Die meisten größeren Unternehmen sammeln massenhaft personalisierte Daten, viele schicken sie rund um den Globus. Eine Praxis, die man überdenken sollte, meint ein Experte.
Wien. Seit der EuGH das Safe-Harbour-Abkommen gekippt hat, sorgen Datentransfers in die USA für Kopfzerbrechen in vielen europäischen Unternehmen. Zwar gibt es inzwischen eine Nachfolgeregelung, den sogenannten Privacy Shield. Einige Juristen befürchten jedoch, auch dieser „Schutzschild“ könnte bei einer Überprüfung durch den EU-Gerichtshof zerbröseln („Die Presse“ hat berichtet).
Sich ausschließlich darüber Gedanken zu machen, ist aber womöglich zu kurz gegriffen. Unternehmen transferieren Daten nämlich nicht nur in die USA. Sondern genauso in andere Teile der Welt, die nicht unbedingt die europäischen Datenschutzstandards teilen. Etwa nach Russland und China. An sich ist das erlaubt, wenn man sogenannte Standardvertragsklauseln verwendet. Das sind von der EU-Kommission abgesegnete Erklärungen, mit denen sich die am Datentransfer beteiligten Unternehmen verpflichten, den Datenschutz sicherzustellen. Zum Teil wird das auch für die USA empfohlen.
Kopie bleibt in Russland
Aber könnten nicht auch die Standardvertragsklauseln gekippt werden? Ausgeschlossen ist das nicht. „Mit solchen Klauseln gehen zwei Unternehmen eine vertragliche Verpflichtung ein. Aber was muss das zum Beispiel Russland kümmern, wenn es sich in Ausübung hoheitlicher Gewalt Zugriff auf Daten verschafft? Wohl kaum ein souveräner Staat wird sich das von außen verbieten lassen“, gibt Bertram Burtscher, Leiter der Gruppe Telekommunikation und Informationstechnologie bei Freshfields Bruckhaus Deringer, zu bedenken.
Dabei schaffen nicht nur Datenexporte in solche Länder Probleme, sondern auch der Umgang mit Daten, die Unternehmen dort sammeln und verarbeiten. Das betrifft etwa Auslandsniederlassungen von Firmen aus der EU. Russland zum Beispiel verlangt, dass von Daten, die außer Landes geschickt werden, jedenfalls eine Kopie in Russland verbleibt.
In Indonesien wiederum ist es überhaupt verboten, Daten bestimmter „critical industries“ ins Ausland zu transferieren (wobei unklar ist, welche Branchen genau darunter fallen). Und China ist gerade dabei, unter dem Titel Anti-Terrorismus und Cyber Security die staatliche Kontrolle über regulierte Bereiche zu verschärfen. Dort sorgte eine Empfehlung an Banken für Aufregung, nur noch Software zu beschaffen, die eine „Back Door“ für den Zugriff des Staates hat. Diese Empfehlung liegt zwar derzeit auf Eis, weil, wie Burtscher sagt, die Umwälzungen in der Industrie zu groß wären. „Die Marschrichtung ist aber klar.“
Was heißt das nun für Unternehmen aus der EU, die auch in Ländern wie diesen aktiv sind? Sie können, selbst wenn sie Standardvertragsklauseln verwenden, in ein Dilemma kommen – das noch größer wird, sobald die neue Datenschutz-Grundverordnung der EU in Kraft tritt. Denn diese wird das Schutzniveau, das EU-Firmen garantieren müssen, in vieler Hinsicht weiter hinaufschrauben.
Auf Personenbezug verzichten?
Was ist also zu tun? Burtscher will das in einen größeren Zusammenhang stellen, statt Datenschutz oder Datentransfer isoliert zu betrachten. Er bringt eine umfassendere, weitaus tiefer gehende Sicht auf den Umgang mit Daten ins Spiel – vor allem für größere Unternehmen, die sich auch die Vorteile von Big Data zunutze machen wollen. Dazu brauche es eine umfassende Datenstrategie, die technische Möglichkeiten und rechtliche Fragen im konkreten Unternehmenskontext einbezieht. Nur dann, meint Burtscher, können die Unternehmen von der neuen Datenwelt wirklich profitieren – und zugleich viele rechtliche Risken vermeiden. Etwa, indem sie sich bei vielen Datenanwendungen ganz bewusst von der Personalisierung verabschieden und die Daten soweit irgendwie möglich nur noch in anonymer Form verarbeiten.
Die Nutzbarkeit müsse dabei nicht verloren gehen, ganz im Gegenteil: „Wenn es nicht unmittelbar um Vertragsbeziehungen oder Rechnungen geht, braucht man die Namen meist gar nicht. Smarte Statistik in vielen Big-Data-Anwendungen braucht keinen Personenbezug, um sehr wertvolle Ergebnisse zu liefern.“ Speichert man die Namen erst gar nicht oder anonymisiert Daten vor einem Transfer, ist man das Datenschutzthema schlagartig los.
Stichwort Big Data: Dazu führte Freshfields zusammen mit dem britischen Marktforschungsinstitut You Gov eine groß angelegte Studie durch. Rund 200 Entscheidungsträger von multinationalen Unternehmen aus Europa, den Vereinigten Staaten und Asien mit einer Marktkapitalisierung von mindestens 500 Millionen Pfund wurden befragt, um einen Einblick zu bekommen, wie Unternehmen dieser Größenordnung mit dem Thema umgehen.
Datenstrategie: Zeit wird knapp
Dass Daten für die Wettbewerbsfähigkeit ihrer Unternehmen wichtig seien, sagten 89 Prozent der befragten Entscheidungsträger. 83 Prozent gaben sogar an, ihre Entscheidungsfindung sei datengetrieben. Dass es in ihrem Unternehmen bereits eine umfassende Datenstrategie gibt, behaupten jedoch nur 55 Prozent der Befragten. Von diesen wiederum berichten 43 Prozent, es habe ein bis zwei Jahre gedauert, diese Strategie zu implementieren. 52 Prozent sagen, man habe dafür noch länger gebraucht.
So gesehen, wird für viele Unternehmen, die das noch vor Inkrafttreten der neuen EU-Grundverordnung schaffen wollen, die Zeit schon recht knapp: Verabschiedet werden könnte die Verordnung im kommenden Juni, in Kraft treten soll sie dann Mitte 2018.
("Die Presse", Print-Ausgabe, 24.03.2016)