Welchen Schutz aber haben diese „reisenden“ Daten? Die Antwort ist von größter Bedeutung, insbesondere wenn es sich um persönliche Daten handelt. In den verschiedenen Datenschutzgesetzen der Welt gibt es unterschiedliche Auslegungen dessen, was personenbezogene Daten sind und was genau deren Schutz bedeutet. Daher stützen wir den Datenverkehr heute auf verschiedene Rechtsgrundlagen.

Einer der weltweit wichtigsten Mechanismen für den internationalen Datentransfer wurde im Juli letzten Jahres vom Europäischen Gerichtshof (EuGH) auf den Prüfstand gestellt. Der Fall „Datenschutzbeauftragter gegen Facebook Irland und Maximilian Schrems“ oder „Schrems II“ erlebt dieser Tage seinen einjährigen Jahrestag. Dort ging es um die Gültigkeit von Standardvertragsklauseln, ein rechtliches Instrument, das für den Datentransfer von Europa in über 180 Länder verwendet wird.

Nach EU-Recht ist es zwingend erforderlich, dass die Rechte, Pflichten und der Schutz personenbezogener Daten erhalten bleiben, wenn diese in andere Länder übertragen werden und damit anderen Gerichtsbarkeiten unterliegen. Darüber hinaus schreibt die EU vor, dass personenbezogene Daten den Europäischen Wirtschaftsraum (EWR) nicht verlassen dürfen. Ausnahmen gelten, wenn die Organisation, die die Daten sendet, einen gültigen Transfermechanismus verwendet.

Das heißt, entweder stellt die Europäische Kommission – zum Beispiel in einem bilateralen Abkommen wie dem Privacy Shield – fest, dass der Datenschutz in dem Drittland „angemessen“ ist, oder es liegen sogenannte „verbindliche interne Datenschutzvorschriften“ (Binding Corporate Rules, BCR) vor. Die dritte und meistverbreitete Option ist die Aufnahme genehmigter Verpflichtungserklärungen in Verträgen, wie beispielsweise Standardvertragsklauseln. In seiner Entscheidung zu Schrems II hat der EuGH Standardvertragsklauseln als gültigen Datentransfermechanismus bestätigt. Wo liegt dann das Problem?

Laut EuGH haben Unternehmen, die Standardvertragsklauseln verwenden, im Einzelfall zu prüfen, ob die personenbezogenen Daten in dem Land, in das die Daten übertragen werden, den erforderlichen Schutz genießen. Eine kaum leistbare Aufgabe. Standardvertragsklauseln werden damit nur praktikabel einsetzbar, wenn der Schutz des Datentransfers durch ein internationales Abkommen mit dem Drittstaat gesichert ist.

Der EuGH hat vor einem Jahr jedoch das EU-US Privacy Shield, das Instrument für den Datentransfer über den Atlantik, aufgrund von Bedenken hinsichtlich US-Überwachungspraktiken gekippt. Aus dem gleichen Grund wurde bereits 2015 das Safe-Harbor-Abkommen (der Vorgänger des Privacy Shields) außer Kraft gesetzt. Es wird klar: Das wahre Problem ist nicht der vermeintliche Missbrauch oder die Misswirtschaft von persönlichen Daten durch Unternehmen, sondern vielmehr der Umfang des staatlichen Zugriffs auf diese Daten.

Als Folge können sich Unternehmen also aktuell auf keinen zusätzlichen transatlantischen Datentransfermechanismus stützen, wenn sie Standardvertragsklauseln verwenden. Es bleibt nur der mühsame – und langfristig realitätsferne – Weg der ewigen Einzelfallprüfung.

