Neue Gesetze 18.01.2016, 08:15 Uhr

Internet-Recht: Durch neue Gesetze entstehen rechtliche Grauzonen

Neue Gesetze sollen die Verwendung digitaler Technologien regeln. Nicht selten entstehen dabei aber rechtliche Grauzonen.
Hängebrücke im Nebel
(Quelle: shutterstock.com/Svetlana Lukienko)
Von Georg von Wallis und Carsten Kociok, Rechtsanwälte bei der Kanzlei Greenberg Traurig Germany
Das Internet ist längst kein Neuland mehr. Die digitalen Technologien und Anwendungen beeinflussen und verändern unser tägliches Leben unübersehbar. Die bestehende Rechtslage hinkt dem technologischen Fortschritt in vielen Bereichen jedoch nur allzu oft hinterher. Gerade im Hinblick auf die neuen Datennutzungsmöglichkeiten, die die digitalen Technologien eröffnen, fehlt es an einem verlässlichen Rechtsrahmen, der nicht nur den Einzelnen schützt, sondern auch der Technologiebranche insgesamt ausreichend Möglichkeiten zur Ausschöpfung der mit diesen Innovationen einhergehenden Geschäftspotenziale bietet.
Der deutsche und der europäische ­Gesetzgeber haben nun verschiedene ­Gesetzesinitiativen auf den Weg gebracht, die den Rechtsrahmen für die digitale Welt neu ordnen sollen.

Veraltetes Datenschutzrecht und variable Auslegung

Eine große Baustelle dabei ist das europäische Datenschutzrecht, das zum einen veraltet ist und zum anderen innerhalb der EU sehr unterschiedlich ausgelegt wird. Beide Schwachstellen sollen nun durch eine neue Datenschutzgrundverordnung behoben werden, über deren Text sich die Kommission, der Rat und das Europäische Parlament im Rahmen der sogenannten Trilog-Verhandlungen soeben geeinigt haben. Die Verordnung soll dann Anfang nächsten Jahres verabschiedet werden. Anschließend haben die betroffenen Unternehmen zwei Jahre Zeit, ihre Daten­verarbeitungspraxis den neuen Anforderungen anzupassen.
Weitgehend unklar ist zurzeit noch unter welchen Voraussetzungen Daten künftig in die USA übertragen werden dürfen. Der Europäische Gerichtshof hatte Anfang Oktober 2015 befunden, dass sich Unternehmen hierfür nicht mehr auf das bestehende Safe-Harbor-Abkommen zwischen der EU und den USA aus dem Jahr 2000 stützen dürfen. Die Unternehmen mussten für die Datenübertragung beim Datenschutz lediglich der in den USA geltenden Selbstverpflichtung gegenüber dem US Department of Commerce nachkommen. Dabei verpflichtet sich der Datenempfänger zur Einhaltung bestimmter Datenschutz- und Datensicherheitsmindeststandards.
Aufgrund der durch die Snowden-Enthüllungen bekannt gewordenen Datenüberwachungsmaßnahmen kam das europäische Gericht jedoch zu dem Schluss, dass mit der Selbstverpflichtung allein kein dem europäischen Datenschutzrecht entsprechendes Datenschutzniveau hergestellt werden könne.
Unternehmen, die Datentransfers in die USA bislang auf ­Basis des Safe-Harbor-Abkommens vorgenommen haben, müssen nun alterna­tive Wege finden. In Betracht kommen zum Beispiel das Einholen der Einwilligung des Betroffenen, die Erarbeitung konzerninterner Datenschutzprogramme (sogenannter Binding Corporate Rules), die Vereinbarung bestimmter, von der Kommission vorgegebener Standard­vertragsklauseln sowie andere nach der neuen Grundverordnung vorgesehene Maßnahmen.
Praxistipp: Praktikabel und kurzfristig umsetzbar sind für E-Commerce-Unternehmen, die Daten mit den USA austauschen, hierbei eigentlich nur die Standardvertragsklauseln. Diese müssen mit allen Unternehmen (auch konzerneigenen!) abgeschlossen werden, an die Daten übertragen werden. Sie werden als Formular von der Kommission zur Verfügung ­gestellt, und müssen nur noch auf den konkreten Fall bezogen ausgefüllt werden.
Die Datenschutzaufsichtsbehörden der EU-Mitgliedstaaten haben den Entscheidungsträgern in Brüssel zudem eine Frist bis Ende Januar 2016 gesetzt, um gemeinsam mit den US-Behörden ­eine Alternative zum Safe-Harbor-Programm zu entwickeln, die den Bedenken des EuGH ausreichend Rechnung trägt. Abzuwarten bleibt, ob Brüssel diese Forderungen fristgemäß erfüllen kann.



Das könnte Sie auch interessieren