Warum sich E-Commerce-Unternehmen selbst um Datenschutz kümmern müssen

Privacy Shield muss ein Weckruf für Unternehmer sein! [Gastbeitrag]
Kommentare

Im Oktober 2015 hat der Europäische Gerichtshof auf Anstoß des österreichischen Datenschutz-Aktivisten Max Schrems das 15 Jahre aktive Datentransfer-Abkommen “Safe Harbor” zwischen der EU und den USA für ungültig erklärt. Es sei mit den Datenschutzgrundsätzen der EU unvereinbar. Besonders für E-Commerce-Unternehmen aus dem EU-Raum stellte sich ganz plötzlich die Frage, ob sie sich beim routinemäßigen Transfer personenbezogener Daten in die USA das Gesetz brechen.

Firmen, deren Geschäftsmodell auf E-Commerce beruht, liefen bei der Nutzung amerikanischer Tools zudem in Gefahr, etwas von deren Imageschaden abzubekommen. Viele SaaS-Anbieter, so auch wir bei Userlike, reagierten mit schnellen Stellungnahmen zu eigenen Datenschutzrichtlinien.

Vor einer guten Woche gab die EU-Kommission einen ersten Ausblick auf das Abkommen, das die entstandene Lücke schließen soll. EU-Justizkommissarin Jourová konnte dabei lediglich den Namen “Privacy Shield”, ein hübsches Logo und eine Sammlung von Stichpunkten vorlegen. Was folgte war ungläubiges Staunen und Spott von allen Seiten. Datenschutz-Experten glauben nun, dass “Privacy Shield” sein Ticket für die Rückfahrt zum EuGH bereits gelöst hat.

Für Firmen, die Daten ihrer Nutzer in die USA übertragen, dürfte eine lange Periode der Unsicherheit anbrechen. Spätestens jetzt sollten Unternehmen im E-Commerce den Datenschutz für ihre Nutzer selbst in die Hand nehmen. Und sei es nur aus eigenem Interesse.

“Privacy Shield” als Weckruf für Unternehmer

Für viele Unternehmen im E-Commerce warf das “Safe Harbor”-Urteil des EuGH vom letzten Herbst zwar keine neuen Probleme auf. Doch erstmals drohte die Verpflichtung, sich mit bestehenden Problemen auseinanderzusetzen. Die Daten von Nutzern waren auf US-Servern aus ethischer Sicht schon lange schlecht aufgehoben. Nun waren sie darüber hinaus ein aussichtsreicher Grund für Zivilklagen und Klagen von Datenschutzbehörden der EU-Staaten.

Um ein Abkommen auszuhandeln, das der geltenden EU-Datenschutzverordnung eher entspricht, erhielten EU und USA von den EU-Datenschützern eine gut dreimonatige Galgenfrist bis Ende Januar 2016. Zeit, die vor allem Tausende von Unternehmen aufatmen ließ, die tagtäglich personenbezogene Daten in die USA transferieren. Sie waren so vorerst davor geschützt, unvorbereitet in ein rechtliches wie wirtschaftliches Horrorszenario zu stürzen.

Fast zynisch: Dieses Szenario ist die Verpflichtung, das Minimum an Datenschutz zu gewährleisten, das EU-Bürgern als Grundrecht garantiert wird. Vor dieser Aussicht sollten aber nicht nur amerikanische Firmen zittern, deren Geschäftsmodell im Sammeln von personenbezogenen Daten besteht.

Auch jedes Unternehmen mit Sitz in der EU, das solche Daten seiner User, etwa zu Vertragspartnern, in die USA schickt, muss sich hier angesprochen fühlen. Die EU hat Firmen mit Sitz in Mitgliedstaaten den zweifelhaften Gefallen getan, sie in Sicherheit zu wiegen. Erst sollten sie sich auf sogenannte Standardvertragsklauseln verlassen können, dann würde das neue Abkommen wieder für Ruhe und Rechtssicherheit sorgen. Allerdings sieht es danach keinesfalls aus.

Roundtrip zum EuGH?

Erste Einblicke in  das neue “Privacy Shield” gab die EU-Kommission am 2. Februar und wurde prompt scharf attackiert, sie habe in den wichtigsten Punkten vor US-Vertretern kapituliert.

Edward Snowden merkte an, dass “Privacy Shield”, ähnlich dem Vorgänger, vor allem Unternehmen vor Verantwortlichkeit schützen solle.

