Herunterladen
Teilen
Dr. Michael Rath
Fachanwalt für IT-Recht

IT-Anwalt warnt: “Die Compliance-Risiken des Datentransfers in die USA steigen stark an”

Das Urteil des Europäischen Gerichtshofes (EuGH), das den EU-US Privacy Shield im Juli 2020 für ungültig erklärte, hat bei europäischen Unternehmen für eine grosse rechtliche Unsicherheit gesorgt. Denn in der Tat machen die meisten von US-amerikanischer Software Gebrauch. Bis dahin hatte der Privacy Shield den Datentransfer in die USA rechtlich abgesichert und zwar mit dem Ziel, den strengen europäischen Datenschutzstandards über die Grenzen der EU hinaus Geltung zu verschaffen. Doch nun kam das Gericht zu dem Schluss, dass der Datenschutz in den USA nicht gewährleistet werden kann.

Mit dem Wegfallen dieser Rechtsgrundlage sind die Compliance-Risiken für europäische Unternehmen stark gestiegen. Als Folge wird auch der Ruf nach stärkerer europäischer Datensouveränität immer lauter. Die Berliner Landesbeauftragte für den Datenschutz, Maja Smoltczyk, empfahl Unternehmen gar, den Datentransfer in die USA ganz zu unterbinden und nur noch europäische Softwarealternativen einzusetzen. “Die Zeiten, in denen personenbezogene Daten aus Bequemlichkeit oder wegen Kostenersparnissen in die USA übermittelt werden konnten, sind nach diesem Urteil vorbei”, schrieb sie in einer Pressemitteilung.
 

Deutscher IT-Anwalt sieht wachsende Gefahr von Compliance-Verstössen und fordert mehr Datensouveränität

Einer, der schon vor über zwei Jahren vor den Compliance-Risiken des US-Datentransfers gewarnt hatte, ist Dr. Michael Rath, Rechtsanwalt, Fachanwalt für IT-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH. Kurz vor dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) schrieb er in einem Paper mit dem Namen “In der Wolke ist die Freiheit nicht grenzenfrei”, welches auch in der Computerwoche publiziert wurde, über die Gefahren des US CLOUD Acts. Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act) erlaubt US-Behörden auch ohne Rückgriff auf internationale Rechtshilfeabkommen den Zugriff auf Daten von (US-)Unternehmen, die nicht in der USA gespeichert werden. Das Gesetz trat am 23.03.2018 in Kraft, also nur zwei Monate vor der DSGVO.

Dr. Michael Rath schrieb bereits damals, dass die direkte Datenübermittlung eines Unternehmens an ein anderes Unternehmen oder eine US-Behörde nach der DSGVO nicht zulässig sei, wenn keine angemessenen Zusatzmaßnahmen ergriffen werden. “Daraus folgt, dass Unternehmen, die (personenbezogene) Daten aus der EU direkt an US-Behörden übermitteln, ohne beispielsweise Standard-Datenschutzklauseln einzusetzen, einen Verstoß gegen Art. 48 DSGVO begehen könnten, der nach Art. 83 Abs. 5 lit. d) DSGVO bußgeldbewehrt wäre. Im Ernstfall könnten, wenn ein schwerwiegender Fall vorliegt, einem Unternehmen Bußgelder in Höhe von bis zu 20 Millionen Euro oder bis zu 4 Prozent des gesamten weltweiten Vorjahresumsatzes drohen, je nachdem, was höher ist.” 

  • Haben sich die prognostizierten Compliance-Risiken des CLOUD Acts bewahrheitet?
  • Welche Rolle spielt das Urteil des EuGH?
  • Und wie steht es um die Datensouveränität in Deutschland?

Wir haben Dr. Michael Rath gebeten, die aktuellen Entwicklungen in Bezug auf Compliance-Risiken für deutsche und europäische Unternehmen einzuschätzen.

 

Sherpany: Der Entscheid zum Privacy Shield hat das Konfliktpotenzial zwischen dem Datentransfer in die USA, vor allem mit Blick auf den US CLOUD Act, und der DSGVO auf die Agenda von mittleren und großen deutschen Unternehmen gebracht. Wie schätzen Sie die Lage heute ein?

Dr. Michael Rath: Der Cloud Act hat nur noch deutlicher gemacht, was Datenschützern ohnehin schon seit längerem bekannt war: Datenübermittlungen in die USA oder an Unternehmen, die engere Verbindungen in die USA haben (z. B. als Teil einer Unternehmensgruppe), sind unter der DSGVO aufgrund der staatlichen Zugriffsrechte und mangelnder Rechtsschutzmöglichkeiten oftmals kritisch zu beurteilen. 

Die aktuelle Rechtsprechung des EuGH zur Unwirksamkeit des EU-US Privacy Shield sowie die großflächigen Beschwerden der u.a. vom Datenschutzaktivisten Max Schrems gegründeten Datenschutz-NGO „noyb“ („none of your business“) sind nur die logischen Folgen. Unternehmen verbleiben damit immer weniger praktikable Möglichkeiten zur Datenverarbeitung in den USA, solange Gesetze wie der Cloud Act (oder auch vergleichbare Gesetze in anderen Staaten außerhalb der EU) existieren.

