Ende des Safe: Harbor

Bis Sonntag (31.) wollten sich die USA und die EU eigentlich auf ein neues Safe-Harbor-Abkommen zum transatlantischen Datenverkehr verständigen. Eine pünktliche Einigung ist mittlerweile jedoch unrealistisch. Die Leidtragenden dieser andauernden Rechtsunsicherheit sind tausende Unternehmen in ganz Europa. Sie brauchen Planungssicherheit.

Europäische Unternehmen können nur ein wenig aufatmen: Ein Ausschuss des US-Senats hat mit der Verabschiedung des sogenannten Judicial Redress Act am Donnerstag einen Stein auf dem Weg zur Einigung auf ein neues Datentransferabkommen aus dem Weg geräumt. Der Judicial Redress Act soll die Datenschutzrechte der US-Bürger auf EU-Bürger ausweiten. Bislang haben die europäischen Datenschutzbehörden allerdings keinen Konsens gefunden, wie legale Datentransfers in die USA aussehen könnten – damit scheint auch Safe Harbor II noch in weiter Ferne.

Bereits im vergangenen Oktober hatte der Europäische Gerichtshof (EuGH) entschieden, dass personenbezogene Daten wegen fehlendem US-Datenschutz nicht mehr auf Grundlage des Safe-Harbor-Abkommens aus der EU in die USA übertragen werden dürfen.

Das Problem am EuGH-Urteil: Safe Harbor war bislang für mehr als 4.000 europäische Firmen die wichtigste Grundlage für die legale Übertragung von Daten in die USA. Die Firmen müssen deshalb jetzt alternative Rechtsinstrumente nutzen: Zum einen können sie ihre Datentransfers auf Standardvertragsklauseln der EU-Kommission stützen. Zum anderen stehen ihnen sogenannte Corporate Binding Rules offen, die für den Datenaustausch innerhalb eines Unternehmens genutzt werden.

Für die Umstellung auf die beiden Alternativen hatten die europäischen Datenschutzbehörden den Unternehmen eine Galgenfrist bis Ende Januar eingeräumt. Bis dahin wollten die Behörden allerdings auch klären, inwiefern das EuGH-Urteil eventuell auch diese Alternativen betrifft. Die USA und die Europäische Kommission hatten außerdem in Aussicht gestellt, ein verbessertes Datenaustauschabkommen vorzulegen.

Doch nach aktuellem Stand werden die Deadlines gerissen. Die Leidtragenden sind die Unternehmen – sie bewegen sich ab nächster Woche in einer rechtlichen Grauzone. Deshalb müssen sich die europäischen Datenschutzbehörden schnell auf eine gemeinsame Position zur Zukunft von Safe Harbor einigen. Diese sollte zumindest übergangsweise die Standardvertragsklauseln und die Corporate Binding Rules beibehalten, um überhaupt Datentransfers in die USA zu ermöglichen. Mittelfristig wären jedoch auch neue Regeln und Reformen auf beiden Seiten des Atlantiks denkbar.

Wichtig ist darüber hinaus, dass sich Europa mit einer starken Haltung präsentiert. Denn nur dann kann der Spagat in den Verhandlungen mit den USA gelingen, der für die Zukunft des Wirtschaftsstandorts Europa nötig ist – zwischen dem europäischen Grundrecht auf den Schutz personenbezogener Daten einerseits und den Anforderungen einer global vernetzten Wirtschaft andererseits.