Das Safe Harbor-Urteil des EuGH liegt 2 ½ Monate zurück. Noch immer ist nicht eindeutig, wie der Transfer von personenbezogenen Daten in die Vereinigten Staaten rechtskonform realisiert werden kann. Zum Teil wird bilateral auf die EU-Standardvertragsklauseln zurückgegriffen. Häufig fällt auch der Begriff Safe Harbor 2.0.
Wie ist der Stand in Deutschland?
Der Landesdatenschutzbeauftragte Rheinland-Pfalz schrieb als Reaktion auf das EuGH-Urteil die größten Unternehmen in Rheinland-Pfalz an, um auf die Problematik des Datentransfers in die USA hinzuweisen und zu erfahren,
- ob und ggf. auf welcher Rechtsgrundlage die Datenübermittlung erfolgt,
- wie auf das EuGH-Urteil reagiert wurde,
- ob und in welchem Umfang der betriebliche Datenschutzbeauftragte eingebunden war.
Ergebnisse
Bei einer Rücklaufquote von 95 Prozent konnten folgende Feststellungen getroffen werden:
- 53 Prozent der Unternehmen konnten die Fragen des LfDI vollständig, plausibel und fristgerecht beantworten
- 47 Prozent der Unternehmen offenbarten erhebliche, teils gravierende Defizite im Datenschutzrecht
- 15 Prozent der Unternehmen waren nicht in der Lage, den Umgang mit den eigenen personenbezogenen Daten, die Datenflüsse und deren Rechtsgrundlagen gegenüber der Aufsichtsbehörde darzulegen und zu erklären.
- 17 Prozent gaben einerseits an, keine Datentransfers in die USA vorzunehmen. Andererseits erklärten sie, US-amerikanische Cloud-Dienste, Google Analytics, Microsoft Office 365 oder Facebook zu nutzen oder auf US-Dienstleister bei Lohnabrechnungen, Reiseabwicklungen für Beschäftigte oder 24/7-Dienste zurückzugreifen. In diesem Zusammenhang wurde häufig festgestellt, dass die Definition des Begriffs des personenbezogenen Datums unbekannt ist. Häufig bestand das Verständnis, dass „Alltags-Daten wie Namen, Adressen oder Telefonnummern nicht schutzwürdig seien“.
- Weitere 15 Prozent nahmen fälschlicherweise die Existenz eines angemessenen Datenschutzniveaus in den USA bzw. bei Ihren US-Partnerfirmen an.
Der rechtskonforme Transfer personenbezogener Daten in die USA stellt viele Unternehmen und Datenschutzbeauftragte vor eine große Herausforderung. Über unsere Blog werden wir Sie auf dem Laufenden halten.