zurück zur Übersicht

11.
Oktober
2015

Datenschutz ohne sicheren Hafen - Was Unternehmen jetzt tun müssen

Seit Dienstag vergangener Woche befindet sich der Datenschutz vieler Unternehmen in rauer See. So empfinden viele Unternehmensverantwortliche jedenfalls. Einen sicheren Hafen (Safe Harbor) gibt es nicht mehr. Jedenfalls nicht, wenn Daten über den Atlantik in die Vereinigten Staaten transferiert werden.

Das Urteil des Europäischen Gerichtshofs (EuGH) hatte das Datenschutzabkommen zwischen der Europäischen Kommission und den USA für ungültig erklärt. Vordergründig zwar aus formalen Gründen, die jedoch (Stichwort Snowden) im Wesentlichen inhaltlich getragen wurden. Nicht wenige empfinden jedenfalls die Urteilsbegründung des Gerichts als ausgesprochen scharf.

Für Unternehmen, vor allem für mittelständische Unternehmen stellt sich jetzt die Frage nach den Konsequenzen. Viele unserer Mandantengespräche seit Mitte der Woche drehten sich darum. Denn das Urteil hat zumindest die Unternehmensverantwortlichen überrascht. Dabei war die Entscheidung für Datenschutzexperten abzusehen. Hilft aber nichts. Für die Einhaltung der rechtlichen Regeln sind in Unternehmen nun mal Geschäfts- und Bereichsleitung verantwortlich.

Und die sollten jetzt handeln. Allerdings ist entgegen mancher offen oder intern geäußerter Befürchtung weder Panik noch Aktionismus angesagt. Denn kurzfristig dürften aufsichtsrechtliche oder gerichtliche Konsequenzen kaum zu erwarten sein.

Aus unserer Sicht sind sechs Maßnahmen sinnvoll:

  1. Bestandsaufnahme: Unternehmen sollten als erstes prüfen, welche Datentransfers konkret betroffen sind. Der Landesdatenschutzbeauftragte von Rheinland-Pfalz, vertritt beispielsweise die Auffassung, dass jeder Betrieb, der Dienstleister wie etwa Cloud-Anbieter aus den USA nutzt, der seinerseits einen Mutter- oder Tochterkonzern mit Sitz in den USA hat oder dort Leistungen anbietet, prüfen muss, ob diese Datentransfers auch zukünftig zulässig sind.
  2. Alternativen prüfen: Wer bisher US-Anbieter beauftragt hatte, sollte statt dessen Anbieter mit Sitz in der Europäischen Union oder US-Anbieter wählen, die ihre Daten nach EU-Standards in der EU und nicht in den USA speichern. Das gilt beispielsweise für bestimmte Dienste von Apple, Amazon oder Microsoft. Letztere jedoch sehen sich gerade gezwungen, in der EU gespeicherte Daten vor Herausgabe an US-Gerichte zu verteidigen.
  3. Eigene Vereinbarungen aushandeln: Wer kann und will, sollte eigene Vereinbarungen mit seinen US-Partnern aushandeln, in denen diese sich verpflichten, die Daten innerhalb der EU und nach EU-Standards zu speichern. Allerdings sind die Anforderungen an derartige Vertragswerke sehr hoch und dürften viele kleine und mittlere Unternehmen überfordern. Eine Speicherung innerhalb der USA nach EU-Standards jedenfalls dürfte aufgrund der EuGH-Entscheidung ausgeschlossen sein.
  4. Einwilligung der Kunden einholen: Der rechtlich sichere, aber praktisch wohl kaum umsetzbare Weg ist, die Einwilligung der betroffenen Kunden in die Speicherung ihrer Daten durch US-Anbieter einzuholen. Das Problem dabei ist, dass eine solche Einwilligung freiwillig, ausdrücklich und im Regelfall schriftlich erfolgen muss. Eine entsprechende Klausel in Allgemeinen Geschäftsbedingungen (AGB) reicht nicht.
  5. Entwicklung abwarten: Manche Datenschützer empfehlen den betroffenen Unternehmen schlichtes Abwarten. Weil die Entscheidung für die meisten Unternehmen überraschend erfolgte, werde man zumindest in den ersten Tagen und Wochen Verstöße wohl nicht ahnden. Eine einheitliche Praxis der Aufsichtsbehörden wird zur Zeit abgestimmt. Außerdem verhandeln EU-Kommission und USA über ein neues Abkommen.
  6. Datenschutzhinweis überprüfen: In jedem Fall brauchen Sie eine aktualisierte Datenschutzerklärung, in der Sie vollständig und konkret Auskunft geben über die von Ihnen vorgenommene Datenverwendung.

Welche dieser Maßnahmen Sie umsetzen, hängt von Ihrer konkreten Situation ab. Überhaupt nichts zu tun, ist nach unserer Auffassung jedoch die einzige Entscheidung, die Sie nicht treffen sollten. Dazu ist der Weg bis zum nächsten sicheren Hafen zu gefährlich.

Kommentar schreiben

Autor

Jens-Oliver Müller
Rechtsanwalt und Notar, Fachanwalt für Handels- und Gesellschaftsrecht, Fachanwalt für Informationstechnologierecht
Alle Artikel vom Autor