Unsicherer Hafen

Die EU-Richter haben das Safe-Harbor-Abkommen mit den USA gekippt. Das hat weitreichende Folgen für die Geschäftsreisebranche. Für US-Anbieter könnte es ungemütlich werden.

Die Entscheidung des Europäischen Gerichtshofs vom 6. Oktober 2015 (Aktenzeichen C-362/14) war durch das Gutachten des Generalanwalts bereits angekündigt worden. Die Übermittlung personenbezogener Daten in die USA nur aufgrund einer generellen Prüfung des Datenschutzniveaus und einer entsprechenden Erklärung genügt nicht mehr. Das hat weitreichende Folgen für die gesamte europäische Reisebranche, selbstverständlich auch fürs Travel Management. Vor allem für Unternehmen der Geschäftsreise-Branche, die ihren Sitz in den USA haben, könnte es ungemütlich werden.

Zum Hintergrund: Bislang gab es die sogenannte Safe-Harbor-Regelung. Unternehmen konnten sich verpflichten, bestimmte Grundsätze des Datenschutzes einzuhalten. Dann wurde die sonst erforderliche Einzelfallprüfung überflüssig, ob das US-amerikanische Unternehmen wirklich europäische Datenschutzstandards beachtet. Diese Regelung haben über 5000 Unternehmen in Anspruch genommen. Dadurch erst wurde der Datenverkehr aus der Europäischen Union in die USA datenschutzrechtlich möglich.

Im konkreten Fall ging es um Facebook: Ein österreichischer Student wollte Facebook verpflichten, die Übertragung seiner Daten nicht mehr zu gestatten. Nach Vorlage durch das oberste irische Gerichte – den High Court – haben nun die EU-Richter entschieden: Facebook kann sich nicht auf die Anwendung der Safe-Harbor-Regeln berufen, da diese nicht ausreichen, um ein adäquates Datenschutzniveau sicherzustellen.

Die Brisanz des Urteils geht allerdings weit über Facebook hinaus: Mastercard, Microsoft, Sabre, SaaS-Provider wie etwa Reisekostensoftware, Google – die Liste der Unternehmen, die personenbezogene Daten bislang in die USA überspielen durften, ist lang. Das Urteil des Europäischen Gerichtshof bedeutet aber nun, dass diese Privilegierung von US-Unternehmen abgeschafft werden muss. Um persönliche Daten etwa von Deutschland in die USA zu senden – wie es Facebook millionenfach tut –, reicht die Safe-Harbor-Regelung nicht mehr aus.

USA kennt kaum Datenschutz

Stattdessen muss nun bei jeder einzelnen Übermittlung von personenbezogenen Daten an US-Firmen geprüft werden, ob das amerikanische Unternehmen das europäische Datenschutzniveau gewährleistet. Dies dürfte im Einzelfall jedoch klar zu verneinen sein. Denn Datenschutz hat in den USA einen verhältnismäßig geringen Stellenwert. So können US-amerikanische Behörden weitreichende Auskunftsrechte gegenüber privaten Unternehmen geltend machen. Dies aber läuft dem europäischen Datenschutzrecht zuwider.

Theoretisch können nun in Deutschland die Datenschutzbehörden einzelner Bundesländer gegenüber jedem Unternehmen, welches personenbezogene Daten an eine Stelle in den USA übermittelt, verlangen, dass dieses die Einhaltung des europäischen Datenschutzniveaus nachweist. Dies wäre zwar ein Mammutaufwand – die Richter schreiben es jedoch vor! Gelingt dies nicht (und davon ist auszugehen), stellt die Übermittlung einen Verstoß gegen das europäische Datenschutzrecht dar und kann sogar straf- und ordnungsrechtliche Folgen mit sich bringen.

Auch die Nutzung von Diensten von US-Unternehmen wie Google Analytics oder des Reservierungssystems Sabre erfordert damit künftig, dass hier im Rahmen einer Einzelfallprüfung die Einhaltung des europäischen Datenschutzstandards durch die US-Unternehmen gewahrt ist. Sollte dies nicht der Fall sein, drohen empfindliche Strafen der Datenschutzbehörden bis hin zu strafrechtlichen Konsequenzen für die Geschäftsführer derartiger Unternehmen.

Es wird allerdings vermutet, dass die europäischen Datenschutzbehörden diese Rechtsfolgen nicht sofort bis zur letzten Konsequenz durchsetzen, sondern den Unternehmen vielmehr stillschweigend eine Übergangsfrist einräumen werden. Auch gibt es die Möglichkeit, durch die Nutzung von Standardvertragsklauseln oder konzerninternen Regeln den Datenverkehr zu legalisieren. In jedem Fall muss jedes deutsche Unternehmen, das Dienste in den USA nutzt, rasch prüfen, wie es mit dem Urteil umgehen will, und sich anderer Optionen versichern.

Bei Fragen zu diesem Thema kontaktieren Sie bitte: Prof. Dr. Hans-Josef Vogel

Zuerst veröffentlicht auf BizTravel.