Benachrichtigung aktivieren Dürfen wir Sie in Ihrem Browser über die wichtigsten Nachrichten des Handelsblatts informieren? Sie erhalten 2-5 Meldungen pro Tag.
Fast geschafft Erlauben Sie handelsblatt.com Ihnen Benachrichtigungen zu schicken. Dies können Sie in der Meldung Ihres Browsers bestätigen.
Benachrichtigungen erfolgreich aktiviert Wir halten Sie ab sofort über die wichtigsten Nachrichten des Handelsblatts auf dem Laufenden. Sie erhalten 2-5 Meldungen pro Tag.
Jetzt Aktivieren
Nein, danke
 

Privacy Shield gestoppt Wie sich Unternehmen gegen Datenschutz-Klagen wappnen können

Firmen können nicht mehr ohne Weiteres Daten in die USA übermitteln. Worauf sie achten müssen, um Bußgelder zu vermeiden, erklärt ein Datenschutzanwalt im Interview.
27.08.2020 - 08:32 Uhr Kommentieren
EuGH-Entscheidung zum Privacy Shield: So schützen sich Unternehmen vor Datenschutz-Klagen
Tim Wybitul

„Ich finde es unverantwortlich, dass der EuGH dieses politische Thema auf die Wirtschaft überwälzt.“

Berlin Der Europäische Gerichtshof (EuGH) hat am 16. Juli 2020 die Rechtsgrundlage für die Datenübermittlung in die USA gekippt. Das sogenannte „Privacy Shield“ ermöglichte bislang vielen Unternehmen in der EU, personenbezogene Daten von Kunden, Mitarbeitern oder auch für die Nutzung von Internetdiensten in die USA zu transportieren und dort verarbeiten zu lassen.

Eine besondere Prüfung der Angemessenheit des Datenschutzniveaus in den USA durch die Betriebe selbst war nicht notwendig.

Weil sich ein Datenzugriff durch US-Nachrichtendienste nicht ausschließen ließ, sah der EuGH allerdings keine Möglichkeit, ein dem europäischen Recht angemessenes Datenschutzniveau in den USA anzuerkennen. Auch die von der EU-Kommission definierten sogenannten Standarddatenschutzklauseln, mit denen der Datenexporteur in der EU personenbezogene Daten an einen Datenimporteur in den USA übermitteln darf, können als alternative Rechtsgrundlage nur bedingt helfen.

Der Mittelstand in Deutschland sieht wegen des Urteils Unternehmen in ihrer Existenz bedroht, weil nun nicht weniger als die Grundlagen aller bestehenden Betriebsabläufe zur Disposition stünden. Der Datenschutzanwalt Tim Wybitul aus der Kanzlei Latham & Watkins kritisiert die Gerichtsentscheidung scharf. Wybitul berät deutsche und globale Unternehmen in komplexen Datenschutzfragen.

Top-Jobs des Tages

Jetzt die besten Jobs finden und
per E-Mail benachrichtigt werden.

Standort erkennen

    „Im Kern handelt es sich hier um ein politisches Problem“, sagte er. „Ich finde es unverantwortlich, dass der EuGH dieses politische Thema auf die Wirtschaft überwälzt.“ Er rät Unternehmen, sich eine „gute Verteidigungsstrategie“ zurechtzulegen, um sich gegen mögliche Klagen zu wappnen.

    Lesen Sie hier das komplette Interview:

    Herr Wybitul, stellt die EuGH-Entscheidung zum Privacy Shield ein existenzielles Problem für Mittelständler und andere Unternehmen dar?
    Ja, das Urteil des EuGH stellt Unternehmen vor sehr hohe Hürden, wenn sie Daten mit Empfängern in den USA teilen wollen. Denn die Entscheidung der Luxemburger Richter betrifft ja nicht nur den Wegfall des sogenannten Privacy Shield Abkommens, sondern weitgehend alle Übermittlungen personenbezogener Daten in die USA.

    Was bedeutet das in der Praxis?
    In der Praxis greifen Unternehmen hier meistens auf die von der EU-Kommission vorgegebenen Standardvertragsklauseln zurück. Der EuGH hat nun bemängelt, dass diese zwar den unmittelbaren Empfänger der Daten verpflichten, aber das allgemeine Schutzniveau in den USA als problematisch bewertet. Dies betraf insbesondere den Zugriff von Geheimdiensten und die Geltendmachung von Rechten durch EU-Bürger. Insofern erschwert das Urteil die Übermittlung von Daten in die USA und andere Staaten außerhalb des europäischen Wirtschaftsraums ganz erheblich.