Auch Max Schrems, der mit seiner Klage die Debatte in Gang gebracht hatte, schrieb in einer Stellungnahme das neue Abkommen bereits weitgehend ab: „Vieles sind nur Überschriften, aber schon die Überschriften lassen befürchten, dass dieser „Deal“ einfach nur ein Roundtrip zum EuGH nach Luxemburg ist. So viel ich gehört habe, haben sogar die Juristen in der Kommission vor diesem Pakt gewarnt, aber der Druck der Lobby, der USA und der Mitgliedsstaaten war anscheinend größer.“

Schon hier wird klar, dass die Diskussion bis jetzt kaum im Sinne der eigentlichen Urheber der personenbezogenen Daten geführt wurde. Ein weiteres Indiz, dass auch Unternehmer sich beim Thema Datenschutz nicht auf die “Privacy Shield”-Verhandlungen verlassen sollten, lieferte die EU-Kommission dann direkt selbst.

EU und USA hatten schon lange vor der Abschaffung von “Safe Harbor” mit Verhandlungen für einen Nachfolger begonnen. Nach dem EuGH-Urteil schienen alle Beteiligten von den Entwicklungen dennoch völlig überrumpelt. Um einen endgültigen Text vorzulegen, erbat man sich erst weitere Zeit bis April, wenige Tage später sollte auf einmal doch alles ganz schnell gehen:

Dieser kalte Sprint zum “Privacy Shield” lässt erahnen, welche Priorität eine Annäherung an höhere Datenschutzstandards für die Verhandlungsparteien vor dem Urteil hatte. Sollte das Abkommen wider Erwarten aus EU-Sicht doch nicht das befürchtete Einknicken vor den USA werden, so hat zumindest seine Reputation schon jetzt extrem gelitten.

Nicht nur Facebook und Google werden Probleme bekommen

Zusätzlich wird EU-Bürgern ein Vorgehen gegen US-Unternehmen mit den neuen Regelungen erleichtert. Der Anspruch von Nutzern an einen soliden Datenschutz wird in Zukunft also weiter steigen, das Thema für B2B-Unternehmen nur an Relevanz gewinnen. Die jüngsten Ohrfeigen für den amerikanischen Tech-Riesen Facebook sind sicher auch der Prominenz des Unternehmens und seinem Ruf im Bezug auf Datenschutz geschuldet. Allerdings steht außer Frage, dass auch Unternehmen ganz anderer Stellung sich bald mit denselben Fragen, Beschwerden, oder sogar Klagen auseinandersetzen müssen.

Höchste Zeit also, dass sich EU-Unternehmen, die ihren Nutzern Datenschutz versprechen, eigene Gedanken über den Umgang mit eben diesen Daten machen. Der aktuell zuverlässigste Weg zur Rechtssicherheit ist, sie auf Servern innerhalb der EU zu hosten. Aus anderen Gründen, sollte aber auch die Zusammenarbeit mit amerikanischen Anbietern überdacht werden.

Die US-Regierung zeigt nach wie vor kein Interesse, sich in puncto Einsicht in personenbezogene Daten zügeln zu lassen. US-Software-Anbieter müssen ihrer Regierung selbst solche Daten zugänglich machen, die sie von EU-Bürgern in Europa gesammelt haben. Dabei spielt das Einverständnis der Anbieter keine Rolle. Eine Problematik, die dem Image von amerikanischen Software-Firmen eine erhebliche Delle verpasst hat. EU-Unternehmer sollten sich deshalb auch gut überlegen, ob sie mit diesen Datenschutzstandards in Verbindung gebracht werden wollen und im Einzelfall prüfen, welche Daten die entsprechenden Tools sammeln und verwalten.

Wer seinen Datenschutz nach “Safe Harbor” auslegt, handelt illegal. Wer sich auf Standardvertragsklauseln beruft, tut dies eventuell auch. Und wer glaubt, dass “Privacy Shield” diese Probleme lösen wird, dürfte nicht nur hiermit auf die Nase fallen. Denn den miserablen Ruf, den das Abkommen bereits jetzt ausstrahlt, sollte sich kein Unternehmen in die Datenschutzerklärung auf der eigenen Webseite holen.

Aufmacherbild: Protection concept: pixelated Shield icon on digital background via Shutterstock / Urheberrecht: jijomathaidesigners

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -