Im vergangenen Oktober erklärte der Europäische Gerichtshof (EuGH) das Safe-Harbour-Abkommen für ungültig und kippte damit die Übereinkunft, die 15 Jahre lang die transatlantische Datenübermittlung geregelt hatte. Der Grundsatzentscheidung vorangegangen waren die Enthüllungen von Edward Snowden zu den Ausspähaktionen der NSA im Rahmen des PRISM-Programms. Im anschließenden Rechtsstreit zwischen dem österreichischen Datenschutzaktivisten Max Schrems und Facebook entschied der EuGH, dass die unter Safe Harbour abgegebenen Eigenzertifizierungen wertlos seien.

Von heute auf morgen verstieß somit jedes US-Technologieunternehmen, dessen Geschäfte bislang durch Safe Harbour gedeckt waren, potenziell gegen die europäischen Datenschutzvorschriften. Bei der anschließenden Debatte zum Thema Geheimhaltung und Einwilligung rückte die Frage in den Fokus, wie EU-Kunden von US-Internetprovidern beziehungsweise von US-Anbietern von Cloud-Diensten diesbezüglich gestellt sind.

Leb wohl Safe Harbour, willkommen "EU-US Privacy Shield"

Im Februar präsentierte die Europäische Kommission ein neues Abkommen mit den USA, das den transatlantischen Datenfluss schützen soll. Der sogenannte "EU-US Privacy Shield" soll als Nachfolgeregelung von Safe Harbour im weiteren Jahresverlauf in Kraft treten. Doch die US-Technologieunternehmen können sich noch nicht in Sicherheit wiegen: Der neue Entwurf dürfte nämlich sofort von Bürgerrechtsaktivisten, Datenschutzbehörden und europäischen Gerichten angefochten werden.

Wer Safe Harbour als Regelungslücke gesehen hat, durch die US-Unternehmen europäische Datenschutzgesetze allzu bequem umgehen konnten, der kann sich nur wenig Hoffnung darauf machen, dass die nachgebesserte Nachfolgeregelung "Safe Harbour 2.0" mit diesen Gesetzen konform ist. Von Aktivisten wie Max Schrems wurden auch bereits rechtliche Schritte angedroht. Die Datenschutzbehörden in einigen EU-Mitgliedsländern kündigten ebenfalls Untersuchungen an und wollen Maßnahmen gegen Unternehmen ergreifen, die Daten ins Ausland übermitteln.

Kurzum, der Status von zuvor zertifizierten Safe-Harbour-Unternehmen ist weiterhin unklar. Und diese Unternehmen werden sich noch geraume Zeit bei ihrer Datenübermittlung nicht auf den EU-US Privacy Shield verlassen können.

Was bedeutet das alles nun für Online-Händler, die europäische Verbraucher bedienen?

Haftungsrisiken im Bereich Datenschutz

Die Aufhebung von Safe Harbour und die jüngste Entscheidung der russischen Regierung, ausländischen Online-Anbietern die Verarbeitung personenbezogener Daten russischer Bürger auf Servern außerhalb Russlands zu untersagen, hat etliche multinationale Online-Unternehmen wie Google und Facebook dazu veranlasst, lokale Datenzentren in Europa für die Verarbeitung regionaler Daten einzurichten.

In der E-Commerce-Branche fielen die Reaktionen auf die Datenschutzdebatte jedoch unterschiedlich aus. So erklärte Amazon Web Services (AWS), dass seine Kunden über den Ort und die Art (gesichert oder nicht) der Speicherung und Übertragung ihrer Kundeninhalte entscheiden und AWS-Dienste entsprechend ihren speziellen geografischen Erfordernissen an Standorten ihrer Wahl nutzen können - darunter AWS-Regionen in Dublin und Frankfurt.

Andere waren mit ihren Zusagen, dass Verbraucherdaten nur innerhalb der EU verarbeitet und gespeichert werden, allerdings weniger transparent. Somit laufen etliche europäische Händler nun Gefahr, in EU-Mitgliedsländern gegen lokale Gesetze zur Geheimhaltung und zum Datenschutz zu verstoßen.
Einige SaaS-Anbieter schlugen als Zwischenlösung vor, in die Online-Shops europäischer Händler ein Feature zu integrieren, über das Verbraucher der Datenübermittlung in die USA zustimmen können. Nach Aussage einiger Händler hat sich diese Vorgehensweise jedoch beim Checkout-Prozess negativ auf die Konversionsraten ausgewirkt. EU-Anwälte zweifelten zudem an, ob die Einholung der Zustimmung überhaupt rechtmäßig ist.

Noch wurde das Abkommen über den EU-US Privacy Shield nicht offiziell verabschiedet. Von daher dürfen Online-Händler nicht zögern, wenn es darum geht, ihren Providern unbequeme Fragen zu stellen.

Grundlegende Fakten

Online-Händler, die sich bei ihrem E-Commerce-Shop auf SaaS-Anbieter verlassen, müssen sich absolute Klarheit darüber verschaffen, ob Verbraucherdaten außerhalb der EU gespeichert und verarbeitet werden und - wenn dies der Fall sein sollte - wer in diesem Zusammenhang haftet.

Damit kann das Thema allerdings bei Online-Händlern noch nicht als abgehakt gelten. Heutige E-Commerce-Systeme bestehen nämlich aus mehr als nur der Shopfront. Ein Unternehmen in Europa könnte zum Beispiel dadurch mit EU-Datenschutzgesetzen in Konflikt geraten, dass es für E-Mail-Marketing, Analysen oder die Überwachung des Online-Kundenverhaltens im Rahmen von Gutschein- oder Couponaktionen einen US-Serviceprovider einsetzt. Solange der EU-US Privacy Shield noch nicht aktiviert ist, sollten Händler auf derartige Maßnahmen vielleicht lieber verzichten.

Ein Warnhinweis noch zu den großen Technologieunternehmen, die mit "Mustervertragsklauseln", "verbindlichen unternehmensinternen Vorschriften" und dergleichen versuchen, die Rechtmäßigkeit der Datenübermittlung zwischen der EU und den USA sicherzustellen: Es wird lebhaft darüber diskutiert, ob dies nach Auffassung der Aufsichtsbehörden nicht doch gegen den Geist des EuGH-Urteils zum Safe-Harbour-Abkommen verstößt.

Wie man mit den Herausforderungen umgeht und warum eine konsequent EU-interne Lösung am besten ist

Europäische Händler, die eine On-Premise-Lösung betreiben, können eher davon ausgehen, dass ihre E-Commerce-Plattform und ihr Online-Shop in keiner Weise gegen EU-Recht verstoßen. Ähnlich bedeutet auch die Zusammenarbeit mit einem EU-Provider, der Cloud-Dienste oder Managed Services anbietet, die über Datenzentren in der EU laufen, dass lokale Datenschutzbestimmungen eingehalten werden.

Online-Händler, die europäische Kunden bedienen, müssen auf jeden Fall ihre datenschutzrechtliche Haftung prüfen. Idealerweise sollten sie den Einsatz lokaler Server in Erwägung ziehen, um dem gesetzlichen Datenschutzanspruch ihrer Kunden gerecht werden zu können.

Ein solcher Ansatz kann sich langfristig auch deshalb als vorteilhaft erweisen, weil in der EU tätige Unternehmen sich langsam auf die Umsetzung der neuen EU-Datenschutz-Grundverordnung (EU-DSGVO) im Jahr 2018 vorbereiten müssen. Die EU-DSGVO wird für datenerfassende und datenverarbeitende Stellen gelten. Bis dahin riskieren europäische Online-Händler, die dieses Thema ignorieren, empfindliche Geldstrafen, da die EU-Aufsichtsbehörden sicherlich weiterhin dem Datenschutz einen hohen Stellenwert einräumen werden.