Bußgeld wegen Dropbox? EU-Unternehmen fordern in einem Brief Hilfe der Politik

Das Schreiben vom 3. März 2021 ist unterzeichnet von Vertretern von SAP, Telefónica Deutschland, Thyssen-Krupp, Deutscher Telekom und dem Vizepräsidenten des SPD-Wirtschaftsforums, Matthias Machnig. Adressiert ist es an den Chef des Bundeskanzleramts, Helge Braun (CDU), Bundesjustizministerin Christine Lambrecht (SPD) und Bundeswirtschaftsminister Peter Altmaier (CDU).

„Was Unternehmen auf beiden Seiten des Atlantiks nun benötigen, sind Rechtssicherheit für den Datentransfer und ein klares politisches Signal der Unterstützung, auch von der deutschen Bundesregierung“, machen die Unterzeichner des Briefs unmissverständlich klar. „Das hat für die Unternehmen erhebliche ökonomische, organisatorische und rechtliche Konsequenzen.“

EU und USA wollen Verhandlungen intensivieren

Die rechtliche Problematik für viele Unternehmen ergibt sich aus dem EuGH-Urteil, mit dem die höchsten EU-Richter im vergangenen Jahr die Datenschutzvereinbarung „Privacy Shield“ zwischen der EU und den USA kassiert hatten.

Zur Begründung gaben sie seinerzeit an, dass das Datenschutzniveau in den USA nicht den Standards in der EU entspreche. Die Richter bemängelten vor allem die weitreichenden Zugriffsmöglichkeiten von US-Geheimdiensten auf die Daten der Europäer.

Die Rechtsgrundlage, auf die sich die Amerikaner dabei stützen, ist der sogenannte „Cloud Act“. US-amerikanische Unternehmen sind demnach verpflichtet, gespeicherte Kundendaten an Strafverfolgungsbehörden in den USA weiterzugeben – etwa im Fall eines Terrorverdachts. Selbst wenn die Server im Ausland sind, können die amerikanischen Sicherheitsbehörden auf die Daten von US-Konzernen zugreifen. Damit steht das US-Gesetz im Konflikt mit der DSGVO.

Einen Ausweg aus dem Dilemma gibt es bis heute nicht. Vor wenigen Wochen hieß es in einem gemeinsamen Statement von EU-Justizkommissar Didier Reynders und US-Handelsministerin Gina Raimondo lediglich, man wolle die Verhandlungen über einen verbesserten EU-US-Datenschutzschild-Rahmen intensivieren, um dem EuGH-Urteil nachzukommen. Für die Wirtschaft sind solche Aussagen keine große Hilfe.

In ihrem Brief an die Bundesregierung schlagen die Unternehmen deshalb einen runden Tisch vor. Zusammen mit der Regierung, den Bundes- und Landesdatenschutzbeauftragten sowie betroffenen Firmen sollen in diesem Format „rechtssichere und praktikable Lösungen“ gefunden werden. Der „Spiegel“ hatte zuerst darüber berichtet.

Als Basis für die Gespräche soll ein Positionspapier dienen, heißt es in dem Schreiben, „in dem wir eine rechtliche, technische und organisatorische Umsetzungsstrategie aufzeigen“. An der Erarbeitung des Papiers waren weitere deutsche Konzerne beteiligt, darunter Siemens und Allianz sowie US-Tech-Unternehmen wie Amazon, Google und Facebook.

Nach Angaben des Bundeswirtschaftsministeriums wird dazu voraussichtlich Anfang Juni ein Treffen stattfinden. Wie bei den vorigen Treffen zu der Problematik würden daran auch Datenschutzbehörden und Unternehmensverbände sowie einzelne interessierte Unternehmen teilnehmen, sagte ein Sprecher. Die Unternehmen bräuchten kurzfristig Sicherheit, wie sie vorgehen müssten: "Hier sind die Datenschutzbehörden gefragt." Diese müssten bewerten, auf welche Maßnahmen im Einzelfall eine Datenübermittlung gestützt werden könne.

Im Kern geht es darum, der Wirtschaft schnell Antworten auf das EuGH-Urteil zu geben. In ihrem Papier stellen die Unternehmen hierzu mehrere Aspekte als besonders dringlich heraus, die Umsetzung ist indes mit etlichen Schwierigkeiten verbunden. Verlangt wird von der Bundesregierung etwa eine „konkrete Umsetzungsstrategie“, die die Anforderungen des EuGH-Urteils aufgreife und „rechtlich sichere Übergangslösungen“ schafft.

Doch schon die Forderung nach „Rechtsklarheit und praktikablen juristischen Schutzmaßnahmen im Zusammenhang mit Standardvertragsklauseln“, wie es in dem Papier heißt, ist kaum erfüllbar, wie eine Studie der Freiburger Denkfabrik CEP (Centrum für Europäische Politik) zu den Konsequenzen aus dem EuGH-Urteil zeigt.

