Im Gespräch mit Oliver Süme, Rechtsanwalt und Partner bei Fieldfisher

Das Urteil ist gefallen - der EU-US Privacy Shield ist ungültig. Und nun? com! professional spricht mit Oliver Süme, Fach­anwalt für IT-Recht und Partner der interna­tionalen Wirtschaftskanzlei Fieldfisher. Er berät Unternehmen und Konzerne zu Fragen des internationalen Datenschutzes. Darüber hinaus ist er Vorstandsvorsitzender von eco - Verband der Internetwirtschaft.

com! professional: Herr Süme, heißt das jetzt, dass keine Daten mehr aus der EU in die USA fließen dürfen?

Oliver Süme: Nein, das heißt es nicht grundsätzlich. Mit dem EU-US  Privacy Shield wurde zwar eine wichtige Rechtsgrundlage mit sofortiger Wirkung für ungültig erklärt, da die dort vorgesehenen Schutzmechanismen angesichts der sehr weitreichenden Zugriffsmöglichkeiten von US-Sicherheitsbehörden auf Daten von EU-Bürgern kein angemessenes Schutz­niveau ermöglichen. Allerdings kennt die DSGVO auch weitere Rechtsgrundlagen für den internationalen Datentransfer, sodass auch weiterhin Daten in die USA fließen können.

Süme: Ja, die SCCs können grundsätzlich weiter genutzt werden. Allerdings hat der Europäische Gerichtshof auch klargestellt, dass bei Nutzung der SCCs zuerst geprüft werden muss, ob ein ausreichendes Datenschutzniveau im Zielland besteht, und, sofern dies nicht der Fall ist, zusätzliche Schutzmaßnahmen im Vertrag zu dokumentieren sind. Bei der Prüfung des Datenschutzniveaus sind insbesondere die Befugnisse der Sicherheitsbehörden zu berücksichtigen, die in den USA aufgrund des „Foreign Intelligence Surveillance Act“, der die Auslandsaufklärung und Spionageabwehr regelt, ohne Frage problematisch sind.

Nun können zusätzliche Schutzmaßnahmen zwischen zwei Vertragsparteien solche Sicherheitsgesetze natürlich nicht aushebeln. Aber mit vertraglichen Zusatzregelungen, zum Beispiel über Beschränkungen der übertragenen Datenkategorien, Zugriffsrechte des Datenimporteurs oder strenge Löschfristen, können auch insoweit die Risiken minimiert werden. Mit solchen Vertragszusätzen bleiben die Standardvertragsklauseln  auch weiterhin eine Option. Was dabei genau geregelt werden muss, hängt natürlich stark vom Einzelfall ab.

Süme: Unternehmen müssen jetzt umgehend damit beginnen, ihre internationalen Datenverarbeitungsprozesse an das EuGH-Urteil anzupassen. Wer bisher das Privacy-Shield-Abkommen genutzt hat, muss sofort auf eine andere Rechtsgrundlage umstellen, da es keine Übergangsfristen gibt. Wer bereits jetzt die SCCs als Rechtsgrundlage nutzt, muss prüfen, ob und was für zusätzliche Schutzmechanismen erforderlich sind, und diese vertraglich dokumentieren. Das gilt übrigens nicht nur für den Datentransfer in die USA, gerade bei Ländern wie Indien, Russland oder China sollte man genau hinsehen und das dortige Datenschutzniveau auf Zugriffsrechte von Sicherheitsbehörden hin prüfen.

com! professional: Muss ich als Unternehmen mit Geldbußen rechnen, wenn ich nicht schnellstmöglich etwa auf die Standardvertragsklauseln umstelle?

Süme: Je mehr man jetzt in Schockstarre verharrt, desto größer das Bußgeldrisiko. Auch die Aufsichtsbehörden wissen aber, dass nicht von heute auf morgen vom Privacy Shield auf die Standardvertragsklauseln umgestellt werden kann. Trotzdem sollte man dokumentieren, dass man sich frühzeitig nach dem Urteil damit auseinandergesetzt und einen Umstellungsprozess eingeleitet hat. Es ist nur eine Frage der Zeit, bis die ersten Schreiben mit Fragebögen der Aufsichtsbehörden bei den Unternehmen eingehen werden.

com! professional: Was raten Sie  Unternehmen - ist es nicht generell sinnvoller, auf eine Datenverarbeitung in den USA zu verzichten?

Süme: Das hängt sehr stark vom Geschäftsmodell und der Internationalität eines Unternehmens ab. Während für eher national oder europäisch aufgestellte Unternehmen ein Verzicht auf die Datenverarbeitung in den USA eine Option sein kann, kommen multinationale Unternehmen oft gar nicht darum herum. Prinzipiell ist man aber sicher gut beraten, zu prüfen, ob nicht europäische Anbieter eine Alternative darstellen können.