Ein Zugriff nach dem Cloud Act oder ähnlichen Gesetzen lässt sich jedoch kaum verhindern. Ist ein Unternehmen mit Sitz oder Geschäftstätigkeit in der EU hiervon betroffen (und sei es nur indirekt über Subunternehmer), kann dies einen Verstoß gegen die DSGVO darstellen. In diesem Fall drohen diverse Sanktionen: Aufsichtsbehörden können z. B. den Datentransfer untersagen. In sehr schwerwiegenden Fällen drohen sogar Bußgelder.

 

Sherpany: Sie haben vor zwei Jahren vor den Compliance-Risiken für deutsche Unternehmen gewarnt. Wie haben sich die Behörden seither verhalten? Kam es tatsächlich zu Sanktionen?

Dr. Michael Rath: Verzichteten manche Aufsichtsbehörden zunächst noch auf schwerwiegende Strafen und handelten eher nach einem kooperativen Ansatz (so z. B. in Deutschland), nutzen mittlerweile immer mehr Aufsichten in der EU die ihnen zustehenden Sanktionsmöglichkeiten voll aus.


'Untersagungen und Millionenstrafen sind inzwischen keine Seltenheit mehr.'


Mit den eher strengen Gerichtsurteilen im Rücken dürften die Aufsichtsbehörden auch zukünftig strengere Maßstäbe anlegen – hatten Unternehmen ihrer Ansicht nach doch inzwischen mehr als zwei Jahre Zeit, die Anforderungen der DSGVO umzusetzen. Durch NGOs, Verbraucherschützer und Wettbewerber droht zudem weiteres Ungemach.

Die Compliance-Risiken bei Verstößen sind daher in den letzten Monaten stark angestiegen und dürften sich auch weiterhin erhöhen. Für Unternehmen existieren dabei jedoch leider oft unauflösbare Widersprüche im Spannungsfeld von Compliance und geschäftlichen Prozessen: insbesondere im IT-Bereich auf dem europäischen Markt existieren nur wenige wettbewerbstaugliche Alternativen zu US-Dienstleistern, die DSGVO-konform eingesetzt werden könnten. Die Behörden werden hier Fingerspitzengefühl beweisen müssen, um sowohl dem Datenschutz, als auch den wirtschaftlichen und tatsächlichen Anforderungen gerecht zu werden. 

 

Sherpany: Geschätzte 70 % der deutschen Unternehmen verwenden für die Kommunikation von vertraulichen Vorstandsinformationen den mittlerweile amerikanischen Betreiber Brainloop*. Was bedeutet die momentane Situation für diese Unternehmen und was sagt dies über die Datensouveränität in Deutschland aus?

Dr. Michael Rath: Für betroffene Unternehmen bedeutet der aktuelle Zustand eine gewisse Unsicherheit. Sie müssen die Datentransfers in die USA sowie die vertraglichen Vereinbarungen auf den Prüfstand stellen und gegebenenfalls anpassen, um weiterhin DSGVO-konform zu arbeiten. Dabei gilt:


'Je sensibler die Daten, desto schwieriger wird es, die Übermittlung in die USA zu rechtfertigen. Unternehmen sollten zudem Alternativangebote in der EU prüfen.' 


So hat z.B. der Landesdatenschutzbeauftragte von Baden-Württemberg darauf hingewiesen, dass nur noch in Ausnahmefällen Dienstleister mit einer sogenannten „Transferproblematik“ eingesetzt werden sollen. 

Inwieweit dies praktikabel ist, bleibt angesichts der Marktmacht der US-amerikanischen Digitalkonzerne abzuwarten. Denn derzeit ist die Datensouveränität in Deutschland und der EU eher gering einzuschätzen. So kann man den aktuellen Entwicklungen zu Datentransfers unter Umständen auch noch etwas Gutes abgewinnen: durch den möglicherweise steigenden Bedarf an alternativen europäischen Anbietern kann die Datensouveränität in Deutschland und der EU weiter gestärkt werden.

Sherpany: Herr Dr. Rath, vielen Dank für Ihre Antworten.

*Das deutsche Softwareunternehmen Brainloop wurde 2018 vom US-Unternehmen Diligent aufgekauft.

Dr. Michael Rath
Dr. Michael Rath
Fachanwalt für IT-Recht
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für IT-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH in Köln. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz.

Einblicke und Ressourcen

facebooktwittergoogle-plus2linkedin2envelopsearch

Einblicke und Ressourcen

Sherpany bietet Unternehmensnews, Fachartikel, exklusive Interviews, Fallstudien und Best Practices zur Digitalisierung und Transformation der Meeting-Kultur von Verwaltungsräten, Führungskräften, Generalsekretären und Generaldirektionen.

Beispiele umfassen Inhalte zu:

  • Board Portalen und Meeting-Management-Softwares
  • Digitalisierung und digitale Sitzungen
  • Verwaltung & Compliance
  • Effiziente Leitung

Testen Sie Sherpany

Gerne würden wir mit Ihnen einen passenden Termin und den Ort einer ganz auf Sie zugeschnittenen Demonstration von Sherpany vereinbaren. Füllen Sie einfach dieses Formular aus und wir setzen uns umgehend mit Ihnen in Verbindung.

Kontaktieren Sie uns

Wenn Sie mit uns über unsere Lösung sprechen möchten oder spezielle Wünsche haben, kontaktieren Sie uns und wir werden uns in Kürze mit Ihnen in Verbindung setzen.

Preisanfrage

Füllen Sie das folgende Formular aus und Sie werden so schnell wie möglich kontaktiert.

Newsletter abonnieren