Nach dem Aus von Safe Harbor – Wie ist der Status Quo in Deutschland?

Das Safe Harbor-Urteil des EuGH liegt 2 ½ Monate zurück. Noch immer ist nicht eindeutig, wie der Transfer von personenbezogenen Daten in die Vereinigten Staaten rechtskonform realisiert werden kann. Zum Teil wird bilateral auf die EU-Standardvertragsklauseln zurückgegriffen. Häufig fällt auch der Begriff Safe Harbor 2.0.

Wie ist der Stand in Deutschland?

Der Landesdatenschutzbeauftragte Rheinland-Pfalz schrieb als Reaktion auf das EuGH-Urteil die größten Unternehmen in  Rheinland-Pfalz an, um auf die Problematik des Datentransfers in die USA hinzuweisen und zu erfahren,

• ob und ggf. auf welcher Rechtsgrundlage die Datenübermittlung erfolgt,
• wie auf das EuGH-Urteil reagiert wurde,
• ob und in welchem Umfang der betriebliche Datenschutzbeauftragte eingebunden war.

Ergebnisse

Bei einer Rücklaufquote von 95 Prozent konnten folgende Feststellungen getroffen werden:

• 53 Prozent der Unternehmen konnten die Fragen des LfDI vollständig, plausibel und fristgerecht beantworten
• 47 Prozent der Unternehmen offenbarten erhebliche, teils gravierende Defizite im Datenschutzrecht
• 15 Prozent der Unternehmen waren nicht in der Lage, den Umgang mit den eigenen personenbezogenen Daten, die Datenflüsse und deren Rechtsgrundlagen gegenüber der Aufsichtsbehörde darzulegen und zu erklären.
• 17 Prozent gaben einerseits an, keine Datentransfers in die USA vorzunehmen. Andererseits erklärten sie, US-amerikanische Cloud-Dienste, Google Analytics, Microsoft Office 365 oder Facebook zu nutzen oder auf US-Dienstleister bei Lohnabrechnungen, Reiseabwicklungen für Beschäftigte oder 24/7-Dienste zurückzugreifen. In diesem Zusammenhang wurde häufig festgestellt, dass die Definition des Begriffs des personenbezogenen Datums unbekannt ist. Häufig bestand das Verständnis, dass „Alltags-Daten wie Namen, Adressen oder Telefonnummern nicht schutzwürdig seien“.
• Weitere 15 Prozent nahmen fälschlicherweise die Existenz eines angemessenen Datenschutzniveaus in den USA bzw. bei Ihren US-Partnerfirmen an.

Der rechtskonforme Transfer personenbezogener Daten in die USA stellt viele Unternehmen und Datenschutzbeauftragte vor eine große Herausforderung. Über unsere Blog werden wir Sie auf dem Laufenden halten.