Wien – Bis vor wenigen Tagen galten US-Unternehmen, die sich zur Einhaltung der Grundsätze des EU-Datenschutzrechts verpflichteten, als "sicher". Personenbezogene Daten konnten daher an solche Unternehmen ohne weitere Hürden exportiert werden.

Seitdem der Europäische Gerichtshof diese "Safe Harbor"-Entscheidung der Europäischen Kommission für ungültig erklärt hat, müssen US-Unternehmen genauso behandelt werden wie Unternehmen aus anderen nicht sicheren Drittländern wie China oder Indien. Dies bedeutet, dass viele österreichische Unternehmen ihre Compliance-Management-Systeme anhand dieser neuen Rahmenbedingung ausrichten müssen.

Standardvertrag

Zunächst sollte jedes Unternehmen rasch prüfen, welche Daten in die USA transferiert werden. Um den unzureichenden Datenschutz in den USA zu kompensieren, muss nun jedes Unternehmen mit Sitz in der EU mit seinen Datenempfängern in den USA einen Standardvertrag abschließen, wie er von der EU-Kommission veröffentlicht wurde. Hinzu kommt in Österreich – als lediglich einem von drei EU-Mitgliedstaaten – außerdem, dass zusätzlich die Genehmigung der Datenschutzbehörde beantragt und abgewartet werden muss. Eine solche Genehmigung dauert derzeit einige Wochen und kann bei erhöhtem Andrang auch Monate in Anspruch nehmen.

Da die Genehmigung bei Vorlage der korrekt unterfertigten Standardverträge erteilt werden muss, ohne dass der Behörde ein Entscheidungsspielraum zukäme, stellt der Genehmigungsvorbehalt keinen erhöhten Schutz, sondern lediglich einen Papiertiger dar. Klar ist aber, dass sich die Vielzahl der österreichischen Unternehmen, die Daten ohne Genehmigung in die USA transferieren, jetzt in einem rechtswidrigen Zustand befindet. Die Entscheidung des EuGH räumt nämlich keine Übergangsfrist ein.

Tatsächlich wurden im Jahr 2014 lediglich 78 Anträge auf Genehmigung eines Datenexports bei der Datenschutzbehörde gestellt. Der Großteil der Unternehmen verzichtet offensichtlich auf die erforderliche Genehmigung. Der Papiertiger Genehmigungsvorbehalt macht daher in der Praxis nur jenen Unternehmen zu schaffen, die ohnedies ein relativ hohes Niveau an Datenschutz-Compliance praktizieren.

Wenig Schutz in der EU

Eine echte Verbesserung des Datenschutzes wird durch die Aufhebung von Safe Harbor unabhängig von der seltenen Befolgung der Genehmigungspflicht kaum erreicht. Denn erstens erstrecken sich die auch vom EuGH kritisierten vermeintlichen Aktivitäten der US-Geheimdienste auch auf Daten, die in der EU verbleiben. Hürden für den Datenexport in die USA schützen davor wohl nicht.

Zweitens wird auch den britischen, französischen und deutschen Geheimdiensten nachgesagt, innerhalb der EU höchst aktiv zu sein und den innereuropäischen Internetverkehr weitgehend zu überwachen.

Drittens vertreten US-Gerichte ohnedies die Rechtsauffassung, dass sie Unternehmen, die eine Niederlassung in den USA haben, zur Herausgabe von Daten auch dann zwingen können, wenn sich die Daten in der EU befinden. Den Export von Daten in die USA zu erschweren schützt die Daten vor US-Behörden daher auch rechtlich nur unzureichend.

Safe Harbor wurde zu Recht vielfach kritisiert. So bemängelte der EuGH, dass EU-Bürger in den USA bei Datenschutzverletzungen keinen Rechtsschutz genießen. Darüber hinaus sah Safe Harbor einen pauschalen Vorbehalt für Aktivitäten der US-Behörden im Bereich der nationalen Sicherheit vor. Aus diesen Gründen hält der EuGH Safe Harbor nicht mit den europäischen Grundrechten für vereinbar. Darüber hinaus urteilte der EuGH, dass die EU-Kommission auf Grundlage der EU-Datenschutzrichtlinie gar nicht die Kompetenz hätte, für alle Mitgliedstaaten verbindlich festzulegen, ob das Datenschutzniveau in den USA angemessen ist.

Neuer Schwung

Das Urteil könnte Schwung in die bereits laufenden Verhandlungen zu "Safe Harbor 2" bringen. Eine Neuregelung wird die Kritikpunkte des EuGH zumindest größtenteils adressieren müssen. Ob dies dann aber tatsächlich zu einem angemessenen Datenschutzniveau in den USA führt, hätte – so der EuGH – nach der geltenden EU-Datenschutzrichtlinie jede nationale Datenschutzbehörde für sich zu beurteilen.

Ob "Safe Harbor 2" effektiver sein wird als die aufgehobene Regelung, hängt auch von den europäischen Datenschutzbehörden ab. Die U.S. Federal Trade Commission, die für die Durchsetzung der alten Vereinbarung in den USA zuständig war, erhielt in den Jahren 2000 bis 2010 keine einzige und in den folgenden Jahren nur wenige Beschwerden einer europäischen Datenschutzbehörde wegen einer möglichen Verletzung der Regelung. (Lukas Feiler, Alexander Petsche, 19.10.2015)