    Besteht hier eine Gefahr für Mittelständler?
    In der Tat. Zwar betrifft das Urteil die gesamte Wirtschaft. Aber gerade Mittelständler verfügen oft nicht über die Mittel, komplexe datenschutzrechtliche Anforderungen nach den Vorstellungen des EuGH und der europäischen Datenschutzbehörden umzusetzen. Welches mittelständische Unternehmen hat denn schon eine eigene Datenschutzabteilung, die die vom EuGH geforderte zusätzliche Risikobewertung bei Datenübermittlungen vorbereiten könnte?

    Womit müssen Unternehmen rechnen?
    Neben Bußgeldern drohen auch Schadensersatzansprüche von Personen, deren Daten ins Ausland übermittelt werden, also etwa Kunden oder Mitarbeiter. Die Berliner Datenschutzbeauftragte formuliert das so: „Der EuGH betont ausdrücklich, dass die Datenschutz-Aufsichtsbehörden verpflichtet sind, nach diesen Maßstäben unzulässige Datenexporte zu verbieten, und dass betroffene Personen Schadensersatz für unzulässige Datenexporte verlangen können. Dieser dürfte insbesondere den immateriellen Schaden („Schmerzensgeld“) umfassen und muss nach dem europäischen Recht eine abschreckende Höhe aufweisen.“

    Wie realistisch ist ein solches Szenario?
    Allein Latham & Watkins, die Kanzlei, für die ich tätig bin, vertritt schon jetzt Unternehmen gegen mehrere Tausend Verbraucher, die derartigen immateriellen Schadensersatz fordern. Derartige Gerichtsverfahren, aber auch die Verteidigung gegen DSGVO-Bußgelder sind erfahrungsgemäß aufwendig und teuer.

    Was muss jetzt geschehen, wie könnte eine Lösung aussehen?
    Im Kern handelt es sich hier um ein politisches Problem. Ich finde es unverantwortlich, dass der EuGH dieses politische Thema auf die Wirtschaft überwälzt. Hier hört man häufig den Satz, man solle doch seine Daten einfach in der EU verarbeiten. Das ist aber im modernen Wirtschaftsleben schlichtweg nicht lückenlos möglich. Welches Unternehmen kann denn ohne Weiteres auf internationale Anbieter von Anwendungen, Betriebssystemen, Cloud-Diensten und vielem mehr verzichten. Eine solche Forderung ist unrealistisch.

    Was raten Sie Unternehmen?
    Wenn Unternehmen weiter Daten in die USA übermitteln oder mit anderen internationalen Anbietern zusammenarbeiten wollen, sollten sie sich eine gute Verteidigungsstrategie zurechtlegen. Dabei geht es dann mehr darum, sich später vor Gericht oder in einem Behördenverfahren erfolgreich gegen Vorwürfe verteidigen zu können, als darum, die hehren Vorstellungen der Luxemburger Richter umzusetzen.

    Was meinen Sie konkret?
    Es ist vor allem eine belastbare datenschutzrechtliche Dokumentation nötig. Unternehmen sollten mögliche Maßnahmen prüfen, um die Sicherheit übermittelter Daten zu erhöhen. Das kann beispielsweise durch Verschlüsselung oder andere technische Lösungen geschehen. Zudem kommen auch vertragliche Zusatzvereinbarungen in Betracht. Man kann auch mit statistischen Eckdaten argumentieren.

    Inwiefern?
    Wenn ausländische Regierungsbehörden von einem Empfänger in den USA oder einem anderen Drittland in der Vergangenheit keine Daten herausverlangt haben, kann auch das ein Abwägungskriterium sein. Hier gibt es keine maßgeschneiderte Musterlösung. In jedem Fall müssen Unternehmen das Ergebnis einer solchen Risikoabwägung gerichtsfest dokumentierten, um sich später erfolgreich gegen mögliche Vorwürfe verteidigen zu können.

    Herr Wybitul, vielen Dank für das Interview.

    Mehr: 5000 Firmen betroffen: EU-Unternehmen drängen auf neue rechtliche Basis zum Datentransfer in die USA.

    Startseite
    Mehr zu: Privacy Shield gestoppt - Wie sich Unternehmen gegen Datenschutz-Klagen wappnen können
    0 Kommentare zu "Privacy Shield gestoppt: Wie sich Unternehmen gegen Datenschutz-Klagen wappnen können"

    Das Kommentieren dieses Artikels wurde deaktiviert.

    Zur Startseite
    -0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%