Safe Harbor und die Datenschutz-Grundverordnung: Unternehmen müssen ihren Kurs neu bestimmen

Deutsche und europäische Unternehmen stehen durch Safe Harbor und die Datenschutz-Grundverordnung unter Druck. Andres Dickehut, CEO der Consultix GmbH, kommentiert die wichtigsten Datenschutz-Herausforderungen für Unternehmen. Er bezeichnet die Entwicklungen bei der Datenschutz-Grundverordnung und das Safe Harbor Urteil als Weckruf und warnt davor, die derzeitige rechtliche Grauzone aussitzen zu wollen. Der deutsche Marketing- und IT-Dienstleister aus Bremen ist seit 1994 für Weltmarken in über 80 Ländern tätig und betreut mehr als 50 Millionen Kundenprofile.

"In Sachen Datenschutz stehen deutsche Unternehmen in den kommenden 12 Monaten vor einer großen Reise. Die wichtigsten Stopps dabei: Safe Harbor und die EU-Datenschutz-Grundverordnung. Im Oktober 2015 kippte der Europäische Gerichtshof (EuGH) das seit 2000 geltende Safe-Harbor-Abkommen in Folge einer Beschwerde des Österreichers Max Schrems. Grund ist laut EuGH das mangelhafte Datenschutzniveau der USA. Die Safe-Harbor-Vereinbarung legte fest, unter welchen Bedingungen Unternehmen personenbezogene Daten aus Europa in den USA verarbeiten durften. So galt auch für den Transfer zwischen deutschen und US-amerikanischen Unternehmen: Wer dem Abkommen beitrat, hatte die Erlaubnis Daten in den USA weiterzuverarbeiten. Die Verunsicherung ist jetzt groß, besonders bei Anbietern und Nutzern von Online-Diensten und -Shops, Cloud-Services, Messenger-Diensten oder sozialen Netzwerken. Denn der Datenaustausch auf Basis von Safe Harbor ist ab sofort nicht mehr gestattet. Der BITKOM warnt bereits davor, die EU drohe eine Dateninsel zu werden, sollten bestehende rechtliche Alternativen nicht greifen.

Zudem kommt Bewegung in die EU-Datenschutz-Grundverordnung. Ziel ist es, die Regeln für die Verarbeitung von personenbezogenen Daten durch Wirtschaftsunternehmen und öffentliche Behörden innerhalb der 28 EU-Länder zu vereinheitlichen. Die geplante Datenschutz-Grundverordnung wird das bis dahin geltende nationale Datenschutzrecht grundlegend verändern. Den EU-Staaten wird es dann nicht mehr möglich sein, den von der Verordnung festgeschriebenen Datenschutz durch individuelle Eingriffe zu beeinflussen. Die Verordnung sieht hohe Geldstrafen von bis zu vier Prozent des weltweiten Jahresumsatzes von Unternehmen bei Nichteinhaltung vor. Die Verhandlungen sind nun seit knapp zwei Tagen abgeschlossen. Es liegt ein final Entwurf vor.

Was bedeutet das für deutsche Unternehmen und Unternehmen mit Sitz in Europa?
Alle europäischen Unternehmen sollten das Scheitern von Safe Harbor als Chance nutzen und sich unverzüglich und umfassend um Datenschutz und Datensicherheit kümmern. Schon allein im Sinne ihrer Kunden! Ob die Unternehmen mit Standardvertragsklauseln die Zusammenarbeit mit US-amerikanischen Unternehmen verlängern können, ist rechtlich mehr als fraglich. Gleiches gilt für Unternehmen, die in der EU tätig sind, ihren Hauptsitz aber in den USA haben. Sollte zudem wie geplant 2016 die Datenschutz-Grundverordnung in Kraft treten, so müssten alle Unternehmen in Europa in einem geschätzten Zeitraum von zwei Jahren personenbezogene Daten EU-rechtskonform sichern. Ein nicht unerheblicher Aufwand, vor dem derzeit viele zurückschrecken. Es bedarf also einer klaren Analyse der eigenen Strukturen sowie finanzieller und auch personeller Investitionen.

Wir können hier aus ganz eigener Erfahrung sprechen: Internationale Marken aus dem B2C-Umfeld vertrauen auf unsere Lösungen, die Beratung und den umfangreichen Support. Aber betroffen von der aktuellen Diskussion sind, ganz allgemein gesprochen, alle Organisationen, die personenbezogene Daten verarbeiten. Dazu gehören Anbieter und Nutzer von kritischen Infrastrukturen wie Datacenter-Betreiber oder Anbieter von Telemedien (Webseiten, Apps). Aber auch die Marketing- und IT-Abteilungen in Unternehmen oder CRM- und Marketing-Agenturen sowie Software-Anbieter müssen umdenken, ebenso wie einige NGOs und Behörden.

Die Gefahr ist, dass Unternehmen die derzeitige rechtliche Grauzone aussitzen und dann ins Schwimmen kommen, sollte ihrer Datenschutzpraxis auf den Zahn gefühlt werden. Das Safe-Harbor Urteil war ein Weckruf und der Anfang einer intensiven Datenschutz-Diskussion. Vorteile ziehen nur die Unternehmen daraus, die jetzt handeln!

Organisationen, die bereits datenschutzzertifiziert sind – darunter auch wir bei Consultix – haben nun einen klaren Wettbewerbsvorteil. Wir sind seit mehr als 20 Jahren auf dem Markt und haben bei unserer CRM- und Marketing-Plattform ProCampaign von Anfang an Wert auf hohe Sicherheitsstandards bei der Verarbeitung personenbezogener Daten gelegt. In über 80 Ländern sind wir für Weltmarken erfolgreich. Darunter sind einige Kunden mit sehr sensiblen Konsumentenprofilen. ProCampaign wurde als erste und bisher einzige CRM-Plattform mit dem European Privacy Seal ausgezeichnet. Wir und unserer Kunden können den rechtlichen Diskussionen gerade gelassen entgegentreten, denn wir bieten einen sicheren Datenhafen. Unsere eigenen Rechenzentren stehen in Deutschland – bald eröffnen wir ein neues Center in unserem Atombunker. Und zum Schutz der Daten kommen moderne State-of-the-Art Firewalls, Antivirenprogramme, Intrusion Prevention Systeme und andere Sicherheitsprodukte zum Einsatz.

Dennoch ist mein Fazit zu Safe Harbor und Co. ganz nach Rilkes Warnung vor dem nahenden Herbst: 'Wer jetzt kein Haus hat, baut sich keines mehr. Wer jetzt allein ist, wird es lange bleiben.' Ähnlich unter Zeitdruck stehen die europäischen Unternehmen. Die Reise hat begonnen und es wird Zeit, für das richtige Gepäck und einen guten Reisebegleiter zu sorgen."