Safe Harbor und Privacy Shield

Im Oktober erklärte der Europäische Gerichtshof das Safe-Habor-Abkommen zwischen der EU und den USA für ungültig. Mit diesem Urteil fehlt nun dem transatlantischen Austausch personenbezogener Daten die Rechtsgrundlage. Gegenwärtig haben sich die Verhandlungspartner auf ein Nachfolgeabkommen mit dem Namen „EU US Privacy Shield“ geeinigt, welches jedoch vom ersten Tag an auf heftige Kritik gestoßen ist. Im folgenden Interview erläutert Andreas Gauger Details und Hintergründe zum Nachfolgeabkommen Privacy Shield.

Spätestens seit letztem Oktober beschäftigen sich nahezu alle deutschen Unternehmen, die in einer Art Geschäftsbeziehung mit amerikanischen Unternehmen stehen, mit dem Safe-Harbor-Abkommen und dessen Nachfolger Privacy Shield. Haben die Entwicklungen der letzten Monate Ihrer Meinung nach etwas zu Verbesserungen im Datenschutz beigetragen?

Ja und nein. Zunächst ist es ein großer Erfolg all derer, die sich um echten Datenschutz bemühen, dass das Safe-Harbor-Abkommen unter den Augen einer breiten Öffentlichkeit außer Kraft gesetzt wurde. Die Vereinbarungen regelten bis dato die Übertragung und Verarbeitung personenbezogener Daten zwischen europäischen und amerikanischen Geschäftspartnern. Anders als der Name vermuten lässt, war das Vorgehen auf dieser Basis keineswegs sicher, denn Safe Harbor entsprach weder den deutschen noch den europäischen Datenschutzregelungen, noch brachte es effektiven Rechtsschutz mit sich und räumte den US-Behörden umfangreiche Befugnisse ein. Doch was die EU-Kommission nun als sogenanntes „Privacy Shield“ als Nachfolgeabkommen mit der US-Regierung vorgelegt hat, ist eine ähnliche, wenn nicht noch größere Enttäuschung.
 

Welche wichtigen Änderungen enthält das Privacy-Shield-Abkommen gegenüber seinem Vorgänger Safe Harbor?

Im Prinzip sind es vier Hauptpunkte, mit denen das „Privacy Shield“ den Datenaustausch auf sicherere Füße stellen sollen: Das US-Handelsministerium will die amerikanischen Dienstleistungsunternehmen überwachen, die Daten ihrer europäischen Geschäftspartner verarbeiten. Die US-Justiz- und Sicherheitsbehörden sollen dies beaufsichtigen. Verstößt ein Dienstleister gegen die vereinbarten Standards, drohen Sanktionen. Zudem hat die US-Regierung zugesichert, einen Ombudsmann einzusetzen, an den sich europäische Unternehmen im Falle einer Beschwerde richten können. Ob das Abkommen von beiden Seiten eingehalten wird, soll ein jährlicher Bericht dokumentieren. Weitere Details werden derzeit ausformuliert. Darin stecken viele Absichtserklärungen und wenig konkrete Sanktionsmöglichkeiten. Zudem besitzen US-Institutionen im Wesentlichen die Deutungshoheit.
 

Andreas Gauger startete sein erstes
Softwareunternehmen direkt nach dem Abitur.
Parallel dazu gründete er 1995 die erste
deutsche Webhosting-Firma mit.
Er verantwortete bis 2008 die gesamte
1&1 Webhosting-Produktpalette. Ebenfalls war
Andreas Gauger verantwortlich für die
Internationalisierung der 1&1 Webhosting-
Produktlinie. Andreas Gauger ist Gründer
und CMO von ProfitBricks.

Die Kritik an der neuen Vereinbarung war vor allem seitens der Datenschützer heftig. Warum?

Die Aufsicht über die Arbeit des US-Handelsministeriums wird den US-Behörden überlassen. So überprüfen sich die, die wir für ihre zu lockeren Datenschutzbestimmungen kritisieren, praktisch selbst. Ich bin skeptisch, ob das Verbesserungen in der Zusammenarbeit bringt. Zumal sich die US-Regierung Ausnahmen im Rahmen der nationalen Sicherheit der USA ausdrücklich vorbehalten hat. Was diese Ausnahmen sein sollen, darauf legt man sich allerdings ungern fest. Vielmehr wurden Themenfelder definiert, die Raum für Interpretationen lassen. US-Dienstleister wären in solchen Fällen übrigens weiterhin verpflichtet, die angefragten Daten herauszugeben, ganz egal, an welchem Ort der Welt das Rechenzentrum steht.

