Seit der EU-Gerichtshof das Datentransfer-Abkommen „Privacy Shield“ zwischen EU und USA für nichtig erklärte, stehen Unternehmen vor großer Unsicherheit. Nun begannen die Verhandlungen für ein neues Abkommen.
Zwischen der EU und den USA fließen täglich Unmengen von kommerziellen Daten. Dazu zählen etwa die Daten von europäischen Internet-NutzerInnen, die Produkte von US-Firmen wie Facebook oder Google nutzen. Geregelt wurden diese Transfers über das Abkommen „Privacy Shield“.
Doch am 16. Juli wurde es vom EU-Gerichtshof für ungültig erklärt: Die RichterInnen sahen die Privatsphäre der EU-BürgerInnen bedroht, weil in den USA die Behörden einfacher auf private Daten zugreifen können als in der EU. Anlassfall war eine Klage des österreichischen Aktivisten Max Schrems, daher auch der Name des Urteils: „Schrems II“.
Lange Zeit war unklar, wie es weitergehen soll. Dürfen nun gar keine Daten mehr zwischen der EU und den USA transferiert werden? Müssen US-Firmen nun Server in Europa aufstellen, um die NutzerInnen-Daten verwerten zu können? Müssen die USA gar ihren Datenschutz stärken und die Zugriffsrechte ihrer Geheimdienste entmachten?
Zwischen Datenschutz und Wohlstand
Klar ist erstmal nur: Die EU und die USA sprechen darüber. „Wir teilen ein Pflichtgefühl gegenüber dem Schutz der Privatsphäre, dem Rechtsstaat und der Vertiefung unserer wirtschaftlichen Beziehungen“, besagt eine gemeinsame Presseaussendung des EU-Justizkommissars Didier Reynders und des US-Handelsministers Wilbur Ross.
Daher habe man „Diskussionen begonnen, um das Potential eines verbesserten Privacy Shield-Rahmenabkommens zu evaluieren“, das mit dem Schrems II-Urteil in Einklang stehen soll. Details gibt es noch keine, man wolle sowohl den „Datenschutz stärken“ als auch den „Wohlstand voranbringen“.
Unternehmen hoffen auf Lösung
Druck kommt aus der Privatwirtschaft. „Die grenzüberschreitenden Datenflüsse zwischen den USA und Europa sind die größten weltweit, und fundamental für die größte Handelsbeziehung der Welt“, schrieb ein internationales Konsortium aus 17 Industrie-Vereinen in einem offenen Brief am 30. Juli. Das Schrems-II-Urteil stelle viele Unternehmen vor die Herausforderung, „Alternativen zu finden, ohne essentielle Geschäftstätigkeiten zu unterbrechen“.
Über 5000 Firmen nutzten Privacy Shield, um Daten über den Atlantik zu transferieren. Die meisten von ihnen transferieren weiterhin Daten, allerdings unter den sogenannten Standardvertragsklauseln. Das sind spezielle Verträge zwischen Parteien, in denen sie sich gegenseitig zusichern, dass übertragene Daten auch im Ausland hinreichend geschützt sind.
Das ist allerdings nur eine Übergangslösung, denn sie müssen für jede Partei einzeln abgeschlossen werden, was einen großen bürokratischen Aufwand bedeutet. Der Reiz an Abkommen wie „Privacy Shield“ ist ja gerade, dass Unternehmen sich zurücklehnen und auf die Rechtssicherheit verlassen können.