Ab dem 25. Mai 2018 gilt die EU-weite Verordnung zum Datenschutz. Doch nicht nur die europäischen Regelungen sind entscheidend. Das sogenannte Privacy-Shield-Abkommen garantiert amerikanischen Technologiekonzernen bei Erfüllung bestimmter Bedingungen zum Schutz der Nutzer den uneingeschränkten Datenaustausch mit der EU. Was bedeutet die neue Datenschutzverordnung für die transatlantische Zusammenarbeit bei der Entwicklung einer digitalen Industrie?
Von Moritz Flocke, Redaktion ExportManager, FRANKFURT BUSINESS MEDIA
Im Oktober 2016 verkündete Kanzlerin Angela Merkel beim Deutschen Tag der Industrie, dass Unternehmen hierzulande neue Wege einschlagen müssten und dass Daten die Rohstoffe der Zukunft seien. Ein Unternehmen, welches sich ursprünglich nur mit natürlichen Rohstoffen beschäftigt hat, ist die Klöckner & Co SE. Sie ist einer der weltweit führenden Stahl- und Metalldistributoren mit einem Umsatz von zuletzt 5,7 Mrd EUR. In den vergangenen Jahren musste sie ihre Strategie bezüglich des Verkaufs von Metall und Stahl überdenken, da die Absatzmärkte besonders in der Automobilindustrie stark geschrumpft waren. Als Lösung wurde eine digitale Plattform entwickelt, in der die virtuellen Rohstoffe, nämlich die Daten der Kunden und Produzenten, intelligent verknüpft werden. Hierdurch sollten Einkaufs- und Verkaufsprozesse effizienter werden. Diese Plattform wurde durch ein eigens gegründetes Berliner Start-up entwickelt. Damit auch die Daten der Kunden aus den USA berücksichtigt werden können, muss ein uneingeschränkter Datentransfer über den Atlantik stattfinden. Regelungen im Datenschutz zwischen der EU und den USA sind der Grundstein für einen erfolgreichen Austausch.
Privacy-Shield brüchig?
Aktuell gilt zwischen den USA und der EU das sogenannte Privacy-Shield-Abkommen. Dieses Datenschutzabkommen garantiert amerikanischen Technologie-konzernen bei Erfüllung bestimmter Bedingungen zum Schutz der Nutzer den uneingeschränkten Datenaustausch mit der EU. Hierfür müssen sie ein Zertifikat vorweisen, das ein „angemessenes Datenschutzniveau“ ausweist. Diese europäischen Standards richten sich zurzeit nach der EU-Richtlinie 95/46/EG von 1995. Viele dieser Regelungen werden heute jedoch als überholt angesehen. Deshalb wurde im Mai 2016 durch die 28 EU-Mitgliedstaaten die Datenschutzgrundverordnung (DSGVO) beschlossen. Diese muss ab dem 25. Mai 2018 angewendet werden. Da es sich um eine Verordnung handelt, muss deren Inhalt nicht in nationales Recht umgesetzt werden. Sie enthält allerdings Öffnungsklauseln zur nationalen Gestaltung. Damit erhält der jeweilige Mitgliedstaat einen gewissen Spielraum, welchen der deutsche Gesetzgeber umfänglich ausgenutzt hat. Das neue Gesetz wurde am 27. April 2017 durch den Deutschen Bundestag und am 12. Mai 2017 durch den Bundesrat beschlossen und trägt den Namen „Datenschutzanpassungs- und Umsetzungsgesetz“ (DSAnpUG).
Folgen für deutsche Unternehmen
Doch was bedeutet das neue Gesetz für deutsche Unternehmen, die Daten in die USA übertragen? Tim Wybitul von der Kanzlei Hogan Lovells und Autor des Praxishandbuchs „Datenschutz in Unternehmen“ sieht das neue Gesetz kritisch. Gerade für Unternehmen werde die Umstellung ab 2018 teuer, da das Gesetz sehr unverständlich formuliert sei. Hierdurch seien viele Unternehmen auf externe Hilfe angewiesen. Für international tätige Unternehmen sei eine vollständige Harmonisierung in den 28 Mitgliedstaaten wesentlich vorteilhafter gewesen. Zudem sei auch der Binnenmarkt gestärkt worden. Unternehmen wie Klöckner & Co SE müssen sich folglich auf wesentlich mehr Bürokratie einstellen.
Amerikanische Daten zuerst?
Doch nicht nur die europäischen Regelungen sind wichtig. Auch die USA spielen eine entscheidende Rolle für den Erfolg der Industrie 4.0 in Deutschland. Es gibt jedoch eine große Unbekannte: Donald Trump. Als Präsident des Landes, das einst Größen wie Apple, Google, Facebook und Co. hervorbrachte, könnte er den gesamten transatlantischen Datenverkehr zum Erliegen bringen. Mit seinem Dekret zur „Verbesserung der nationalen Sicherheit“ hat er, möglicherweise ohne dies zu beabsichtigen, über Nacht alle europäischen Datenschützer in Aufruhr versetzt. Dieses Dekret sieht Datenschutz nämlich nur für Amerikaner vor. Das Privacy-Shield-Abkommen bleibt zwar zunächst in Kraft, aber niemand weiß, ob dies auch in Zukunft der Fall sein wird. Damit haben sowohl deutsche als auch amerikanische Unternehmen ein Problem: Wenn sie ihre Daten nicht mehr uneingeschränkt austauschen könnten, müssten sie Standorte auf dem jeweils anderen Kontinent errichten, um ihre Geschäftsmodelle zu erhalten. Das ist aufwendig, kostet viel Geld und wäre mit einem stabilen Datenschutzabkommen obsolet. Doch gerade nach dem Ende der TTIP-Verhandlungen und zunehmendem Protektionismus bleibt dies ein Traum von Datenimporteuren- und -exporteuren.
Fazit
Die deutsche Umsetzung der nationalen Öffnungsklauseln der DSGVO hat deutlich gemacht, dass Europa hinsichtlich seiner Datenschutzbestimmungen gespalten bleibt. Entscheidend für die Planungssicherheit deutscher und europäischer Unternehmen ist die nationale Umsetzung der Öffnungsklauseln der DSGVO in den übrigen Mitgliedstaaten. Nur wenn die EU nach außen hin einheitlich auftritt und das Privacy-Shield-Abkommen in Kraft bleibt, werden Unternehmen wie Klöckner ihre Zukunftspläne uneingeschränkt durchführen können. Immerhin: Mit der DSGVO wurden auf europäischer Ebene einige Datenschutzstandards gesetzt. Die digitale Wirtschaft in den USA und Europa ist auf den uneingeschränkten Datenaustausch angewiesen. Die EU kann dieses Wissen in Verhandlungen über Datenschutzabkommen und mögliche Schutzzölle als Druckmittel einsetzen.
moritz.flocke@frankfurt-bm.com