Behörden wollen „Vollzugsdefizit“ beseitigen

„Datentransfers von Unternehmen aus der EU an Cloud-Dienste in den USA wie Microsoft, Amazon, Google oder Dropbox sind rechtswidrig, wenn die dortigen Datenempfänger den US-Überwachungsgesetzen unterliegen und Zugriff auf die Dateninhalte im Klartext haben“, sagte die CEP-Juristin Anja Hoffmann dem Handelsblatt.

Dies gelte auch dann, wenn sich die Unternehmen auf Standardvertragsklauseln oder unternehmensinterne Datenschutzregelungen stützten. Denn in diesen Fällen lasse sich der Zugriff der US-Behörden auch durch zusätzliche Datenschutzmaßnahmen nicht wirksam verhindern.

Auch an den vorgeschlagenen technischen Schutzmaßnahmen sind Zweifel angebracht. In ihrem Positionspapier schlagen die Unternehmen etwa die „Verschlüsselung der gespeicherten Daten mit Schlüsselgewalt beim Auftraggeber“ vor.

Baden-Württembergs Datenschutzbeauftragter Stefan Brink wies indes darauf hin, dass viele Datenverarbeitungen in der Cloud eine vorherige Entschlüsselung der Daten erforderten, „sodass die Transferproblematik in diesen Fällen wieder auflebt“.

Das in dem Papier ins Spiel gebrachte „Datenhosting in der EU“ ist aus Sicht Brinks zwar ein richtiger Ansatz. „Allerdings hilft das nur wenig bei US-Dienstleistern, welche dem US-Cloud-Act unterliegen und auch Daten, welche ausschließlich in der EU verarbeitet werden, ihren US-Geheimdiensten auf Anforderung ausliefern müssen“, gibt er zu bedenken. Dies betreffe alle US-Unternehmen, die Kommunikationsdienste anbieten und die deswegen derzeit „grundsätzlich nicht rechtskonform nutzbar“ seien.

Eine Langfristlösung sehen die Unternehmen in einer „Weiterentwicklung des digitalen Ökosystems“ in der EU, wie es in dem Positionspapier heißt. Konkret liegen die Hoffnungen in dem sich im Aufbau befindenden Cloud-Projekt Gaia-X.

Damit, so die Erwartung, soll eine europäische digitale Souveränität sichergestellt werden, „die auch das Risiko der Nichteinhaltung von Datenschutzstandards durch außereuropäischen Datentransfer reduziert sowie eine Nutzung der außereuropäischen Clouddienste gewährleistet“.

Doch Experten wie der Hamburger Datenschützer Johannes Caspar sehen Gaia-X kritisch – vor allem mit Blick auf die beteiligten Unternehmen, zu denen auch US-amerikanische Technologiekonzerne zählen. „Von der Frage der Mitgliedschaft und der Rolle von Unternehmen aus unsicheren Drittstaaten, der Abhängigkeit von Hyperscalern bis hin zu den Regelungen, wer in diesem Projekt wann und unter welchen Voraussetzungen zum Zuge kommen soll, bleibt doch zu viel im Dunklen“, sagte Caspar dem Handelsblatt.

Caspar bemängelte zudem, dass die Datenschutzbehörden bei der Realisierung des Projekts nicht mit an Bord sind. Angesichts des EuGH-Urteils zum „Privacy Shield“ und den grundsätzlichen Vorgaben der DSGVO zur Datenverarbeitung wäre eine „aktive Beteiligung“ der Behörden zu erwarten.

Das Datentransfer-Dilemma dürfte sich mithilfe technologischer Entwicklungen denn auch nicht in absehbarer Zeit bewältigen lassen. Die Unternehmen setzen darauf, wie es in dem Positionspapier heißt, dass im Rahmen des gegenwärtigen rechtlichen Rahmens eine Lösung gefunden werde, „welche den Datentransfer ermöglicht und nicht erschwert oder gar in einzelnen Fällen unmöglich macht“.

Die Rede ist von einem „ausgewogenen und vorausschauenden Handeln“ – auch bei den Aufsichtsbehörden. Doch auf Milde können die Firmen wohl nicht mehr vertrauen. Die Behörden wollen nun diese Woche beginnen, das bestehende „Vollzugsdefizit“ mithilfe von Fragebögen zu beseitigen. „Ziel der Aktion ist die proaktive Ansprache von Unternehmen im Rahmen einer Stichprobe“, sagte der Datenschützer Caspar.

Der EuGH verlange von den Aufsichtsbehörden „unzweideutig, unrechtmäßige Datenübermittlungen auszusetzen“, erläuterte Caspar. Möglich seien auch Strafmaßnahmen, wenn die angeschriebenen Unternehmen keine konkreten Schritte unternähmen. „Denkbare Sanktionsmöglichkeiten sind förmliche Anordnungen bis hin zu Bußgeldern“, sagte er.

Mehr: Union fordert Sanktions-Moratorium bei Datenschutzverstößen.