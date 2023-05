Düsseldorf, Berlin Nach der Rekordstrafe gegen Meta wegen Verstößen gegen den Datenschutz steigt auch für deutsche Unternehmen das Risiko von hohen Strafzahlungen. Datenschützer sehen in der Entscheidung einen Präzedenzfall, der auf alle Unternehmen übertragbar ist, die Daten auf Servern in den USA verarbeiten – etwa bei der Nutzung von Cloud-Diensten.

Wenn Unternehmen „in ähnlicher Weise personenbezogene Daten unzulässig übertragen, sollten sie dies dringend abstellen und ihre Verarbeitung ändern“, sagte Marit Hansen, Datenschutzbeauftragte von Schleswig-Holstein, dem Handelsblatt. Andernfalls könnten Bußgelder wie bei Meta verhängt werden. „Für den Fall, dass eine Aufsichtsbehörde eine vergleichbare Situation in ihren Prüfungen feststellen würde, wären auch die Konsequenzen vergleichbar.“

Die Gefahr ist akut: Bundesweit waren bereits vor dem Urteil viele Unternehmen ins Visier der Aufsichtsbehörden geraten. „In Hunderten Fällen führen Datenschutzbehörden Ermittlungsverfahren wegen Datenübermittlungen in die USA“, sagte der Hamburger Datenschützer Ulrich Kühn dem Handelsblatt.

Mit dem Meta-Urteil haben sie jetzt ein scharfes Schwert in der Hand. Die irische Datenschutzaufsicht hatte jüngst entschieden, dass Facebook die Daten von EU-Bürgern nicht ausreichend vor dem Zugriff von US-Behörden geschützt habe, und ein Bußgeld in Höhe von 1,2 Milliarden Euro gegen Mutterkonzern Meta verhängt. Das Management will die Entscheidung anfechten.

Die meisten Unternehmen geben sich nach außen zwar noch gelassen, im Hintergrund wächst aber die Nervosität. Bayer kündigte auf Anfrage bereits an, das Urteil „intern zu prüfen“.

Die großen drei dominieren den Markt

Ohne Amazon Web Services, Microsoft und Google organisiert kaum ein europäischer Konzern mehr sein Geschäft. Die Cloud-Dienste der amerikanischen Anbieter ermöglichen die Arbeit im Homeoffice, vernetzen Fabriken und Logistik und sind die Grundlage für Künstliche Intelligenz. Der Marktanteil der großen drei liegt nach Einschätzung des Marktforschers Synergy Research aktuell bei 72 Prozent und steigt immer weiter.

Diese Abhängigkeit ist jedoch bedenklich. Der Europäische Gerichtshof (EuGH) kam nach Klagen des Datenschutzaktivisten Max Schrems gleich in zwei Verfahren zu dem Ergebnis, dass in den USA wegen der weitreichenden Befugnisse der Geheimdienste kein vergleichbares Datenschutzniveau wie in der EU existiere, und kippte die Abkommen, die als Grundlagen für den Datentransfer dienten – 2015 zuerst „Safe Harbor“, 2020 dann „Privacy Shield“.

Die Cloud-Dienstleister bieten zwar die Option, die Daten der Kunden weitgehend in europäischen Rechenzentren zu verarbeiten. Microsoft etwa sichert mit der „EU Data Boundary“ zu, den Datenfluss aus der EU „erheblich“ zu reduzieren. Ganz ohne Verbindung in die Zentrale wird es jedoch schwierig, beispielsweise, wenn Updates oder Fehleranalysen anstehen.

Datenschützer verweisen zudem darauf, dass Unternehmen mit Sitz in den USA auch dann Daten an Behörden herausgeben müssen, wenn diese im Ausland gespeichert sind – das verlangt der seit 2018 geltende Cloud Act. „Das ist zum Beispiel der Fall, wenn Zugriffsrechte für Wartungs- und Supportzwecke eingerichtet sind“, erklärte der Hamburger Datenschützer Kühn.

Entscheidung gegen Meta schließt Hintertür

Bislang gab es einen Ausweg: Die EU-Kommission stellte den Unternehmen sogenannte Standardvertragsklauseln zur Verfügung. Über sie werden zusätzliche Datenschutzmaßnahmen vereinbart. Tausende europäische Unternehmen dürften auf dieser Basis Daten mit US-Standorten austauschen.

