Die Allianz hat ein Problem. Bei dem weltweit agierenden Versicherer gehört es zum normalen Geschäft, personenbezogene Daten innerhalb des Konzerns hin- und herzuschicken oder an IT-Dienstleister zu senden, die beispielsweise in den USA oder in Indien sitzen. Seit dem "Schrems II"-Urteils des Europäischen Gerichtshofs (EuGH) vom 16. Juli 2020 ist alles anders. Die EU-Richter haben das europäisch-amerikanische Datenschutzabkommen "Privacy-Shield" gekippt. Seitdem fehlt eine echte rechtssichere Grundlage für die kommerzielle Übermittlung personenbezogener Daten zwischen Europa und den USA oder anderen Ländern, deren Datenschutzstandards unter dem EU-Niveau liegen.
Bei vielen europäischen Unternehmen führt das zu großen Problemen. Schon die Nutzung von Cloud-Diensten, deren Betreiber im Ausland sitzen, ist jetzt hochproblematisch. "Das Urteil hat gravierende Auswirkungen", sagt Philipp Räther, oberster Datenschutzbeauftragter der Allianz. "Es macht für uns vieles sehr kompliziert und zeitaufwendig und damit auch sehr teuer." Das Urteil hat bereits dazu geführt, dass der Versicherer Projekte, die er nach Indien verlagert hatte, zurück nach Europa holen musste.
Das Schrems II-Urteil geht zurück auf den österreichischen Datenschutzaktivisten Maximilian Schrems und seinen Streit mit Facebook über personenbezogene Daten. Schrems hatte 2015 dafür gesorgt, dass der EuGH das "Safe Harbour"-Abkommen zwischen der EU und den USA für nichtig erklärt hatte.
2020 brachte Schrems mit einer erneuten Klage schließlich auch das Nachfolgeabkommen "Privacy Shield" zu Fall. Auch hier sahen die EU-Richter das Datenschutzniveau in den USA nicht als gleichwertig an. Sie bemängelten vor allem die Zugriffsmöglichkeiten von US-Geheimdiensten auf Daten von Europäern.
Das Problem für europäische Unternehmen: Die meisten ihrer IT-Dienstleister sitzen nicht in Europa - und schon gar nicht in Deutschland. Meistens sind es US-Firmen, viele Spezialfirmen für Datenanalyse sitzen in Indien.
Microsoft und Amazon Webservices haben inzwischen zwar Cloudlösungen gebaut, bei denen die Daten in Europa gespeichert werden. "Das löst das Datentransferproblem aber nicht vollkommen", sagt Räther. Um einen Rund-um-die-Uhr-Service bieten zu können, müssten diese Unternehmen weiterhin Zugriff auf diese Daten auch von außerhalb Europas nehmen. Zudem können US-Behörden von US-Unternehmen verlangen, dass sie auch auf in Europa gespeicherte Daten zugreifen.
Die Allianz behilft sich derzeit mit sogenannten Standardvertragsklauseln. "Im Rahmen dieser Klauseln können wir mit Serviceprovidern bilateral vereinbaren, dass die Datenverarbeitung nach einem höheren Datenschutzniveau erfolgt", erläutert Räther.
Die Rufe nach einer echten Nachfolge-Regelung für den "Privacy Shield" werden lauter. "Ein klar definierter Handlungsrahmen wie etwa ein Privacy Shield wäre aus unserer Sicht zu begrüßen", sagt ein Sprecher der Hannover Rück. Auch der Gesamtverband der Deutschen Versicherungswirtschaft drängt. "Wir brauchen dringend ein neues Abkommen mit den USA und anderen Drittstaaten, um den Datentransfer mit Ländern außerhalb der EU datenschutzkonform, rechtssicher und möglichst unkompliziert zu machen", teilt Hauptgeschäftsführer Jörg Asmussen mit.