Die Folgen des Safe-Harbor-Urteils

"Das Urteil des EuGH stärkt zweifellos den Datenschutz"

Uhr | Aktualisiert
von George Sarpong

Nach dem Aus für das Safe-Harbor-Abkommen durch den EuGH stellt sich die Frage, wie sich das Urteil auf die Schweiz und ihre Unternehmen auswirkt. Experten verschiedener Branchenverbände klären auf.

Der Europäische Gerichtshof (EuGH) hat das Safe-Harbor-Abkommen mit den USA für ungültig erklärt. Wörtlich hiess es in einer Mitteilung des EuGH zum Urteil vom 6. Oktober: "Der Gerichtshof erklärt die Entscheidung der Kommission, in der festgestellt wird, dass die Vereinigten Staaten von Amerika ein angemessenes Schutzniveau übermittelter personenbezogener Daten gewährleisten, für ungültig."

Und nun? Die Schweiz ist zwar nicht Mitglied der EU, folglich hat das Urteil des EuGH keine unmittelbare Bedeutung für Schweizer Bürger, wie ISSS-Präsidentin und Rechtsanwältin Ursula Widmer von der Anwaltskanzlei Dr. Widmer & Partner auf Anfrage mitteilte.

Schweizer Abkommen infrage gestellt

Allerdings nutzen auch Schweizer Unternehmen Dienste wie AWS für ihre Unternehmens-IT oder Facebook für Marketingzwecke. Hinzu kommt, dass die Schweiz eine vergleichbare Regelung zur Übermittlung von Daten mit den USA aushandelte, wie seinerzeit die EU-Kommission.

Dieses Abkommen werde durch das Urteil infrage gestellt, schreibt der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) in einer Stellungnahme. Bei einer Neuverhandlung empfiehlt er den Schweizer Unterhändlern ein international koordiniertes Vorgehen, unter Einbezug der EU.

Schweizer Unternehmen sollten sich absichern

In der Zwischenzeit heisst es aufpassen, welche Daten man preisgibt. Wer Daten auslagert, sollte diese bei europäischen Anbietern tun, deren Server im EU-Raum gehostet werden.

Schweizer Unternehmen und Behörden, die Produkte und Dienstleistungen von US-Unternehmen beziehen, sollten Zusatzvereinbarungen zum besseren Schutz der betroffenen Personen und ihrer Daten treffen, teilte der EDÖB weiter mit.

Ähnliches empfiehlt auch ISSS-Präsidentin Widmer. Unternehmen sollten mit ihrem Anbieter vertragliche Garantien vereinbaren, die einen angemessenen Datenschutz sicherstellen. Das schweizerische Datenschutzgesetz sehe vor, dass mit solchen vertraglichen Garantien Personendaten ins Ausland weitergegeben werden dürfen, auch wenn im Land des Datenempfängers kein mit der Schweiz vergleichbarer angemessener gesetzlicher Datenschutz besteht.

Es müssen neue Grundlagen geschaffen werden

Widmer schätzt, dass US-Anbieter daher alternative Grundlagen schaffen müssen, falls sie nicht bereits über solche verfügen. Das EU-Recht kenne hierzu, ähnlich wie das Schweizer Datenschutzgesetz, die Möglichkeit, mit Datenempfängern in den USA vertragliche Datenschutzgarantien zu vereinbaren. Die EU-Kommission habe hierzu Standardklauseln publiziert.

Innerhalb von Konzernen könne ein angemessenes Datenschutzniveau auch durch sogenannte Binding Corporate Rules geschaffen werden, führte Widmer weiter aus. Auf Basis dieser Unternehmensregeln dürften Daten an Firmen weitergegeben werden, die sich in Ländern mit einem ungenügenden gesetzlichen Datenschutz befinden.

Datenschutz wird gestärkt

"Das Urteil stärkt zweifellos den Datenschutz. Andererseits muss man sehen, dass viele Unternehmen darauf angewiesen sind, dass ein Austausch von Personendaten mit den USA auf einer verlässlichen und einfachen Grundlage erfolgen kann", lautet das Fazit von Widmer.

Für sie ist klar, dass ein Ersatz für das Safe-Harbor-Abkommen notwendig ist, und sie gibt zu bedenken: "Ob es aber möglich sein wird, mit den USA die aus europäischer Sicht notwendigen Datenschutzanforderungen umzusetzen, wird die Zukunft erst noch zeigen."

Branchenverbände bewahren Ruhe

Auch beim Verband für die digitale Schweiz Swico wertet man das Urteil als Zeichen für eine Stärkung des Datenschutzes in Europa, was grundsätzlich positiv sei, teilte Swico-Geschäftsführer Jean-Marc Hensch mit.

Aus wirtschaftlichen Gründen sei es allerdings unerlässlich, mit den USA eine gemeinsame Basis zu finden, da die Bedeutung amerikanischer Unternehmen in der ICT eine Tatsache ist und sich sonst beträchtliche wirtschaftliche Probleme ergeben könnten. "Für die Schweizer ICT-Wirtschaft sehen wir keine unmittelbaren Konsequenzen. Zuerst wird es ja einige Zeit brauchen, bevor klar ist, was nun in der EU effektiv passiert", erklärte Hensch.

Mögliche Chance für Schweizer Nischenplayer

Dennoch sei unklar, was weiter geschehen wird. Vielleicht kämen die irischen Richter bei der Prüfung des konkreten Falls zum Schluss, dass Safe Harbor doch ausreiche, gab Hensch zu Bedenken. Es könnte aber auch Bewegung in die Sache kommen, etwa wenn ein EU-Mitgliedsland einen Alleingang beim Datenschutz wagen würde. "Ich gehe davon aus, dass die Schweiz dann im Sinne des 'autonomen Nachvollzugs' der EU-Linie folgen wird", sagte Hensch.

Er sieht aber auch Chancen, vorausgesetzt, dass das Abkommen tatsächlich nichtig würde: "Sollte Safe Harbor wirklich fallen, könnten sich für Schweizer Nischenplayer Chancen ergeben, Business in die Schweiz zu holen."

"Für eine Abschätzung der Folgen ist es noch zu früh"

Grundsätzlich begrüsst der Verband die Stärkung des Datenschutzes. Der Schutz der Privatsphäre habe für die ICT-Branche einen hohen Stellenwert, teilte Asut-Präsident Peter Grütter mit und fügte an: "Wir befürworten einen griffigen und vertrauensstiftenden Datenschutz und sehen darin einen Standortvorteil für unser Land. Angesichts der immer intensiveren Datenbewirtschaftung sehen wir als möglichen neuen Akzent in der öffentlichen Diskussion vor allem auch einen besseren Schutz der Integrität persönlicher Daten."

Das Abkommen sei aber noch in Kraft, betonte Grütter, "für eine Folgeabschätzung in Bezug auf das EuGH-Urteil ist es daher noch zu früh". Die Schweizer Wirtschaft muss also abwarten, wie die irischen Richter, die EU-Kommission und auch die Schweizer Politik reagieren werden, was bekanntlich dauern kann. Beim Asut will man daher zunächst die Auswirkungen und Reaktionen im europäischen Umfeld aufmerksam verfolgen.

Schweizer Unternehmenskunden rät Grütter, die Datenschutzbestimmungen von US-amerikanischen IT- und Cloud-Anbietern zu prüfen und gegebenenfalls konkrete Datenschutzvereinbarungen mit den einzelnen Anbietern ins Auge zu fassen.

Tags
Webcode
4765