Diese Hilfslösung hat die irische Datenschutzbehörde mit ihrer Entscheidung gegen Meta aber für unwirksam erklärt. Die Standardvertragsklauseln seien zwar für den Verarbeiter der Daten und den Empfänger verbindlich, „sie können aber die US-Behörden nicht binden“, teilte die Behörde auf Anfrage des Handelsblatts mit.

Die irische Datenschutzaufsicht hat gegen das US-Unternehmen ein Rekordbußgeld verhängt. (Foto: dpa) Facebook-Mutterkonzern Meta

Das Konstrukt sei „nicht in der Lage, die mit dem US-Recht verbundenen Probleme im Zusammenhang mit der staatlichen Überwachung durch US-Behörden zu lösen“.

Dieser Interpretation dürften nach Einschätzung in Juristenkreisen bald schon Gerichte in ganz Europa folgen: Die als wirtschaftsfreundlich geltende irische Behörde wurde vom Europäischen Datenschutzausschuss (EDSA), in dem sich die nationalen Datenschutzbehörden koordinieren, per Mehrheitsbeschluss zum Votum gegen Meta gezwungen. Mehrere Anwälte berichten, dass sich diese Linie in laufenden Verfahren bereits bemerkbar mache.

„Entscheidung mit europaweiter Signalwirkung“

Unter Juristen schlägt die Entscheidung hohe Wellen. „Das ist eine Entscheidung mit europaweiter Signalwirkung“, sagte Tim Wybitul von der Kanzlei Latham & Watkins, der aufs Datenschutzrecht spezialisiert ist und mehrere Konzerne vertritt.

Die Kombination aus einer strikten Rechtsauslegung und einem Milliardenbußgeld verlange von Unternehmen eine „neue Risikobewertung“. Zumindest, solange die Entscheidung vor Gericht Bestand habe.

„Die Unternehmen sind in einem Dilemma“, betonte Wybitul. „Wenn zwei Rechtsordnungen aufeinanderprallen, ist es kaum möglich, sich rechtskonform zu verhalten.“ Solange die Lage nicht geklärt sei, gehe es um Schadensminimierung.

Sprich: Die Rechtsabteilungen bemühen sich um eine Lösung – und hoffen, dass die Behörden diese akzeptieren, sobald es zu einem Verfahren kommt.

Wenn die Aufsichtsbehörden Verstöße feststellen, kann es aber teuer werden. Die Datenschutz-Grundverordnung (DSGVO) räumt die Möglichkeit ein, bei Konzernen Bußgelder zu verhängen, die bis zu vier Prozent des weltweiten Jahresumsatzes ausmachen – sich also auf Milliarden summieren können.

In den fünf Jahren seit Mai 2018, in denen das Regelwerk gilt, verhängten europäische Behörden in mehr als 1500 öffentlich bekannten Fällen bereits Strafen von insgesamt 2,7 Milliarden Euro, wie die Wirtschaftskanzlei CMS ermittelt hat.

Wie Bayer, Deutsche Bank und Mercedes reagieren

Das Urteil aus Irland wird in den Rechtsabteilungen unter Hochdruck geprüft. Noch geben sich die meisten Unternehmen aber gelassen. Die Deutsche Bank, die Technologien von Google und Oracle nutzt, hält beispielsweise den Meta-Fall nicht für vergleichbar mit den eigenen Partnerschaften.

„Die Speicherung personenbezogener EU-Kundendaten innerhalb der EU war und bleibt weiterhin die Grundlage für die Anwendungsmigration in die Cloud“, erklärte der Konzern. Das Kreditinstitut könne bei den Anwendungen auswählen, in welcher Region sie betrieben würden. „Damit stellen wir sicher, dass Präferenzen und Vorgaben zum Datenstandort erfüllt werden.“

Das Finanzinstitut hält den Meta-Fall nicht für vergleichbar mit den eigenen Partnerschaften. (Foto: dpa) Zentrale der Deutschen Bank in Frankfurt

Allerdings sind sich die Unternehmen schon lange bewusst, wie sensibel das Thema ist, und investieren einiges, um Kritik vorzubauen. Die Deutsche Börse etwa verweist auf eine Initiative zur Auditierung von Cloud-Diensten, Collaborative Cloud Audit Group genannt, „um die vereinbarten erforderlichen technischen und organisatorischen Maßnahmen sicherzustellen“. Das Unternehmen nutzt zudem Maßnahmen wie Verschlüsselung. Mercedes wiederum hat die eigene Datenschutzrichtlinie vom EDSA als verbindliche interne Datenschutzvorschriften (Binding Corporate Rules – BCR) anerkennen lassen.

