Es gibt keine Lösung. Am Sonntag um Mitternacht ist die Übergangsfrist verstrichen und noch immer verhandelt die Europäische Kommission mit den amerikanischen Behörden über eine neue Safe- Harbor-Vereinbarung. Sie suchen einen Deal, der den Transfer von persönlichen Daten aus der Europäischen Union in die USA wieder möglich macht. Ein Abkommen, das Informationen über EU-Bürger vor dem Zugriff etwa der amerikanischen Geheimdienste schützt.
Derzeit ist die Lage so: Wenn zum Beispiel ein deutsches Unternehmen eine Tochtergesellschaft in den USA hat, darf diese keine Personaldaten mehr erhalten. Selbst der Zugriff auf eine gemeinsam geführte Kundendatei ist nicht mehr erlaubt. Auch wenn das Unternehmen einfach nur mit einer amerikanischen Firma zusammenarbeitet, kann es in datenrechtliche Schwierigkeiten kommen, falls sich die US-Gesellschaft beispielsweise darauf spezialisiert hat, Kundendaten auszuwerten.
Ein Segen für die Datensicherheit, ein Problem für Unternehmen
Nach Angaben des Bundesverbandes des Groß- und Außenhandels (BGA) sind mehr als 4000 Firmen in ganz Europa betroffen. Die allermeisten von ihnen haben in den vergangenen Monaten Hunderte Rechtsanwälte beauftragt, um einen tragfähigen Ersatz für die Safe-Harbor -Vereinbarung zu schaffen. Doch das gestaltet sich schwierig. "Für den Austausch von Daten zwischen den USA und der EU besteht weiterhin ein Rechtsvakuum", stellt der Hauptgeschäftsführer des Bundesverbandes Deutscher Industrie (BDI), Markus Kerber, fest.
Verantwortlich für dieses Vakuum ist Maximilian Schrems. Als Initiator einer Sammelklage hatte der 28-jährige Österreicher gegen die Weitergabe seiner Facebook-Daten in die USA vor dem Europäischen Gerichtshof (EuGH) geklagt und Recht bekommen: Die Daten der europäischen Bürger seien in den USA nicht ausreichend geschützt. Das war am 6. Oktober 2015. Seitdem gilt das Safe-Harbor-Abkommen nicht mehr, es gab nur noch eine Übergangszeit bis Ende Januar. Was ein Segen für die Datensicherheit der Europäer ist, stellt die Unternehmen vor ein Problem. Sollten die Datenschutzbehörden nun bei ihnen eine Übertragung feststellen, die nicht durch Hilfskonstruktionen abgesichert ist, droht ihnen ein Bußgeld in Höhe von bis zu 300 000 Euro - falls fahrlässig oder vorsätzlich gehandelt wurde.
EIne Folge des Safe-Harbor-Urteils ist eine Erhöhung des Verwaltungsaufwands
Ein neues Abkommen, Safe Harbor 2 genannt, ist (noch) nicht in Sicht. Die EU-Kommission und die amerikanischen Behörden verhandeln noch. Die Kommission werde die Datenschutzbehörden wohl um einen weiteren Aufschub von ein paar Wochen bitten, spekuliert der grüne EU-Abgeordnete Jan Philipp Albrecht, bis dahin werde sie empfehlen, nicht offensiv gegen die Unternehmen vorzugehen. "Es wird kein Abkommen um jeden Preis geben", sagt ein Kommissionssprecher. "Wir brauchen eine Regelung, die den Standards entspricht, die der EuGH vorgegeben hat."
Zur Absicherung bleibt den Firmen dreierlei: Sie können in jedem Einzelfall bei der betroffenen Person anfragen, ob diese mit einem Datentransfer einverstanden ist. Das ist illusorisch. Realistischer ist es, Standardvertragsklauseln in die Verträge mit den US-Partnerunternehmen einzuarbeiten oder sich einer Art konzerneigenem Datenschutz-Kodex zu unterwerfen, den Binding Corporate Rules (BCR).
"Eine der größten Folgen des Safe-Harbor-Urteils ist eine deutliche Erhöhung der Verwaltungsaufwands mit zusätzlichem zeitraubenden Papierkram", meint der BGA. Besonders Geschäftsmodelle, die stark auf schnelle Datenflüsse angewiesen seien, würden erheblich belastet und agierten nun oft in einer rechtlichen Grauzone.
"Fast jeder multinationale Konzern nutzt einen Cloud-Dienst in den USA."
Diese Gefahr könnte noch größer werden, wenn am Dienstag und Mittwoch die europäischen Datenschutzbehörden die Lage begutachten. Sollten sie auch die beiden alternativen Sicherungsmechanismen für inkompatibel mit den europäischen Regeln erklären, droht das Chaos.
Zumindest sagt das Lokke Moerel. Die niederländische Juristin berät multinationale Konzerne, und sie hat das Konzept der BCR maßgeblich mitgeprägt. Sie argumentiert, die Europäer seien naiv, wenn sie glaubten, das Safe-Harbor-Urteil schade nur US-Unternehmen. Europäische Konzerne mit Niederlassungen in Übersee würden nun Probleme bekommen. "Fast jeder multinationale Konzern nutzt einen Cloud-Dienst in den USA."
Europäische Cloud- Industrie? - eher bringen die US-Konzerne Server nach Europa
Dass die Datenschutzbehörden ein Auge zudrücken werden, glaubt Moerel nicht. Weil sie aber nicht genug Personal hätten, um sich um Tausende Unternehmen zu kümmern, konzentrierten sie sich auf die Großen. Facebook, Google, Amazon dürften demnach als erstes dran sein. Und trotzdem machen sich nicht nur die Sorgen.
Für Martin Blumenau hat sich nichts geändert, außer dass er mehr Umsatz macht. Seit das Safe-Harbor-Urteil vergangenen Sommer absehbar wurde, häufen sich die Anfragen von Unternehmen, die ihre Datentransfers absichern wollen. Die Server seines vier Jahre alten Start-ups Datapine stehen in Frankfurt in einer Art Hochsicherheitstrakt, hinter dicken Türen, überwacht von Kameras. Es sind die Daten von Blumenaus Kunden, denen sein Unternehmen Datenvisualisierung per Software anbietet. Die Kunden wollen von ihm wissen, welche Daten als nächstes betroffen sind, sagt Blumenau. "Viele sind verunsichert." Eine Chance zum Aufbau einer europäischen Cloud-Industrie sieht zumindest Moerel nicht. Die US-Konzerne würden einfach Server nach Europa bringen, so dass die Daten gar nicht mehr über den Atlantik wandern müssten, sagt sie. In der Tat verlagern Microsoft, Amazon und Facebook seit Monaten Rechenzentren nach Europa.