Darüber hinaus halte ich es für schwer umsetzbar – um nicht zu sagen wirkungslos – wenn sich Unternehmen bei einem von der US-Regierung eingesetzten Ombudsmann beschweren. Ich behaupte, dessen Kooperationsbereitschaft wird sich in Grenzen halten. Auch hier wird die Entscheidung darüber, ob ein Verstoß gegen das Datenschutzabkommen vorliegt, den US-Behörden überlassen. Effektiver Rechtsschutz für Betroffene aus der EU wäre nicht gewährleistet. Das war bereits einer der Hautkritikpunkte des EuGH an „Safe Harbor“. Unternehmen bräuchten hier mehr Unterstützung von offizieller europäischer Seite.
 

Das klingt nicht danach, als hätten die US-Regierung und die EU-Kommission auf Augenhöhe verhandelt. Sehen die Offiziellen die Kritikpunkte nicht?

Das ist das Paradoxe. Es gibt sehr wohl auch Kritik aus den Reihen der europäischen Verhandlungspartner. So schrieb beispielsweise die derzeitige Ombudsfrau der EU, Emily O’Reilly, einen offenen Brief [1] an die mit dem Privacy Shield betraute EU-Kommissarin Vera Jourová. Darin weist sie auf den Widerspruch hin, dass ein von der US-Regierung eingesetzter Ombudsmann kaum als unabhängige Instanz gelten kann.

Ansonsten prüft derzeit die sogenannte Artikel-29-Datenschutzgruppe [2] der EU die Dokumente. Ihr gehören Experten aus allen Mitgliedsstaaten an. Die Gruppe hat vor allem eine beratende Funktion und gilt als weitgehend unabhängig. Von ihrem Urteil, welches noch im April veröffentlicht werden könnte, hängt einiges ab. Gut möglich, dass die Datenschutzexperten bereits jetzt Nachbesserungen anmahnen.
 

Ist das Abkommen bereits rechtskräftig?

Nein. Derzeit wird noch an den konkreten Formulierungen gearbeitet, das Urteil der Artikel-29-Datenschutzgruppe steht noch aus und dann müssen die EU-Kommission sowie die EU-Mitgliedsstaaten dem noch zustimmen. Auf einen offiziellen, komplizierten Gesetzgebungsprozess soll verzichtet werden – offenbar sind die Verhandlungspartner gewillt, wieder etwas Ruhe in das Thema zu bekommen. Viele Datenschützer sehen außerdem das Risiko, dass der Europäische Gerichtshof im Falle einer Klage erneut kein positives Urteil fällt. 
 

Der Safe-Harbor-Nachfolger hat demnach kaum zu einer eindeutigen Rechtslage beigetragen?

Das Privacy-Shield-Abkommen hat eher zu noch mehr Verunsicherung geführt, anstatt klare Verhältnisse zu schaffen. Unternehmen können es sich jedoch nicht leisten, auf der Basis von rechtlichen Unsicherheiten zu arbeiten und dabei sowohl Bußgeldzahlungen als auch das Vertrauen ihrer Kunden aufs Spiel zu setzen.
 

Welche Sanktionen drohen Unternehmen, die sich bei ihrer Zusammenarbeit mit ihren amerikanischen Geschäftspartnern auf Safe Harbor beziehen? Besteht überhaupt das Risiko, von offizieller Seite daraufhin überprüft zu werden?

Ja, das Risiko besteht durchaus. Einige auf Bundeslandebene zuständige Datenschutzbehörden haben angedeutet, die personenbezogene Datenverarbeitung der ortsansässigen Unternehmen entsprechend zu prüfen. Da die Rechtgrundlage aber nicht eindeutig ist, sehen die Behörden derzeit noch von flächendeckenden Kontrollen ab. Das kann sich natürlich jeden Tag ändern. Haben Unternehmen ihre Datentransfers nur an Safe Harbor ausgerichtet, drohen beträchtliche Bußgelder. Theoretisch können solche Vergehen mit bis zu 300 000 Euro Strafe belegt werden.
 

Was können und was sollten Unternehmen jetzt konkret tun, um ihren personenbezogenen Datenverkehr auf eine sichere Basis zu stellen?