Bayer verweist auf die Rolle der Politik. Schon länger gebe es die Schwierigkeit, „ein angemessenes, mit der EU gleichwertiges Datenschutzniveau in den USA sicherzustellen, um einen Datenaustausch mit Konzernen in den USA zu ermöglichen“.

Sämtliche Versuche der Europäischen Kommission, der Wirtschaft ein Mittel zur Verfügung zu stellen, seien bislang gescheitert. Der Konzern betont, sich an der Rechtsprechung des EuGH zu orientieren. „Im Fall einer Anfrage seitens einer europäischen Datenschutzbehörde sind wir zuversichtlich, diese zufriedenstellend beantworten zu können.“

Überforderung für Mittelständler?

Die Krux: Was Konzerne mit großen juristischen Stäben vielleicht noch bewältigen können, stellt kleine und mittelständische Unternehmen vor Herausforderungen. Seit dem Wegfall des Abkommens Privacy Shield wachse die Rechtsunsicherheit, erklärte der Branchenverband Bitkom. „Standardvertragsklauseln und Einzelfallprüfungen reichen ganz offensichtlich nicht aus und überfordern ohnehin vor allem kleine und mittelständische Unternehmen.“

Es ist daher nötiger denn je zu handeln. Wer die Dienste der amerikanischen Konzerne ohne besondere Schutzmaßnahmen nutze, müsse mit massiven Strafen rechnen, warnt etwa Stefan Brink, früher Datenschutzbeauftragter von Baden-Württemberg und heute Chef eines Forschungsinstituts.

„Mit dem Rekordbußgeld der irischen Aufsichtsbehörde ist diese Thematik jetzt endgültig scharf gestellt“, sagte Brink dem Handelsblatt. „Damit liegt es absolut nahe, dass jetzt alle übrigen Behörden auch tätig werden und verstärkt Datentransfers in die USA kontrollieren und auch sanktionieren.“

In Deutschland sind Unternehmen bereits wegen der Nutzung von amerikanischen Cloud-Diensten ins Visier der Aufsichtsbehörden geraten. Das Vorgehen werde in der „Taskforce Schrems II“ der Datenschutzkonferenz (DSK) der Länder und des Bundes unter Leitung von Berlin und Hamburg koordiniert, sagte der Hamburger Datenschützer Kühn dem Handelsblatt. „Ziel ist dabei primär das Abstellen oder Absichern der Transfers.“ Bußgeldverfahren seien aktuell noch nicht eingeleitet worden.

Hoffnung auf neues Abkommen

Daher ist aus Sicht von Unternehmen und Datenschutzexperten ein neues Abkommen, das den transatlantischen Datenverkehr neu regelt, dringend nötig. Erst im Oktober hatte US-Präsident Joe Biden eine sogenannte Executive Order unterzeichnet, in der die Maßnahmen aufgeführt sind, die die USA ergreifen werden, um ein mögliches neues Datenschutzabkommen mit der EU zu schließen.

Die Verhandlungen laufen derzeit. Laut EU-Diplomaten könnte es bis Ende Juli zu einer Einigung kommen. „Noch sind die Details nicht geklärt, aber es besteht die Möglichkeit, dass das Data Privacy Framework zukünftig eine mögliche Rechtsgrundlage für die Übermittlung personenbezogener Daten in die USA darstellen kann und so eine Rechtssicherheit gewährleistet wäre“, sagte Datenschützer Kühn.

Ob das neue Abkommen einer Überprüfung durch den EuGH standhalten wird, ist allerdings unsicher. Aktivist Schrems hat schon eine Klage angekündigt. Trotz „ein paar kleiner Verbesserungen“ zu den beiden Vorgängerabkommen habe sich in der Substanz nicht viel geändert. Er denke nicht, dass sich die Richter am EuGH davon beeindrucken lassen, sagte Schrems dem „Tagesspiegel Background“.

„Eher müssten sie sich verarscht vorkommen, weil die EU-Kommission ihnen zum dritten Mal mehr oder weniger das Gleiche vorlegt.“

Mitarbeit: Bert Fröndhoff, Franz Hubik, Andreas Kröner

