Das muss richtig wehtun – wenn man als Milliardenunternehmen und weltweiter Branchenprimus einem zuvor kaum bekannten Datenschutzaktivisten aus Österreich vor dem Europäischen Gerichtshof unterliegt. Das Urteil des in wirtschaftsrechtlichen Fragen wohl wichtigsten internationalen Gerichts machte binnen Stunden Schlagzeilen: „Klatsche für Facebook“ (BILD), „USA sind kein ‚Safe Harbor‘ mehr“ (F.A.Z.) oder „Daten in den USA nicht sicher“ (Tagesspiegel). Facebook ging erst einmal in Deckung und verkündete, von dem Urteil gar nicht direkt betroffen zu sein.

Datenschutz oder Spionage – beides zugleich geht nicht

Vor gut vier Jahren begann die Vorgeschichte: Max Schrems, damals noch Rechtsstudent in Wien, hatte den Verdacht, dass Facebook seine persönlichen Daten, gespeichert in den USA und 496 MByte schwer, nicht ausreichend schützt. Er forderte die für Facebook zuständigen irischen Instanzen auf, Facebook die Übermittlung seiner Daten in die USA zu untersagen. Sie sollten auch prüfen, ob die Daten europäischer Nutzer in den USA überhaupt sicher sind. Dem High Court in Dublin war mulmig in der Angelegenheit. Er tat, was bei europäischen Höchstgerichten in solchen Fällen üblich ist – die Beschwerde zum EuGH nach Luxemburg weiterreichen.

Die Richter dort gelten als höchst qualifizierte Spitzenjuristen und sind gewohnt, völlig unerschrocken und selbstbewusst zu judizieren. So auch hier: Über die eigentliche Beschwerde deutlich hinausgehend, hob der EuGH gleich die ganze Entscheidung 2000/520 der Europäischen Kommission auf. Dort wird den USA attestiert, ein „sicherer Hafen“ für Daten wie die von Schrems zu sein. „Die Enthüllungen von Herrn Snowden hätten jedoch gezeigt, dass die NSA und andere Bundesbehörden ‚erhebliche Exzesse‘ begangen hätten“, zitiert der EuGH den irischen High Court. Max Schrems selbst hat die Entscheidung und ihre möglichen Konsequenzen in einer ersten Stellungnahme zusammengefasst; weitere Kommentare von dieser Seite sind auf europe-v-facebook.org zu erwarten.

Betroffen sind mehr als nur die 28 Mio. deutschen Facebook-Nutzer

Das Pikante ist daher: Mit diesem Urteil hat nicht nur der kleine Max (Schrems) dem großen Mark (Zuckerberg) ein Problem verschafft. Facebook könnte nämlich gezwungen sein, die Speicherung immenser Mengen an Daten umzustrukturieren und teilweise nach Europa zu verlagern. Es sind aber auch (fast) unzählige andere Unternehmen und deren Kunden betroffen. Von 5500 US-amerikanischen Firmen ist die Rede, die Kundendaten aus Europa in den USA speichern. Darüber hinaus geht man von über 4000 Firmen diesseits des Atlantiks aus, die das Gleiche tun. Wie das weitergehen soll, ob komplette Datenbestände „zurückgeholt“ werden müssen, darüber spekulieren bereits Anwaltskanzleien (weitere Details gibt es laufend im Heise Newsticker).

Betroffen sind aber nicht nur mittelständische und große Unternehmen, die z.B. eine der zahllosen Cloud-Lösungen für Marketing, E-Commerce, ERP etc. gewählt haben und damit personenbezogene Daten ins Irgendwo verschieben. Indirekt kann das Urteil sogar kleine und kleinste Unternehmen betreffen, die z.B. Daten ihrer Kunden bei an sich sympathischen Newsletter-Diensten wie MailChimp hinterlegt haben. Wer vor dem Hintergrund des Luxemburger Urteils wohlwollende Diskussionen zu Datenschutzfragen bei MailChimp wie die von ecommerce.jetzt liest (erschienen vor kaum mehr als einem halben Jahr), der schläft vielleicht nicht mehr so gut, wenn er weiß, dass er dem praktischen Newsletter-Helferlein Hunderte oder Tausende Kundendaten anvertraut hat.

Zügig handeln: Verträge prüfen und offensiv informieren

Die Nachrichtenlage bei Google News zum Thema ist derzeit ergiebig, Verweise zu rechtlichen Hinweisen sind schnell auffindbar. Zu tun ist zweierlei:

  1. Im Detail sollten betroffene Unternehmen nicht lange zögern, Juristen mit einschlägigen Kenntnissen im Datenschutzrecht zu konsultieren.
  2. Und weil Agieren immer besser aussieht als Reagieren: Der Medienhype um das Urteil wird vielleicht nicht so schnell verklingen. Eine ebenso vorsorgliche wie ehrlich entschlossene Mitteilung an die eigenen Kunden empfiehlt sich unverzüglich. Wenn der jeweilige Dienstleister bzw. Provider garantieren kann, dass seine Rechenzentren in der EU stehen – umso besser. Falls nicht, gilt es, das eigene Unternehmen an der Seite des Kunden zu positionieren, im Bemühen, wirksame Konsequenzen zu ziehen.

 

Newsletter abonnieren

Verpassen Sie keinen Blog-Eintrag mehr!

Abonnieren Sie unseren Blog und halten Sie Ihr Online-Marketing-Wissen aktuell!
Newsletter abonnieren