Auch der Verband der Internetwirtschaft Eco zeigte sich alarmiert. Für alle Unternehmen, die auf den freien Verkehr und Austausch personenbezogener Daten angewiesen seien, berge das Urteil des Europäischen Gerichtshofs (EuGH) von Mitte Juli, mit dem das „Privacy Shield“ für nichtig erklärt worden war, „enorme Risiken“, sagte Eco-Geschäftsführer Alexander Rabe dem Handelsblatt.

In dem EU-US-Abkommen wurde geregelt, dass Unternehmen personenbezogene Daten unter bestimmten Schutzvorkehrungen von EU-Ländern in die USA übermitteln dürfen. Daten werden häufig in den USA gespeichert – selbst wenn es sich um Firmen aus Europa handelt. Diese greifen oft auf Cloud-Dienste in den USA wie Amazon AWS, Microsoft Azure oder Google Cloud zurück.

Die Luxemburger Richter begründeten ihr Urteil vor allem damit, dass Überwachungsbefugnisse der US-Behörden zu umfangreich seien. Aus ähnlichen Gründen hatte der EuGH 2015 bereits die Vorgängerregelung „Safe Harbor“ gekippt.

Verbände sehen EU am Zug

Der baden-württembergische Datenschutzbeauftragte Stefan Brink hält nach dem neuen EuGH-Urteil Bußgelder gegen deutsche Unternehmen für möglich. Die Aufsichtsbehörden versuchten derzeit, einen Ausweg aus einer „nahezu unlösbaren Situation“ zu finden, sagte Brink dem Handelsblatt. Andernfalls müsse jedes deutsche Unternehmen geprüft und mit Bußgeld belegt werden, wenn es seine Infrastruktur auf US-Datenverarbeiter aufgebaut habe.

Eco-Geschäftsführer Rabe sieht dringenden Handlungsbedarf. „Die EU muss deshalb möglichst rasch praktikable und nachhaltig verlässliche Lösungen für den Datentransfer in die USA präsentieren und so für Unternehmen wieder Rechtssicherheit schaffen“, sagte er. Dies sei im Interesse der gesamten Wirtschaft in Deutschland und Europa.

Bitkom-Expertin Dehmel appellierte ebenfalls an die EU, „schnell für Rechtssicherheit zu sorgen und eine Datenverarbeitung in Drittländern wie den USA langfristig zu ermöglichen“. Von den Aufsichtsbehörden verlangte sie, die betroffenen Unternehmen jetzt zu beraten und praktische Hinweise zu geben.

Das EuGH-Urteil hat laut Dehmel für europäische Unternehmen mit einer Datenverarbeitung in den USA „massive“ Auswirkungen. „Wer bislang allein auf Basis des Privacy Shield Daten verarbeitet hat, muss zumindest auf die Standardvertragsklauseln umstellen“, erläuterte sie. „Aber auch das bietet nicht für alle Prozesse ausreichend Rechtssicherheit“, fügte Dehmel hinzu. „Pauschale Lösungen sind bisher kaum in Sicht.“

Nur noch Einzelfall-Transfers auf Einwilligungsbasis möglich

Die EU-Kommission hatte indes betont, dass der Datenfluss zwischen Europa und den USA nach dem EuGH-Urteil nicht grundsätzlich unmöglich sei – denn es gebe noch die sogenannten Standardvertragsklauseln für den Datentransfer zwischen EU-Ländern und Drittstaaten.

Der Datenschützer Brink wendet indes ein, dass die „Standard-Datenschutz-Klauseln“ laut EuGH alleine „keine hinreichende Grundlage sein könnten, sondern durch zusätzliche Garantien unterstützt werden müssten“. Das heißt: Es müsse sichergestellt sein, dass US-Behörden nicht im Rahmen ihrer gesetzlichen Befugnisse auf Daten von Europäern bei US-Unternehmen zugreifen.

Brink hält eine solche vertragliche Zusicherung für kaum vorstellbar. „Seit wann kann ein Unternehmen seinem Kunden den Bruch geltenden Rechts seines Landes vertraglich zusichern?“, fragte er. „Mehr als ein Feigenblatt sind auch die Standardverträge also nicht mehr.“

Somit wären nach den Regeln der EU-Datenschutz-Grundverordnung DSGVO nur noch Einzelfall-Transfers auf Einwilligungsbasis oder zur Erfüllung von Einzelverträgen möglich, wie Brink erklärt, also keine regelmäßige Kooperation mit US-Anbietern mehr.

Autor: Dietmar Neuerer, Handelsblatt

Der Flensburger IT-Sicherheits-Unternehmer Matthias Nehls hatte zuvor rund 41.000 Systeme ermittelt, die fehlerhaft konfiguriert sind. Damit könne man ohne großen Aufwand Codearchive von Programmen auslesen lassen, in denen zum Beispiel Zugangsdaten zu Datenbanken mit sensiblen Daten von Kunden gespeichert sein können. Dabei handelt es sich im so genannte Repositories des Versionskontrollsystems Git.

Wie Recherchen der „Zeit“, der „c't“ und des NDR zeigen, waren von der Schwachstelle auch Server von Dax-Konzernen oder Hochschulen betroffen. Zudem fanden sich unter den betroffenen Systemen auch Server von Mittelständlern, Arztpraxen, Online-Shops und Stadtwerken - und das, obwohl die Problematik seit Jahren bekannt ist.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) zeigt sich davon nicht überrascht. „Viele kleine und mittelgroße Organisationen machen sich um ihre IT-Sicherheit keinen Kopf, da muss es erstmal knallen, bevor sie die richtigen Schutzmaßnahmen einleiten“, teilte Deutschlands Cybersicherheitsbehörde der „Zeit“ mit.