Es gibt kaum noch physische Grenzen, die den expandieren Online-Handel einengen können. Jedoch bestehen zwischen immer enger vernetzten Nationen und Unternehmen weiterhin rechtliche Unterschiede, die für die Entwicklung des globalen E-Commerce hinderlich sein können: So wies der General Courts des Europäischen Gerichtshofs am 22. November 2017 eine Klage gegen das EU-US-Privacy Shield zur Regelung des transatlantischen Datenaustauschs zurück. Dieses Urteil wurde auf europäischer Ebene gefällt und ist für Unternehmen aus ganz Europa, die in den digitalen Handel involviert sind, relevant, denn das Thema Datenschutz darf bei der Verwaltung von Kundendaten nicht ignoriert werden.
Das EU-US Privacy Shield ist der Nachfolger des Safe-Harbor Abkommens, das bis 2015 die Rechtsgrundlage für den personenbezogenen Datentransfer zwischen der EU und den USA bildete. Wie in unserer ausführlichen Übersicht zum Thema internationaler Datenschutz erläutert, gelten innerhalb Europa strenge Datenschutzprinzipien, die auch beim Datentransfer an Drittländer eingehalten werden müssen – auch wenn diese nicht an die datenschutzrechtlichen Vorgaben der EU gebunden sind. Das wird dann zum Problem, wenn ein Drittland wie die USA die europäischen Datenvorschriften unterschreitet und als „unsicher“ gilt. Seit 2016 schützt das EU-US Privacy Shield die personenbezogene Daten europäischer Bürger, die im Zuge dessen sicher an US-Unternehmen übertragen werden – was beispielsweise bei der Nutzung einer amerikanischen Software der Fall sein könnte.
Als rechtliche Grundlage für die Speicherung und Verarbeitung personenbezogener Daten aus Europa in den USA ist das EU-US Privacy Shield für die digitale Wirtschaft sehr wichtig: Viele der Big Player wie Google, Facebook & Co. sind Verursacher des intensiven, transatlantischen Datenverkehrs – um deren Plattformen und Tools europäische Unternehmen nicht herumkommen. „Das für den transatlantischen Datenverkehr immens wichtige EU-Privacy Shield ist damit in seinem Bestand vorerst gesichert“, kommentiert Michael Neuber, Anwalt und Leiter Politik und Regulierung des Bundesverbands Digitale Wirtschaft (BVDW) e.V., die Abwendung der Klage vor dem General Court . Die Antragsbefugnis der irischen Organisation Digital Rights wurde vom Gericht verneint, da es sich weder um eine natürliche Person handele, noch personenbezogene Daten der Organisation selbst betroffen seien – das Datenschutzschild besteht also weiterhin. Mit dem Fortbestand des datenschutzrechtlichen Status Quo können europäische Unternehmen aufatmen: Eine komplette Revision der aktuellen Rechtssituation und damit einhergehende Umstrukturierungen bleiben vorerst aus.
Nichtsdestotrotz ist das Thema Datenschutz für Unternehmen unvermeidbar. Unzählige und immer leistungsfähigere Tools ermöglichen ein besseres Verständnis von potenziellen und bestehenden Kunden: Die gesammelten Daten können für die Optimierung der Marketingstrategie, des Online-Shops und der Vertriebsprozesse verwendet werden. Jedoch ist es wichtig, dass mit diesen personenbezogenen Informationsschnipseln sorgsam umgegangen wird. Ein transatlantischer Datentransfer sollte nur mit Unternehmen durchgeführt werden, die durch das EU-US Privacy Shield zertifiziert sind. Denn wie in unserem Beitrag beschrieben, müssen beispielsweise in den USA weiterverarbeitete Daten entsprechend europäischer Datenschutzverordnungen behandelt werden. Darüber hinaus sollten Unternehmen sich über die Verwendung von EU-Standardvertragsklauseln und Binding Corporate Rules informieren und als zusätzliche Maßnahme zum EU-US Privacy Shield in Betracht ziehen. Diese Klauseln ermöglichen eine rechtlich Absicherung für die zulässige Datenübermittlung in andere „unsichere Drittländer“.
Das Datenschutzschild hält vorerst stand: Unternehmen, die Daten zur Weiterverarbeitung in die USA senden und dabei den Regelungen des EU-US Privacy Shields folgen, müssen keine akute Rechtsunsicherheit fürchten. Inwieweit die rechtlichen „Grenzen“ den E-Commerce zukünftig einschränken werden und den Datenschutz europäischer Nutzer gewährleisten können, ist noch nicht absehbar. Wir weisen als Agentur für digitalen Handel auf die Bedeutung von Datenschutzmaßnahmen und relevante juristischen Entscheidungen hin, die deutsche Unternehmen und Unternehmensprozesse enorm beeinflussen können. Da wir jedoch keine Rechtsberatung leisten können und dürfen, empfehlen wir Ihnen, sich zum Thema Datenschutz von einem Fachanwalt beraten zu lassen.