Datenschutz nach Safe-Harbor-Urteil

Auch große Firmen nur bedingt gegen drohende Strafen gewappnet

Die Uhr tickt: Sollten sich die USA und die EU bis Anfang kommender Woche nicht über eine Neuauflage des im Oktober gekippten Datenschutzabkommens Safe Harbor einigen, drohen europäischen Unternehmen empfindliche Strafen, wenn sie personenbezogene Daten, die in die USA übermittelt werden, nicht ausreichend schützen. In Deutschland offenbarte eine Befragung der Datenschutzbeauftragten des Landes Rheinland-Pfalz bei den größten Firmen des Bundeslandes teils heftige Defizite.

Teilen Sie unseren Beitrag

Im Oktober vergangenen Jahres hatte der Europäische Gerichtshof (EuGH) die bisherige Safe-Harbor-Praxis mit deutlichen Worten vom Tisch gewischt. In dem Urteil kritisierte das Gericht, dass das seit 2000 geltende Abkommen zwar die Unternehmen zum Datenschutz verpflichtet, aber die US-Behörden weiterhin auf personenbezogene Daten zugreifen können. Das Beratungsgremium der Europäischen Kommission erklärte umgehend, bis Ende Januar zu prüfen, ob personenbezogene Daten weiter auf Grundlage von EU-Standardvertragsklauseln oder bindenden Corporate-Regeln, sogenannten Binding Corporate Rules, übermittelt werden dürfen.

Eine der ersten Datenschutzbehörden, die umgehend Unternehmen in Sachen Datenschutz auf den Zahn fühlte, war Rheinland-Pfalz. Noch im Oktober befragte sie die 122 größten Unternehmen des Bundeslandes. Sie wollte wissen, auf welcher Rechtsgrundlage personenbezogene Daten in die USA vermittelt werden, ob sie sich beispielsweise auf Safe Harbor, Standardvertragsklauseln und Binding Corporate Rules verlassen oder einen Datenschutzbeauftragten haben. 

Immerhin 53 Prozent der Unternehmen waren in der Lage, die Fragen vollständig und fristgerecht zu beantworten. Der Rest offenbarte teilweise gravierende Defizite. 16 Unternehmen brauchten eine Fristverlängerung. Dieses – so die Interpretation der Behörde – deute nicht nur darauf hin, dass besagte Firmen keinen Überblick über den Umgang mit ihren Daten haben, sondern stelle darüber hinaus eine Ordnungswidrigkeit dar.

17 Unternehmen machten zwar pünktliche, aber auf den zweiten Blick widersprüchliche Angaben. Ihnen war die Tragweite der aktuellen Safe-Harbor-Entscheidung, wonach persönliche Daten von europäischen Internetnutzern in den USA nicht ausreichend vor dem Zugriff der Behörden geschützt sind, offenbar entgangen. Ihnen sei nicht klar gewesen – so die Behörde weiter, dass die US-Behörden auch dann Zugriff auf ihre Daten haben, wenn sie US-Cloud-Dienste nutzen oder Google Analytics, Microsoft Office 365 oder Facebook. Weitere 16 Unternehmen saßen dem Irrglauben auf, dass sie aufgrund eines „angemessenen Datenschutzniveaus der USA“ weiterhin Daten exportieren dürfen.

Auch Hamburgs Datenschutzbehörde hat mit Kontrollen begonnen. Die Unternehmen der Hansestadt müssen bis Ende Januar Auskunft über ihren Umgang mit personenbezogenen Daten erteilen. Ab Februar – so hat die Behörde angekündigt – werde man rechtliche Maßnahmen zur Durchsetzung des Urteils ergreifen.

Artikel teilen

Lesen sie mehr zum Thema