Netzwirtschaft

Mit der Suchmaschine Google recherchieren, ein Möbelstück auf der Auktionsplattform Ebay ersteigern, einen Online-Einkauf über den Bezahldienst Paypal begleichen oder auf dem sozialen Netzwerk Facebook den „Gefällt mir“-Knopf drücken – wer heute im Internet einen amerikanischen Dienst nutzt, der muss damit rechnen, dass die Unternehmen seine persönlichen Daten auch in den Vereinigten Staaten verarbeiten. Noch bis vor kurzem war das ohne weiteres möglich, doch an diesem Montag beginnt für Millionen europäischer Internetnutzer und zahlreiche Unternehmen jenseits wie diesseits des Atlantiks eine Phase der rechtlichen Unsicherheit.

Denn bis zum Sonntag lief eine dreimonatige Frist der Artikel-29-Datenschutzgruppe. Das unabhängige Beratungsgremium aus europäischen Datenschützern hatte diesen Zeitraum gesetzt, damit Unternehmen die Übermittlung personenbezogener Daten von Europäern in die Vereinigten Staaten auf andere rechtliche Grundlagen stellen konnten. Bis zum vergangenen Oktober regelte noch die „Safe Harbor“-Entscheidung der Europäischen Kommission aus dem Jahr 2000 den Datentransfer. Mit dieser Entscheidung definierte die Kommission die Vereinigten Staaten als „sicheren Hafen“ für die Daten europäischer Bürger. Damit ermöglichte die Kommission, dass amerikanische, aber auch europäische Unternehmen Daten nach Amerika senden und dort verarbeiten konnten. Im Herbst kippte aber der Europäische Gerichtshof die „Safe Harbor“-Entscheidung. Weil die Entscheidung unter anderem dazu führte, dass amerikanische Ermittlungsbehörden Zugriff auf die Daten und die elektronische Kommunikation europäischer Bürger erhielten, sah das oberste europäische Gericht das Grundrecht auf Achtung des Privatlebens sowie das Grundrecht auf wirksamen gerichtlichen Rechtsschutz verletzt.

Ihr Urteil trafen die Richter in Luxemburg auch im Lichte der Enthüllungen, die der ehemalige Mitarbeiter des amerikanischen Geheimdienstes NSA, Edward Snowden, im Juni 2013 angestoßen hatte. Snowden hatte Dokumente veröffentlicht, aus denen hervorging, dass sich die NSA Zugriff auf Daten Abertausender Internetnutzer im Ausland verschafft hatte. „Safe Harbor“ war mit dem Urteil des Gerichtshofs am Ende. So lange es keine Nachfolgeregelung gibt, können nun europäische Datenschützer Datenübertragungen in die Vereinigten Staaten auf ihre Rechtmäßigkeit prüfen – und für nicht rechtmäßig erklären, falls sie sich allein auf die ungültige „Safe Harbor“-Entscheidung stützen.

Das könnte zum Beispiel das soziale Netzwerk Facebook und seine hierzulande mehr als 27 Millionen Mitglieder von diesem Montag an betreffen. In seiner Datenrichtlinie verweist das Unternehmen immer noch ausdrücklich darauf, dass es sich an die „Safe Harbor“-Bestimmungen „bezüglich der Sammlung, Nutzung und Einbehaltung von Informationen aus der Europäischen Union“ halte. Dadurch könne Facebook Daten innerhalb seiner Unternehmensgruppe oder auch an Dritte weitergeben und in Länder außerhalb Europas übertragen, heißt es dort. Trotz dieser deutlichen Worte hatte ein Sprecher des Netzwerks allerdings nach dem Urteil des Europäischen Gerichtshofs gesagt, dass es das Unternehmen nicht betreffe. Facebook verlasse sich wie „Tausende europäische Unternehmen auf eine Reihe von Mitteln, nach EU-Recht, um unabhängig von „Safe Harbor“ legal Daten von Europa in die USA zu übermitteln“.

