Von Dr. Tobias Fuchs, Partner – KPMG Rechtsanwaltsgesellschaft mbH
Nach dem Aus für das Safe-Harbor-Abkommen warnen Datenschützer vor dem Datentransfer in die USA. Viele Unternehmen befürchten nun, ins Visier von Aufsichtsbehörden zu geraten oder von Mitbewerbern abgemahnt zu werden. Was betroffene Unternehmen jetzt tun müssen.
Bei der Entscheidung des EuGH handelt es sich aus meiner Sicht um eines der wohl bedeutendsten und folgenschwersten Urteile im Bereich Datenschutz im vergangenen Jahrzehnt. Personenbezogene Daten können ab sofort nicht mehr ohne weiteres in die USA übermittelt werden.
Beispielhaft sei hier Facebook genannt, welches eine große Menge an Daten von seinen Nutzern erfasst und diese in den Vereinigten Staaten gespeichert hatte, was übrigens auch der Anlass der Klage gegen das Safe Harbor-Abkommen gewesen ist.
Dieses Abkommen hat der Europäische Gerichtshof nun für unwirksam erklärt.
Die Richter hatten argumentiert, dass die USA angesichts des weitgehenden Zugriffs der nationalen Geheimdienste auf die dort gespeicherten persönlichen Daten nicht als „sicherer Hafen“ eingestuft werden können.
Welche Gefahren drohen jetzt? Wer ist wirklich von der Entscheidung betroffen? Welche Kosten kommen auf die Unternehmen zu? Wie kann die rechtliche Situation so verändert werden, dass keine Verstöße vorliegen?
In vielen Unternehmen stelle ich eine massive Verunsicherung fest.
Wir haben die Antworten auf die 5 wichtigsten Fragen – und klären auf über die gängigsten Irrtümer:
1. Womit müssen Unternehmen jetzt rechnen?
Rechtlich gesehen, dürfen Unternehmen seit Verkündung der Entscheidung keine Daten mehr auf Basis des Safe-Harbor-Urteils in die USA transferieren. Tatsächlich fließen die Daten momentan weitgehend ungehindert weiter.
Die Aufsichtsbehörden können jetzt die Zulässigkeit einer Übermittlung personenbezogener Daten in die USA jederzeit auf ihre Vereinbarkeit mit europäischen Datenschutzstandards prüfen.
Für den Fall eines rechtswidrigen Umgangs mit personenbezogenen Daten drohen dem betroffenen Unternehmen insbesondere Bußgelder, Abmahnungen und Unterlassungsklagen.
Ein besonderes Risiko besteht aber deshalb, weil Mitbewerber, Betroffene und Verbraucherschutzbehörden auch im Wege des einstweiligen Rechtsschutzes die Unterlassung der Übermittlung von personenbezogenen Daten in die USA mit einstweiligen Verfügungen durchsetzen könnten.
Im Einzelfall könnte hiervon sogar das gesamte Geschäftsmodell eines Unternehmens akut bedroht sein. Bei einer Abschaltung von bestimmten Diensten drohen den Unternehmen jedenfalls erhebliche Umsatzverluste.
2. Irrtum Nummer Eins: Nur die großen Konzerne sind vom Scheitern des Safe Harbor-Abkommen betroffen.
Ja, es ist richtig: Das Urteil trifft vor allem die großen Internetunternehmen wie Google, Microsoft oder Amazon. Diese haben bereits reagiert und setzen neben der Anpassung ihrer vertraglichen Regelungen verstärkt auf den Ausbau ihrer innereuropäischen Standorte.
Viel gravierender jedoch sind die Folgen für Unternehmen, die etwa nicht in der Lage sind, kurzfristig selbst in der EU die nötigen Speicherkapazitäten zu schaffen.
Grundsätzlich sind aber alle Unternehmen, die personenbezogene Daten in der EU erheben und in die USA übermitteln betroffen: Etwa durch Hosting auf Servern in den USA, durch die Nutzung von Cloud-Services, durch die Übermittlung von Daten an Dienstleister in den USA, durch die Übermittlung von Daten an eine US-amerikanische Konzernmutter oder an US-amerikanische Tochterunternehmen.
