Am 6. Oktober 2015 erklärte der Europäische Gerichtshof (EuGH) die Safe Harbor-Entscheidung der EU-Kommission für unwirksam und kappte damit von einem Tag auf den anderen eine wesentliche Grundlage für den Datenverkehr zwischen Europa und den USA. Der LfDI Rheinland-Pfalz nahm dies zum Anlass, die rheinland-pfälzischen Unternehmen auf die Problemlage hinzuweisen, seine Unterstützung anzubieten und im Rahmen von mehr als 120 Auskunftsverfahren die größten Unternehmen zu den Grundlagen von Datentransfers in die USA zu befragen. Der LfDI wollte wissen, auf welcher Rechtsgrundlage Unternehmen in Rheinland-Pfalz personenbezogene Daten in die USA übermitteln.
Jetzt stellt der LfDI die Ergebnisse und erste Schlussfolgerungen aus den Auskunftsverfahren vor (vgl. dazu im Einzelnen die beigefügte Auswertung). Der LfDI freut sich über die hervorragende Rücklaufquote von 95 %; sie zeigt, dass die Unternehmen gegenüber der Aufsichtsbehörde dialog- und auskunftsbereit sind und die Thematik Datentransfers in die USA als relevant erkannt haben.
53 % der Unternehmen konnten die Fragen des LfDI vollständig, plausibel und fristgerecht beantworten. Für diese Unternehmen zahlen sich jetzt die vorausschauende Positionierung in Sachen Datenschutz, etwa No Cloud Policys oder die Bevorzugung von europäischen Dienstleistern mit hohem Datenschutzstandard aus.
47 % der Unternehmen offenbarten allerdings erhebliche, teils gravierende Defizite im Umgang mit personenbezogenen Daten von Kunden, Geschäftspartnern und Beschäftigten: Sie waren teilweise nicht in der Lage, die an sie gerichteten Fragen binnen gesetzter Frist vollständig zu beantworten. Das ist aus Sicht der LfDI nicht hinnehmbar, da die datenschutzrechtlich verantwortliche Stelle jederzeit fähig sein muss, den Umgang mit den eigenen personenbezogenen Daten, Datenflüsse und deren Rechtsgrundlagen vollständig darzulegen.
Ein weiterer Teil der Unternehmen gab zwar an, keine Datentransfers in die USA vorzunehmen, setzte sich dann jedoch selbst dazu in Widerspruch. Diesen Unternehmen ist offensichtlich nicht klar, dass bei der Nutzung von Cloud-Diensten, von Google Analytics, Microsoft Office 365 oder Facebook regelmäßig personenbezogene Daten in die USA übermittelt werden - sei es beim Nutzen der Programme, bei Backups, Fernwartungen oder Updates - und dass sie hierfür verantwortlich sind. Teilweise meinten Unternehmen sogar, Alltags-Daten wie Namen, Adressen oder Telefonnummern seien nicht schutzwürdig. Dies verletzt die Grundrechte der betroffenen Kunden, Vertragspartner und Mitarbeiter und kann nicht toleriert werden. Hier sieht sich der LfDI noch vor ganz erheblicher weiterer Aufklärungsarbeit. Weitere Unternehmen gehen von einem angemessenen Datenschutzniveau in den USA bzw. bei Ihren US-Partnerfirmen aus. Damit setzen sie sich allerdings in Widerspruch zu den Feststellungen der EU-Kommission und des EuGH.
Insgesamt also ein Ergebnis mit viel Licht, aber auch Schatten, das noch erhebliche Anstrengungen der Unternehmen und der Aufsichtsbehörde erfordert. Der LfDI sieht noch ganz erheblichen Aufklärungsbedarf bei den Unternehmen, dem er in den kommenden Wochen durch Einzelberatungen, Veröffentlichungen und Veranstaltungen in Kooperation mit Verbänden und Kammern nachkommen wird. Der LfDI wird die verantwortlichen Stellen weiter auf Alternativen zu Datenverarbeitungen in den USA hinweisen, also auf Dienstleister, die Datenverarbeitungen ausschließlich innerhalb der EU oder in Staaten mit angemessenem Datenschutzniveau vornehmen.
Der Weg zum sicheren Hafen für personenbezogene Daten ist also noch lang - aber der Kurs wird vom LfDI Rheinland-Pfalz gehalten!
---
weitere Informationen
- Details zur Umfrage des Landesbeauftragten
- SWR-Beitrag in der Landesschau aktuell Rheinland-Pfalz vom 22. Dezember 2015