DIGITALE SOUVERÄNITÄT ERWÜNSCHT
Der „Privacy Shield“ist Geschichte. Doch es gibt Ausweichmöglichkeiten, die dem Gewerbe weiterhin den Datentransfer ermöglichen und gleichzeitig den Datenschutz auf ein höheres Niveau heben. Zu lange sollten Entscheider allerdings nicht mit der Umstellung warten.
Der Privacy Shield sollte die digitalen Geschäftsbeziehungen zum wirtschaftlichen Verbündeten jenseits des großen Teichs weiterhin einfach halten – als rechtliche Legitimation für den umfangreichen Austausch personenbezogener Daten fungieren. Jetzt endete seine Zeit: Am 16. Juli kippte der Europäische Gerichtshof (EUGH) das Abkommen zwischen der EU und den USA. Das stellt international agierende Unternehmen aus dem produzierenden Gewerbe vor neue Aufgaben. Gab es zuvor noch eine gewisse Rechtssicherheit, wenn auch auf dem labilen Gebilde des amerikanischen Datenschutzes fußend, fischen viele Betriebe nun in trüben Gewässern.
Doch gemach: Entgegen der einhelligen Meinung muss innerhalb der Fertigungsindustrie nun keine Panik ausbrechen. Es existieren eine Reihe von Ausweichmöglichkeiten, die dem Gewerbe weiterhin den Datentransfer ermöglichen und gleichzeitig den Datenschutz auf ein höheres Niveau heben. Zu lange sollten Entscheider allerdings nicht mit der Umstellung warten.
UNENDLICHE GESCHICHTE
Bereits vor dem Privacy Shield gewährte eine rechtliche Vereinbarung zwischen den USA und Europa den unkomplizierten Transfer personenbezogener Daten. Doch auch der sogenannte Safe Harbor stand schon heftig in der Kritik und es waren die Enthüllungen von Whistleblower Edward Snowden sowie der anschließende Überwachungsskandal, die zu seinem Fall führten. Auf die Schnelle entwickelten die Kommissionen der beiden Geschäftsparteien einen Ersatz: Der Privacy Shield ging unter großen Protesten der Datenschützer bereits ein Jahr später an den Start – und mit ihm ein jahrelanger Rechtsstreit. Kritiker bemängeln vor allem die Macht der Geheimdienste in den Vereinigten Staaten und die damit einhergehenden gravierenden Mängel beim Datenschutz. Mit der DSGVO hat die Europäische Union auf so vielen Ebenen Klarheit und Rechtssicherheit geschaffen, was im deutlichen Gegensatz zum Schutzniveau in den USA steht. Die Entscheidung des EUGH erweist sich daher nur als folgerichtig und absolut nachvollziehbar.
ALLGEMEINE VERUNSICHERUNG
Dennoch bringt eine solch drastische Änderung der rechtlichen Lage nicht nur Profiteure hervor. Etwa 5.000 Firmen betrifft das Urteil der Luxemburger Richter unmittelbar – unzählige weitere dazu indirekt. Auch das produzierende Gewerbe arbeitet bereits vermehrt digital sowie international und muss sich nun auch auf die neuen Umstände einstellen. Anzeichen großer Ängste kommen bereits aus dem Bundesverband der Deutschen Industrie: Präsident Kempf bedaurt die Entscheidung des EUGH und sieht große Probleme auf den europäischen Mittelstand zukommen, besonders bei der Erarbeitung neuer Datenkonzepte mit übermächtigen amerikanischen Partnern. Es müsse eine Alternative für den Privacy Shield geben, um diese Lücke in den internationalen Geschäftsbeziehungen zu schließen. Ein Wunsch, dem wahrscheinlich auch jeder Datenschützer zustimmen kann, dann aber diesmal bitte mit einem entsprechenden Datenschutzniveau. Diverse Kommissionen arbeiten bereits daran.
NEUE UND ALTE WEGE
Bis sich die rechtliche Lage durch ein solches Ersatzabkommen wieder aufklärt, lässt sich auf Altbewährtes zurückgreifen. Standardvertragsklauseln – seit jeher ohnehin die meistgenutzte Rechtsgrundlage bei Datentransfers in Drittländer – haben die strenge Prüfung des EUGH überlebt. Jedoch auch mit dem Zusatz einer genauen Prüfung der jeweiligen Datenschutzorganisation des Absenderlandes.
Zudem stimmt auch ein neues, rein innereuropäisches Projekt zuversichtlich: Gaia-x soll eine noch nie da gewesene digitale Souveränität etablieren und die Innovationsabhängigkeit, vor allem von großen It-konzernen aus den USA oder China, deutlich verringern. In diesem Ziel versteckt sich die effektivste Lösung für das allgemeine rechtliche Chaos. Durch eine Serverkonzentration auf europäischem Boden liefern sich Unternehmen nicht nur nicht mehr der internationalen Rechtsprechung aus, sondern die Daten ihrer Kunden auch nicht der Willkür des amerikanischen Datenschutzes.