, lassen sich dafür aber erfahrungsgemäß schnell implementieren.

In jedem Fall kommt auf deutsche und andere europäische Unternehmen beim Datenschutz viel Arbeit zu. Und das ist erst der Anfang. Nach dem derzeitigen Verhandlungsstand soll die in Brüssel geplante EU-Datenschutz-Grundverordnung (GVO) das Bundesdatenschutzgesetz und andere europäische nationale Regelungen spätestens 2018 ablösen. Auch die GVO wird umfassende weitere Anpassungen bestehender Datenschutzprozesse im Unternehmen nötig machen.

Tim Wybitul gehört der Sozietät Hogan Lovells seit 2011 als Partner an. Am Standort Frankfurt ist er in den Bereichen Arbeitsrecht, Datenschutz, Compliance und interne Ermittlungen tätig. Er leitet dort den Bereich Compliance & Investigations.

© manager magazin 2015
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung