Bildrechte
Reuters
Der Österreicher Max Schrems hat jahrelang um die Übermittlung seiner Daten in die USA gekämpft
Eine bevorstehende Datenschutzregelung kann für Unternehmen, die Daten aus der EU übertragen, zu Chaos führen.
Rechtsexperten sind zuversichtlich, dass kein "Worst-Case" -Entscheid gefällt wird, warnen jedoch vor weitreichenden Auswirkungen.
Es handelt sich um einen Fall gegen Facebook durch einen Datenschutzbeauftragten, der Einwände gegen die Übermittlung seiner Informationen an die USA erhoben hat.
Tausende Unternehmen verlassen sich auf die bestehenden Maßnahmen, die gefährdet sind.
Der Fall vor dem Europäischen Gerichtshof (EuGH) ist komplex, hängt jedoch teilweise von der Besorgnis ab, dass Facebook nach US-Recht personenbezogene Daten an Behörden wie die National Security Agency oder das FBI weitergeben muss.
Max Schrems, ein österreichischer Staatsbürger, reichte 2013 einen Fall ein, nachdem die Lecks von Edward Snowden das Ausmaß der US-Überwachung aufgedeckt hatten.
Infolgedessen hob der EuGH 2015 die langjährige "Safe Harbor" -Vereinbarung auf.
In der Folge haben die EU und die USA Alternativen erarbeitet, die Herr Schrems erneut in Frage stellte, und dies ist jetzt vor dem Europäischen Gerichtshof.
"Die Sorge war schon immer: Wenn Daten Europa verlassen, was passiert damit? Sie haben möglicherweise keine gleichwertigen Rechte und Einzelpersonen haben möglicherweise keinen gleichwertigen Schutz", erklärte Jonathan Kewley, Co-Leiter Technologie bei der Anwaltskanzlei Clifford Chance.
- Facebook befragte vor Gericht Datenübertragungen
- Google und Facebook sind mit GDPR-Beschwerden konfrontiert
Die meisten sehr großen Unternehmen verwenden sogenannte SCCs – vorab geschriebene, nicht verhandelbare Verträge, die von Europa erstellt wurden und die Unternehmen gesetzlich dazu verpflichten, bestimmte Standards einzuhalten.
In einer im Dezember verfassten Stellungnahme eines Generalanwalts wurde empfohlen, die SCC trotz einiger Bedenken beizubehalten. Das Gericht ist jedoch nicht verpflichtet, dieser Empfehlung zu folgen – und könnte sie dennoch für ungültig erklären.
Herr Kewley sagte, das sei "unwahrscheinlich", aber wenn es passieren würde, wäre es "ziemlich katastrophal".
"Es wäre eine extreme und unerwünschte Entscheidung … und ich spreche nicht nur von Technologieunternehmen. Hier geht es um jedes Unternehmen."
Dies würde die meisten Länder außerhalb der EU betreffen. Dies könnte beispielsweise ein Unternehmen betreffen, das Personal- oder Gehaltsdaten an eine Zentrale außerhalb der EU senden möchte, oder ein Unternehmen, das persönliche Daten in einem Cloud-Speicher in den USA speichern möchte.
Es würde keine Auswirkungen auf unbedingt notwendige Datenübertragungen haben – beispielsweise das Versenden einer E-Mail an ein Hotel im Ausland, um ein Zimmer zu buchen, oder den Besuch einer in China ansässigen Website.
Herr Kewley sagte, ein "viel wahrscheinlicheres Szenario" sei, dass SCCs in Zukunft genauer überwacht oder von Fall zu Fall geprüft werden.
Es ist unwahrscheinlich, dass eine Entscheidung das Vereinigte Königreich betrifft, selbst nachdem die Brexit-Übergangsfrist Ende dieses Jahres endet.
Die europäischen GDPR-Regeln (General Data Protection Regulation) wurden in das britische Recht übernommen, und es wird allgemein erwartet – obwohl nicht sicher -, dass eine sogenannte "Angemessenheitsentscheidung" getroffen wird, die effektiv besagt, dass die britischen Datenschutzbestimmungen der EU unterliegen Standards.
Dies könnte sich in Zukunft ändern, wenn das Vereinigte Königreich seine Gesetze ändert, um von den aktuellen Standards abzuweichen.