In der Tat gibt es auch abseits von „Safe Harbor“ andere Wege, die Datenübermittlung zwischen Europa und den Vereinigten Staaten rechtmäßig zu gestalten. Wenn Unternehmen Daten nach Amerika übertragen, können sie sich laut dem deutschen Verband der Internetwirtschaft Eco auch auf EU-Standardvertragsklauseln oder sogenannte Binding Corporate Rules berufen. Ob sie das von jetzt an tatsächlich tun, werden indes nun auch deutsche Datenschützer überwachen.

Laut einem Sprecher des Hamburgischen Datenschutzbeauftragten Johannes Caspar hat dessen Behörde damit schon begonnen. Gut 30 Unternehmen seien aufgefordert zu erklären, ob sie Daten in die Vereinigten Staaten übermitteln und auf welcher rechtlichen Grundlage das geschieht. Hierfür läuft indes noch eine Frist. Die Unternehmen haben bis Mitte Februar Zeit, sich zu der Anfrage zu äußern. Sollten sie weiter auf die „Safe-Harbor“-Entscheidung setzen, drohen ihnen Untersagungsverfügungen.

Unternehmensnamen nennen die Hamburger Datenschützer nicht. Allerdings hatten sie schon im Oktober angekündigt, dass sie insbesondere Tochtergesellschaften amerikanischer Konzerne in den Blick nehmen wollen, die ihren Sitz in der Hansestadt haben. Dazu zählen Google und auch Facebook.

Unabhängig davon bemühen sich europäische Politiker und Datenschützer darum, den Datentransfer zwischen Europa und Amerika wieder auf eine allgemeingültige und dann auch dem hohen europäischen Datenschutzstandard entsprechende Grundlage zu stellen. „Wir brauchen ein Arrangement, das die fundamentalen Rechte der Europäer schützt und den Unternehmen Rechtssicherheit gibt“, äußerten der Kommissionsvizepräsident Andrus Ansip und EU-Justizkommissarin Vera Jourova in einer gemeinsamen Stellungnahme anlässlich des zehnten Europäischen Datenschutztages in der vergangenen Woche. Ein erster Schritt dahin könnte ein Treffen der Artikel-29-Gruppe an diesem Dienstag und Mittwoch sein.

Vertreter der deutschen Wirtschaft mahnen derweil an, dass es auch kurzfristig weiter möglich sein müsse, Daten nach Amerika zu übermitteln. „Ein Abbruch des transatlantischen Datenaustauschs hätte unabsehbare Konsequenzen für Tausende Unternehmen und Millionen Nutzer“, ließ sich Markus Kerber zitieren, der Hauptgeschäftsführer des Bundesverbands der Deutschen Industrie. „Bis zu einem neuen „Safe Harbor“-Abkommen muss nun zumindest die Übergangsfrist der Datenschutzbehörden verlängert werden.“ Das sei wichtig, um den alltäglichen Wirtschaftsverkehr abzusichern.

Manche deutsche Unternehmen bauen dagegen schon auf den Datenspeicherstandort Europa. So sagte der scheidende Henkel-Vorstandsvorsitzende und designierte Adidas-Chef Kaspar Rorsted dieser Zeitung kürzlich: „Wir setzen beim Cloud Computing seit längerem auf ein Hosting in Europa.“ Fakt sei, dass europäische Datenschutzrichtlinien schärfer seien als amerikanische. „Wir haben uns mit dem Thema bereits vor dem Scheitern des Abkommens intensiv beschäftigt“, sagte Rorsted.

Auch amerikanische Unternehmen schaffen vermehrt Möglichkeiten, Daten in Europa zu verarbeiten. So betreibt der Facebook-Konzern schon seit rund vier Jahren im finnischen Lulea sein erstes Datenzentrum außerhalb der Vereinigten Staaten. Ein zweites soll nun in Irland entstehen. Und Google hat oder plant Rechenzentren in Belgien, den Niederlanden, Finnland und Irland.

—

Folgen Sie mir auf Twitter.