deepagopi2011 - Fotolia

Richtiges Verhalten zwischen Safe Harbor und Privacy Shield

Unternehmen, die personenbezogene Daten in die USA übermitteln wollen, müssen die Rechtsgrundlage genau prüfen. Abwarten ist jetzt keine Lösung.

Dieser Artikel behandelt

Datenschutz

Noch ein langer Weg bis zum „sicheren Hafen“, so kommentierte der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, Prof. Dr. Dieter Kugelmann, die Situation im Dezember 2015. So mancher sah den Weg als vollendet an, nachdem die Europäische Kommission im Februar 2016 verkündete, dass sich die Kommission und die Vereinigten Staaten auf einen neuen Rahmen für die transatlantische Datenübermittlung, den EU-US-Datenschutzschild oder EU-US Privacy Shield, geeinigt hätten. Die deutschen und die europäischen Datenschützer jedoch sehen erheblichen Prüfungsbedarf und melden Zweifel an.

Es „wird sehr genau zu prüfen sein, ob diese neue Vereinbarung tatsächlich die notwendigen Garantien für rechtskonforme Datenübermittlungen in die USA erfüllen kann. Nachdem der EuGH den vermeintlich sicheren Hafen für unsicher erklärt hat, muss sichergestellt werden, dass der neue „EU-US-Datenschutzschild“ auch wirklich seinen Namen verdient und nicht an den entscheidenden Stellen löchrig ist“, erklärte die Bundesdatenschutzbeauftragte Andrea Voßhoff. Ähnliche Aussagen treffen die Landesbeauftragten für den Datenschutz. Der zuvor erwähnte Landesdatenschutzbeauftragte von Rheinland-Pfalz zum Beispiel stellte fest, dass die Rechtsunsicherheit nach dem Safe Harbor-Urteil andauert, auch nach der Ankündigung des Privacy Shield.

Viele Unternehmen wissen nun nicht, wie sie sich verhalten sollen, insbesondere, nachdem in den Medien bereits von Prüfungen der Aufsichtsbehörden berichtet wurde.

Datenschützer sehen deutlichen Handlungsbedarf

Anfragen der Datenschützer bei Unternehmen haben ergeben, dass für viele Datenübermittlungen in die USA eine neue Rechtsgrundlage gefunden werden muss, nachdem die Safe-Harbor-Entscheidung der EU-Kommission von dem Europäischen Gerichtshof (EuGH) als ungültig erklärt wurde:

  • 47 Prozent der Unternehmen offenbarten laut Aufsichtsbehörde erhebliche, teils gravierende Defizite im Umgang mit personenbezogenen Daten von Kunden, Geschäftspartnern und Beschäftigten. Sie waren teilweise nicht in der Lage, die an sie gerichteten Fragen binnen gesetzter Frist vollständig zu beantworten.
  • 17 Prozent der Unternehmen gab zwar an, keine Datentransfers in die USA vorzunehmen, setzte sich dann jedoch selbst dazu in Widerspruch. Diesen Unternehmen ist aus Sicht der Aufsichtsbehörde nicht klar, dass bei der Nutzung von Cloud-Diensten, von Google Analytics, Microsoft Office 365 oder Facebook regelmäßig personenbezogene Daten in die USA übermittelt werden – sei es beim Nutzen der Programme, bei Backups, Fernwartungen oder Updates -– und dass sie hierfür verantwortlich sind.
  • 15 Prozent der Unternehmen gehen von einem „angemessenen Datenschutzniveau“ in den USA beziehungsweise bei ihren US-Partnerfirmen aus. Damit setzen sie sich allerdings in Widerspruch zu den Feststellungen der EU-Kommission und des EuGH, so die Aufsichtsbehörde in Rheinland-Pfalz.

Abwarten ist keine Lösung, panische Aktionen aber auch nicht

Pauschale und nicht belegte Mutmaßungen über „angemessene Datenschutzniveaus“ von Drittstaaten wollen die Aufsichtsbehörden im Rahmen ihrer Kontrollen in naher Zukunft nicht akzeptieren. Zweifellos müssen Unternehmen die Rechtsgrundlage für die Übermittlung personenbezogener Daten in die USA nun genau prüfen und bei Abweichung von der Rechtslage umgehend sicherstellen.

Zweifellos müssen Unternehmen die Rechtsgrundlage für die Übermittlung personenbezogener Daten in die USA nun genau prüfen. Abwarten ist keine Lösung, panische Aktionen aber auch nicht.

Das Problem ist nur, dass bisher nur klar ist, dass die Safe-Harbor-Entscheidung keine rechtsgültige Grundlage mehr schaffen kann und dass das Privacy Shield gegenwärtig kritisch geprüft wird. So teilt zum Beispiel das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) mit, dass die Datenschutzbehörden der EU-Mitgliedstaaten (Artikel-29-Gruppe) die von der Kommission vorgelegten Dokumente zeitnah überprüfen werden, um eine Stellungnahme zur geplanten Angemessenheitsentscheidung der Kommission abzugeben. Des Weiteren plane die Artikel-29-Gruppe, im Lichte der neuen Dokumente eine Aussage hinsichtlich des in den USA bestehenden Datenschutzniveaus insgesamt abzugeben. Die Aussage der Artikel-29-Gruppe wird dann auch die weiteren Übermittlungsmechanismen wie die noch vorerst zulässigen Standardvertragsklauseln oder Binding Corporate Rules (BCRs) beinhalten, so der Hinweis der Datenschutzaufsicht von Mecklenburg-Vorpommern.

Auch wenn schon jetzt viele Datenschützer erwarten, dass Privacy Shield als Grundlage für Datenübermittlungen in die USA nicht geeignet ist, müssen sich Unternehmen nun genau und regelmäßig informieren, wie letztlich die Position zu Privacy Shield aussieht. Klar ist in jedem Fall, dass die Datenübermittlungen in die USA durch die Aufsichtsbehörden genau in den Blick genommen werden, sobald die Beurteilung von Privacy Shield durch die Datenschützer abgeschlossen ist. Damit ist in wenigen Wochen zu rechnen.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im März 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Datenschutz und Datensicherheit

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close