Wien. Nach dem EuGH-Urteil im Fall „Schrems gegen Facebook“ ergibt sich Handlungsbedarf für Unternehmen, heißt es bei CMS: Die persönlichen Daten europäischer Internetnutzer sind nach Ansicht des EuGH in den USA nicht ausreichend vor dem Zugriff von Behörden geschützt. Daher hat der Transfer solcher Daten auf US-Server künftig zu unterbleiben; das gilt z.B. auch für Cloud-Angebote. Man werde wohl demnächst von der österreichischen und den übrigen nationalen Datenschutzbehörden hören, wie mit dieser Situation umzugehen ist. Die österreichischen Internetprovider sehen das Urteil als Aufrag für mehr Datenschutz, warnen aber auch vor Abschottung der EU.
Das Safe Harbour-Regime basiert auf einem Vertrag zwischen der EU und den USA, das eine Selbstzertifizierung der US-Unternehmen vorsieht. Alle Unternehmen, die in der Liste der US-Regierung als zertifiziert eingetragen waren, sollten so behandelt werden, als wären sie europäische Gesellschaften im Hinblick auf das Datenschutzrecht. Diese Zertifizierung war bis dato ein Garant dafür, dass das jeweilige Unternehmen europäische Datenschutzstandards einhält, so die Wirtschaftskanzlei CMS.
Weitreichende Konsquenzen
Die heutige EuGH-Entscheidung habe für Unternehmen in den USA und Europa weitreichende Konsequenzen: Ein Übermitteln oder Überlassen von Daten in die USA oder in Clouds von US-Unternehmen unter dem Safe Harbour-Regime sei nun nicht mehr möglich. Die US-Anbieter müssen sich nun einen Plan-B überlegen, um weiterhin für europäische Unternehmen tätig sein zu können.
Aber auch auf die europäische Cloud-Wirtschaft seien die Auswirkungen wahrscheinlich groß: Als vorläufige Konsequenz müsste ein österreichisches Unternehmen entweder Einzelpersonen um Zustimmung zur Datenweitergabe in die USA bitten, oder aber es müsste eine aufwändige Einzelfallprüfung durch die österreichische Datenschutzbehörde erfolgen, zum Beispiel, ob der Empfänger in den USA dem PRISM-Programm unterliegt oder nicht.
Eine weitere Alternative ist der Abschluss von sog. „Standardvertragsklauseln“, welche allerdings ebenfalls auf einer Entscheidung der EU-Kommission beruhen und nach dem nunmehrigen Urteil möglicherweise auch zu Fall gebracht werden könnten.
Es bleibe abzuwarten, wie die nationalen Datenschutzbehörden mit der vorliegenden Entscheidung umgehen werden. Es sei wohl in naher Zukunft eine Veröffentlichung bzw. Empfehlung zu erwarten, wie der nunmehr rechtswidrige Zustand der Datenweitergabe in die USA zu sanieren ist, so CMS.
Internetprovider: „Klares Zeichen“
Alleine schon das Verfahren – aber jetzt natürlich auch das Urteil – sei ein starkes Zeichen für den Schutz der Grund- und Menschrechte im Internet und zeige, dass die Sensibilisierung für dieses Thema steigt, so Österreichs Internetprovider-Vereinigung ISPA. Es sei dies ein ganz klares Signal gegen Massenüberwachung und Zensur und als klaren Auftrag an den Gesetzgeber; und zwar nicht nur in den USA und der EU, sondern auch in Österreich, wo beispielsweise beim Staatsschutzgesetz oder den Netzsperren speziell im Bereich des Rechtsschutzes mit mehr Sorgfalt vorgegangen werden sollte, wie es heißt.
Gleichzeitig gibt die ISPA zu bedenken, dass das Internet auf Datenaustausch beruht. Sofern keine Nachfolgeregelung gefunden werden kann, würde die ersatzlose Streichung von Safe Harbor diesen Datenaustausch bzw. Datentransfer über die Grenzen der EU hinweg deutlich erschweren und könnte somit schlimmstenfalls zu einer Abkapselung der EU führen. Das würde die weitere Entwicklung der digitalen Wirtschaft sowie des Internets stark behindern beziehungsweise das damit verbundene Potential deutlich reduzieren.
Bei allen Defiziten habe Safe Harbor für eine einheitliche Vorgehensweise bei der Datenübertragung und damit deutlich zur Rechtssicherheit vor allem bei KMUs beigetragen. Diese stellen über 60% der Safe Harbor Teilnehmer dar und seien durch das Aussetzen besonders stark betroffen, da sie nicht über die erforderlichen Ressourcen verfügen, Einzelgenehmigungen für jeden Transfer durch die Datenschutzbehörde zu tragen.
Darüber hinaus habe Safe Harbor bei rund 4.000 US-amerikanischen Unternehmen dafür gesorgt, dass europäische Datenschutzstandards von diesen akzeptiert und angewandt wurden. Natürlich bestehe aber – speziell bei der Frage der Überwachung durch fremde Nachrichten- und Geheimdienste – enormes Verbesserungspotential, so die ISPA.
Daher soll aus ISPA-Sicht das heutige Urteil als Chance gesehen und genutzt werden, das Datenschutzniveau zu vereinheitlichen und praktikabel zu gestalten sowie die Einhaltung durch sinnvolle Überprüfungsmaßnahmen für alle am europäischen Markt tätigen Unternehmen sicherzustellen. „Unternehmen brauchen klare und praktikable Regelungen“, so Maximilian Schubert, Generalsekretär der ISPA. „Ein Übererfüllen der datenschutzrechtlichen Standards ist zudem eine klare Chance für Unternehmen, sich dadurch vom Mitbewerb abzuheben – was ja heute auch schon von einigen praktiziert wird.“
Link: CMS