3. Irrtum Nummer Zwei: Ich kann mir Zeit lassen, die Umsetzung wird Zeit brauchen.
Richtig ist: Die EU-Datenschutzbehörden haben der Europäischen Kommission und der amerikanischen Regierung drei Monate Zeit gegeben, um eine Lösung für die Datenübertragung in die Vereinigten Staaten zu finden. Wir rechnen aktuell aus verschiedenen Gründen nicht damit, dass die Aufsichtsbehörden jetzt sofort Überprüfungen einleiten und Maßnahmen gegen einzelne Unternehmen ergreifen.
In einer gemeinsamen Erklärung der Vertreter der nationalen Datenschutzbehörden heißt es, wenn es bis Ende Januar 2016 keine angemessene Lösung gebe, seien die Datenschutzbehörden der EU-Staaten verpflichtet, alle notwendigen und geeigneten Schritte zu ergreifen. Das beinhalte abgestimmte Schritte, um das Urteil durchzusetzen, sprich: konkrete aufsichtsrechtliche Maßnahmen und gegebenenfalls auch Bußgelder gegen Unternehmen, die weiterhin Daten in Amerika speichern.
Aber nochmal: Ein großes Risiko sehen wir für Unternehmen jetzt darin, dass Mitbewerber, Verbraucherschutzbehörden, Verbände oder Betroffene selbst unmittelbar Rechtsschutz vor den Zivilgerichten geltend machen. Im schlechtesten Fall könnten diese die Unterlassung der Übermittlung von personenbezogenen Daten in die USA mit einstweiligen Verfügungen durchsetzen. Die Auswirkung auf das Geschäft könnte im Einzelfall extrem sein.
Das bedeutet, Unternehmen müssen sich jetzt auf die konkrete Gefährdungslage einstellen.
4. Was können Unternehmen jetzt tun?
Insbesondere die Übertragung personenbezogener Daten in die USA muss jetzt jedes Unternehmen kritisch überprüfen. Soweit Unternehmen konkret betroffen sind, müssen geeignete Notfallpläne entwickelt werden.
Wollen Unternehmen etwa Teile ihrer IT-Infrastruktur oder ihrer Software in die Cloud verlegen, so müssen im Vorfeld diese Fragen abgeklärt werden:
- Ist der Anbieter von Cloud-Lösungen bereits auf die aktuelle Situation eingestellt?
- Ist die alleinige Speicherung von Daten innerhalb der EU vertraglich vereinbart? Gilt dies auch für Sub-Dienstleister oder darunterliegende Cloud-Dienste, die mein Dienstleister verwendet?
- Bin ich für den Fall des Ausfalls meines Cloud-Dienstleisters vorbereitet? Hier sind auch andere Szenarien als Ursache denkbar!
- Bekomme ich meine Daten zurück bzw. kann ich meine Daten und Dienste auf andere Dienstleister transferieren?
Darüber hinaus sollte man sich Gedanken machen, ob ausreichende und geeignete organisatorische und technische Maßnahmen der Informationssicherheit umgesetzt sind – etwa Verschlüsselung von Inhalten – um ein Mitlesen seitens des Anbieters soweit wie möglich zu unterbinden.
Mit unserem Privacy Impairment Check identifizieren, analysieren und bewerten wir, inwieweit die Datenschutzorganisation eines Unternehmens Risiken für das Unternehmen verursacht.
5. Mit welchen Kosten müssen Unternehmen rechnen?
Die Datenschützer haben bereits jetzt angekündigt, dass sie die Entscheidung des EuGH eng auslegen werden. Die rechtswidrige Übermittlung personenbezogener Daten in die USA ohne Rechtsgrundlage kann mit einem Bußgeld in Höhe von bis zu 300.000 Euro geahndet werden. Bereits in einem anderen Fall hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) kürzlich gegen ein Unternehmen ein Bußgeld über einen fünfstelligen Euro-Betrag verhängt.
Unseren Privacy Impairment Check bieten wir in Abhängigkeit zur Größe des Unternehmens zu einem Fixpreis in Höhe von EUR 6.000 bis EUR 15.000 an.
Kontakt
KPMG Rechtsanwaltsgesellschaft mbH
Dr. Tobias Fuchs
Rechtsanwalt, Partner
Leiter der Practice Group Technologie, Medien & Telekommunikation (V.i.S.d.P.)
Ganghoferstraße 29,
80339 München
T +49 89 5997606-1384
tobiasfuchs@kpmg-law.com
www.kpmg-law.de
