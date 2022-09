Es wäre ein von vielen europäischen Unternehmen lang ersehnter Schritt: Am kommenden Montag soll die US-Regierung einem Medienbericht zufolge per Präsidialverfügung eine Grundlage für die rechtssichere Übertragung personenenbezogener Daten aus der EU in die USA schaffen. Doch das weitere Verfahren wird sich ziehen – und könnte zu spät kommen.

Der Streit ist alt, die Lösung lässt immer noch auf sich warten: Vor über zwei Jahren hat der Europäische Gerichtshof (EuGH) die "Privacy Shield"-Vereinbarung gekippt, die bisher als Grundlage für einen Datentransfer in die USA diente. Seither stützen sich die meisten Unternehmen vor allem auf die sogenannten Standardvertragsklauseln, um die Datenübertragung rechtlich abzusichern.

Doch auch dieser Weg ist hochumstritten und könnte in den kommenden Wochen fallen, wenn ein Präzedenzbeschluss der irischen Datenschutzaufsichtsbehörde DPC Ireland gegen den Facebook-Eigentümer Meta kommt. Dieses Verfahren, das seit Jahren offen ist, befindet sich formal auf der Zielgeraden: Derzeit beraten die irischen Datenschützer mit den anderen Aufsichtsbehörden über die verbliebenen Streitpunkte.

Hiobsbotschaft für Unternehmen

Für Unternehmen wäre das eine Hiobsbotschaft: Die Datentransfers in Länder außerhalb des DSGVO-Geltungsbereichs sind für viele Alltag, bestätigte eine am Dienstag veröffentlichte Umfrage des Bitkom. Insbesondere Dienstleister seien dabei kaum verzichtbar: Fast die Hälfte der Unternehmen gibt an, auf solche zurückzugreifen, die nicht selbst direkt unter die DSGVO fallen.

Betroffen sind Cloudservices wie Salesforce, Microsofts Office, Azure oder Amazon AWS, aber auch Kommunikationsinfrastrukturen wie Zoom oder Teams. In vielen Fällen werden den Unternehmensangaben zufolge CRM-Systeme und Support im Nicht-EU-Ausland genutzt - ohne Datentransfers unmöglich. Vor allem große Unternehmen über 500 Mitarbeitern nutzen diese Möglichkeiten laut Bitkom sehr intensiv.

Die Zulässigkeit dieser Datenübertragungen steht dabei in vielen Fällen auf rechtlich tönernen Füßen, wie Susanne Dehmel vom Bitkom warnt: "Wenn uns die Standardvertragsklauseln wegbrechen würden und keine adäquate politische Lösung gefunden würde, dann hätte das massive Folgen." Doch nur langsam zeichnet sich für eine Lösung ab. Fast exakt ein halbes Jahr ist bereits vergangen, seit EU-Kommissionspräsidentin Ursula von der Leyen und US-Präsident Joe Biden ein "Transatlantic Data Privacy Framework" (TADPF) als Nachfolger für das vom EuGH für unzureichend befundene Privacy Shield ankündigten.

Seitdem ist vor allem die US-Seite damit beschäftigt, den EuGH-Anforderungen Rechnung zu tragen - doch bislang gibt es keinen konkreten Vorschlag für eine Neuregelung. Währenddessen warnen europäische und US-Unternehmen vor dem absehbaren Ende der transatlantischen Datenfreundschaft. Bitkom-Geschäftsführer Bernhard Rohleder sieht die Bundesregierung am Zug: "Ich würde das jetzt nicht einfach nach Brüssel abschieben wollen", sagt er, die Bundesregierung sei ein wichtiger Player im Datenschutz. Sie müsse ihr Gewicht in Brüssel für eine schnelle Lösung nutzen.

Executive Orders sollen EU-Richter besänftigen

EU-Justizkommissar Didier Reynders, der die Verhandlungen mit den Amerikanern führt, freut sich auf Twitter über "sehr gute Fortschritte" und gab sich zuversichtlich, schon "bald" den nächsten Schritt gehen zu können - kann aber weiterhin noch keinen Vorschlag der US-Seite verkünden. Dies könnte sich ändern, wenn die US-Seite tatsächlich am dritten Oktober die Präsidialverfügungen veröffentlicht, wie die US-Ausgabe von Politico zuerst berichtete. Die US-Regierung will auf diesem Weg langwierige Gesetzesänderungen vermeiden.

Doch die Präsidialverfügungen würden vorerst nur ein langwieriges Verfahren in Gang setzen. Die EU-Kommission müsste prüfen, ob die US-Änderungen aus ihrer Sicht ausreichend sind. Wesentlich für die formale Angemessenheitsentscheidung nach Artikel 45 Datenschutzgrundverordnung ist dabei, ob der Rechtsrahmen einen mit dem EU-Datenschutzniveau vergleichbaren Standard bieten kann. Anschließend müssen die Mitgliedstaaten über den Kommissionsvorschlag abstimmen. Der europäische Datenschutzausschuss der Datenschutzaufsichtsbehörden darf dazu lediglich seine Meinung äußern

Beides kann einige Zeit in Anspruch nehmen – zwischen Datenschutzaufsichtsbehörden und den Verhandlern findet also eine Art Fernduell statt: Werden zuerst die Standardvertragsklauseln gekippt, fehlen den Unternehmen die rechtlichen Möglichkeiten – und die Aufsichtsbehörden könnten massive Bußgelder verhängen. Kommt das TADPF doch noch rechtzeitig, aber reicht dem EuGH in Luxemburg erneut nicht aus, würde die Rechtssicherheit für den Transfer personenbezogener Daten nur für kurze Zeit hergestellt.

Der österreichische Datenschutzaktivist Max Schrems, der die beiden bisherigen Vereinbarungen vor dem EuGH zu Fall gebracht hatte, sieht bislang wenig Grund zur Hoffnung, dass das Transatlantic Data Privacy Framework das Problem wirklich adressieren könne. Ursprünglich sei eine perfekte Lösung bis Ende des Jahres versprochen worden, nun würden Ende des Jahres vielleicht die ersten Schritte erfolgen. "Was ich höre, ist auch, dass diese ersten Schritte keine Lösungen sind, sondern Schritte in Richtung eines dritten, mangelhaften Abkommens", sagt Schrems. Der Österreicher hat längst angekündigt, erneut klagen zu wollen, wenn das TADPF nicht hält, was er davon erwartet.

Nächster Problemfall UK?

Parallel droht für Unternehmen bereits ein neues Problem: Nach den USA ist das Hauptzielland für Datentransfers derzeit das Vereinigte Königreich. Das profitiert derzeit noch davon, dass die Datenverarbeitungsvorschriften im einstigen EU-Mitgliedstaat noch weitgehend identisch mit dem EU-Schutzniveau sind. Doch der im Juli vorgelegte Vorschlag für eine "Data Protection and Digital Information Bill" könnte daran rütteln. Noch werden die Vorschriften im Kabinett der neuen Premierministerin Liz Truss beraten. Sollte der Vorschlag, den Experten bislang eher als maßvoll einschätzen, deutlich verändert werden, könnte damit auch die für zulässige Übertragungen ins Vereinigte Königreich rechtlich maßgebliche Angemessenheitsentscheidung der EU-Kommission fallen.

