EuGH, Safe Harbor und der Onlineshop – heute Vormittag hat der Europäische Gerichtshof entschieden, Safe Harbor sei ungültig; Daten von EU-Bürgern dürfen nicht an Unternehmen in den USA übermittelt werden, weil die NSA, CIA, FBI, UWG, LOL, ROFL und sonst wer Zugriff auf die Daten haben könnte.

Soweit, so entschieden. Die Hintergründe sind bekannt, die müssen an dieser Stelle nicht noch einmal aufgerollt werden. Auch die Tatsache, dass bei der Entscheidung immer noch so getan wird, als gäbe es Datengrenzen, die einen Zugriff irgendwelcher Dritter (Geheimdienste, Datenspanner oder Konkurrenten) unmöglich machen, weil die Daten „physisch“ das europäische Festland nicht verlassen, verliert durch die Entscheidung des höchsten europäischen Gerichts nichts an ihrer Absurdität.

Keine akuten Auswirkungen auf Onlineshops

Viel mehr bewegt mich heute die Frage, welche akuten Auswirkungen hat dieses Urteil auf Onlineshopbetreiber. Meine Antwort: eigentlich keine.

Zur Entscheidung des EuGH ließ die EU-Kommissarin für Justiz, Verbraucherschutz und Gleichstellung, Vera Jourová, verlauten, dass personenbezogene Daten trotz der Ungültigkeit von „Safe Harbor“ weiterhin in die USA übermittelt werden dürften.

Zwar hat der EuGH heute festgehalten, dass die Regelungen zum Datenaustausch ungültig sind und schnellstens neu gefasst werden müssen. Dazu gäbe es aber eine Reihe von Ausnahmemöglichkeiten bzw. Alternativen (Binding Corporate Rules oder die sog. Standardvertragsklauseln).

Diese tatsächlich Datenschutzkonform umzusetzen, scheint zunächst aber einmal nur schwer möglich – zumindest für den einfachen Shopbetreiber.

Rund 4.400 US-amerikanische Unternehmen nahmen an Safe Harbor teil. Social Media Plattformen (Facebook, …), Datenkraken (Google, …) Kreditkartenunternehmen, Multichannel-Plattformen (Amazon, eBay, …), Clouddienste (Dropbox, …), Hostingunternehmen, und und und.

Sobald Onlineshopbetreiber auch nur einen dieser Anbieter nutzen und dorthin Kundendaten übertragen (und sei es nur eine IP- oder E-Mail-Adresse), wäre die Datenübermittlung dorthin ab heute eigentlich illegal.

Dass das Urteil nichts mit der Lebensrealität zu tun hat, dass hat wohl auch der EuGH verstanden (siehe Ausnahmemöglichkeiten). Und deswegen können sich Onlineshopbetreiber eigentlich erstmal gemütlich zurücklehnen und müssen nicht in willkürlichen Aktionismus verfallen. Sie können eh nichts tun! Übrigens ist es auch nicht nötig, den eigenen Anwalt zu befragen. Der kann momentan auch nicht mehr sagen.

Safe Harbor in der Zukunft

Was wird passieren? Auch das ist aus meiner Sicht relativ klar. Es gibt zwei mögliche Varianten, wobei eher von der ersten auszugehen ist.

Variante 1: Safe Harbor 2.0

In Zeiten von TTIP, Globalisierung und internationalem Handel ist allen Beteiligten sehr daran gelegen, sich selbst möglichst keine Steine in den Weg zu legen. EU und USA verhandeln schon seit zwei Jahren über ein neues Safe Harbor-Abkommen. Das heutige Urteil wird die Verhandlungen sicherlich ein wenig beschleunigen.

Im Ergebnis wird es ein Safe Harbor 2.0 geben, bei dem letztlich (für Shopbetreiber) alles so bleibt, wie es bisher war. Ergänzt um einen zusätzlichen Passus in der Datenschutzerklärung, die heute eh schon keiner liest.

Variante 2: Die Datenschutz-Leiste

Auf vielen Seiten ist die Leiste zur Zustimmung zur Nutzung von Cookies heute schon zu sehen (zum Beispiel auf www.stricken.de). Eine ähnliche Lösung wäre auch für die Übermittlung von Daten in die USA denkbar. Schon jetzt spielt die Gültigkeit von Safe Harbor quasi keine Rolle, wenn Diensteanbieter ihre Nutzer explizit auf die Übermittlung der Daten in das „unsichere Drittland USA“ hinweisen (stark vereinfacht ausgedrückt). Mit einer Datenschutzleiste beim Aufruf des Onlineshops dürften alle Zweifel beseitigt sein. Insbesondere, wenn es den Nutzern so wie bei Cookies einfach egal ist. Denn sie wollen die Webseite besuchen oder im Shop einkaufen – Cookie hin, Datenschutz her.

Checkliste für Onlineshopbetreiber

Nochmals zusammengefasst: Aktuell besteht rechtlich betrachtet eigentlich  Handlungsbedarf. Aber die Problematik kann man als „normaler“ Shopbetreiber sowieso nicht lösen. Akut wird das Thema in einigen Monaten wieder sein. Das hängt aber ausschließlich mit einer neuen Fassung des Safe Harbor-Abkommens ab. Wie auch immer dieses dann heissen wird. Bis dahin gilt:

  • Abwarten
  • nicht in Panik verfallen
  • weiter um’s Tagesgeschäft kümmern!

 

Das ist natürlich keine rechtliche Beratung, sondern ein Kommentar und die persönliche Meinung des Autors (ebenfalls Shopbetreiber) !