Das Mindeste, was die deutschen Datenschutzbehörden derzeit von den Unternehmen verlangen, ist eine Bestandsaufnahme und eine kritische Beurteilung des eigenen transatlantischen Datenverkehrs. Insofern ist die Situation natürlich auch eine Chance, Datentransfer- und Datenverarbeitungsprozesse grundsätzlich zu hinterfragen. Es besteht die Möglichkeit, Zusatzvereinbarungen mit den Dienstleistern abzuschließen. Jedoch geht es viel einfacher: Eindeutig ist die Rechtslage dann, wenn Unternehmen und Dienstleister denselben Datenschutzbedingungen unterliegen, also beispielsweise beide ihren Hauptsitz in Deutschland haben. Die Beauftragung amerikanischer Dienstleister ist oft gar nicht notwendig und häufig auch teurer.
 

Vielen Dank für das Gespräch.

Das könnte Sie auch interessieren

Vom Vibe Coding zum Agentic Coding Wie professionelle Softwareentwicklung mit Coding Agents gelingt

Coding Agents beschleunigen den Softwareentwicklungsprozess heute deutlich – in einem Tempo, das etablierte IT-Prozesse herausfordert. Aus Beobachtungen in mehreren Trainings zeigt der Beitrag drei Spannungsfelder, die sich aktiv gestalten lassen: Governance, Integrationsprozesse und die Transformation der Arbeitskultur. Unser Autor gibt konkrete Empfehlungen, wie die berechtigten Einwände gegen Vibe Coding ausgeräumt werden können.

Executive Briefing: ERP Anwender Lounge Special  Von Experten für Entscheider: Strategische Insights von der Hannover Messe

Wer die ERP Anwender Lounge mit Impuls-Vorträgen und Networking auf der Hannover Messe verpasst hat, sollte sich den Termin für 2027 vormerken. Die ERP Lounge Insights bieten eine fundierte Verdichtung zentraler Trends, strategischer Perspektiven und bewährter Best Practices. In 3 min. Impact Keynotes gaben führende Experten hochverdichtete Einblicke, u.a. ohne eine belastbare ERP-Grundlage bleibt das Potenzial von KI weitgehend ungenutzt.

Großhandel, Götter und Grundsätze der Buchführung Warum Pacioli, Zeus und ein ERP-Award besser zusammenpassen, als man denkt

Was verbindet Pacioli, Zeus und einen ERP-Wettbewerb und macht sie zu einer relevanten Quelle für strategische Führungsimpulse? Zwischen Renaissance, Antike und der modernen ERP-Welt gibt es überraschend klare Parallelen. Wer erkennt, warum Venedig, Triest, Kotor und Olympia mehr als nur historische Fußnoten sind, gewinnt neue Perspektiven auf Steuerung, Risiko und Timing unter Wettbewerbsdruck. Setzen Sie Akzente mit fundierten Perspektiven.

Adaptive Service Level Agreements Wie flexible Verträge Innovation ermöglichen und welche Risiken sie bergen

Klassische SLAs sichern Stabilität –doch genau das macht sie oft zur Innovationsbremse. Anpassungen werden aufgeschoben, Chancen bleiben ungenutzt. Wie lassen sich Verträge so gestalten, dass Veränderung nicht stört, sondern systematisch ermöglicht wird? Der Beitrag zeigt, wie adaptive SLAs als „Living Contract“funktionieren und Innovation schon während der Laufzeit fördern –praxisnah und direkt umsetzbar für IT- und ERP-Verantwortliche.

Zehn ERP-Praktiker über Projekterfolg Was in Auswahl, Implementierung und Betrieb wirklich zählt

ERP-Projekte scheitern selten an der Software selbst, sondern an unklaren Prozessen, fehlender Vorbereitung und mangelnder organisatorischer Einbindung. Zehn erfahrene ERP-Praktiker aus Deutschland und der Schweiz berichten aus ihrer Projektpraxis und zeigen, welche Faktoren bei Auswahl, Einführung und Betrieb von ERP-Systemen wirklich entscheidend sind – von der oft unterschätzten Phase Null bis zur realistischen Einordnung von KI.

Von ERP bis Non-ERP: fünf Reifegrade beim KI-Einsatz Warum KI-Agenten das alte ERP-Paradigma radikal verändern

sponsored

ERP-Systeme waren lange reine Verwaltungssoftware im Hintergrund. Mit agentischer KI ändert sich das grundlegend: Aus einem System of Record wird ein System of Action, das Prozesse aktiv steuert und Entscheidungen unterstützt. Der Artikel zeigt, wie Agentic AI ERP Unternehmen produktiver macht, Kosten senkt und neue Wettbewerbsvorteile schafft –und warum Führungskräfte dieses Thema jetzt im Blick haben sollten.