Das langjährige politische Dilemma hat nun direkte Auswirkung auf mehr als 5.000 europäische und amerikanische Unternehmen – mehr als 70 Prozent davon sind KMU. Dies umfasst allerdings nur die Unternehmen, deren Datentransfers auf dem Privacy Shield basierten. Die Dunkelziffer der Unternehmen, die seit dem Urteil unter ungeklärten Rechtsverhältnissen agieren, ist viel höher. Als gesetzliche Basis bleiben damit nur die Standardvertragsklauseln, die jedoch in der Regel durch zusätzliche Maßnahmen ergänzt werden müssen.

Die Diskussion spitzt sich weiter zu, nachdem die Datenschutzbeauftragten aus Hamburg und Baden-Württemberg ankündigten, entsprechende Verfahren gegen Unternehmen einzuleiten, die Dienste von US-Unternehmen nutzen. Auslöser waren Sorgen darüber, dass die Daten deutscher Unternehmen in der Cloud nicht ausreichend geschützt seien. Im Kern dreht sich die Debatte um die Frage, inwiefern deutsche Daten bei US-Cloud-Anbietern gespeichert werden, ob US-Behörden Zugriff auf diese Daten haben und inwiefern hier die Standardvertragsklauseln ausreichen, um Daten zu schützen. Die Aufsichtsbehörden sind der Aufforderung des EuGHs aus der Schrems-II-Entscheidung gefolgt, über die Einhaltung der DSGVO zu wachen, und haben in einer gemeinsamen Aktion begonnen, stichprobenartig zu prüfen, wie Unternehmen die Anforderungen aus der Entscheidung umgesetzt haben. Kürzlich haben die Aufsichtsbehörden dazu Fragebögen veröffentlicht, die sie an ausgewählte Unternehmen versenden.

Viele Unternehmen in Deutschland profitieren von den Diensten amerikanischer Tech-Unternehmen. Und ohne den Einsatz von cloud-basierter Unternehmenssoftware während der Coronakrise wären die wirtschaftlichen Einbußen in Europa sicherlich größer gewesen. All diese Unternehmen könnten nun einem erheblichen Bußgeldrisiko ausgesetzt sein. Es wäre wünschenswert – insbesondere im Jahr der Bundestagswahl –, wenn sich neben den Aufsichtsbehörden, auch die Politik der Herausforderung widmet, Rechtssicherheit zu schaffen.

Der Fall Schrems II hat die Notwendigkeit einer weltweiten Konvergenz der Datenschutzbestimmungen deutlich aufgezeigt – und auch ein Jahr nach der Entscheidung des EuGH ist das Thema wichtiger denn je. Die rechtliche Unsicherheit deutscher Unternehmen zeigt, dass ein Handeln dringend erforderlich ist. Tausende Unternehmen warten in dieser Krise auf eine politische Lösung, die vor dem EuGH Stand hält.

Entscheidend ist die Einigung auf eine Balance zwischen dem Schutz persönlicher Daten und staatlichen Sicherheitsinteressen sowie nationalen Sicherheitspraktiken. Auch für die deutsche innenpolitische Diskussion wäre ein internationaler Referenzrahmen von Vorteil. Es braucht einen Diskurs demokratisch gewählter Regierungen, unter Einbeziehung der Zivilgesellschaft, ob und unter welchen Bedingungen der staatliche Zugriff auf persönliche Daten ermöglicht werden soll, um das legitime Ziel des Aufrechterhaltens der öffentlichen Ordnung zu erreichen.

Ein Ausgangspunkt könnte sein, dass sich gleichgesinnte Regierungen im Rahmen von bi- oder multilateralen Gesprächen auf eine Reihe von Prinzipien für den Zugang zu digitalen Beweismitteln und auf ein angemessenes Maß an unabhängiger richterlicher Aufsicht einigen und entsprechende Verpflichtungen eingehen. Es steht viel auf dem Spiel und die politischen Entscheidungsträger werden die schwierige Gleichung lösen müssen, wie drei grundlegende Elemente angemessen ausbalanciert werden können: Datenschutz, nationale Sicherheit und Wirtschaftswachstum.