Nach Aufhebung des Safe-Harbor-Abkommens durch den EuGH (Rechtssache C-362/14 – Schrems) ist die Rechtsgrundlage für den genehmigungslosen Transfer personenbezogener Daten in die USA weggefallen.

In der aktuellen Ausgabe des deutschen Magazins JUVE (März/April 2016) wird berichtet, dass die Landes-Datenschutzbehörde von Rheinland-Pfalz daraufhin eine anonyme Umfrage unter den 122 größten Unternehmen dieses Bundeslandes durchführte, um Näheres über die Art und Weise ihres Datentransfers in die USA zu erfahren. Dabei zeigten sich besorgniserregende Wissenslücken und ein erheblicher Aufklärungsbedarf in Sachen Datenschutz:

  • 47 % der befragten Unternehmen offenbarten schwere Mängel im Umgang mit und dem Wissen über personenbezogene Daten. So ergab sich aus zahlreichen Antworten, dass der Begriff der „personenbezogene Daten“ vielfach nicht richtig ausgelegt wird. Hier vertraten einige der befragten Unternehmen etwa die Auffassung, dass ‒ unzweifelhaft personenbezogene ‒ Daten wie etwa Namen, Adressen oder Telefonnummern nicht schutzwürdig seien.
  • 17 % der befragten Unternehmen war nicht klar, dass bei der Nutzung von Cloud-Diensten, von Google Analytics, Microsoft Office 365 oder Facebook regelmäßig personenbezogene Daten in die USA übermittelt werden, insbesondere im Rahmen von Backups, Fernwartungen oder Updates.
  • 15 % der befragten Unternehmen gingen nach der Safe-Harbor-Entscheidung weiterhin davon aus, dass die USA ein „angemessenes Datenschutzniveau“ garantierten und der Datentransfer dorthin somit unproblematisch sei.

Die Organisatoren der Umfrage zogen aus diesen Ergebnissen – wohl zu Recht – den Schluss, dass viele Unternehmen im Bereich Datenschutz noch erheblichen Nachholbedarf haben. Zwar handelt es sich hier um eine regionale Umfrage in Deutschland, allerdings ist zu vermuten, dass eine derartige Umfrage bei österreichischen Unternehmen durchaus ähnliche Ergebnisse bringen würde. Nach wie vor ist nämlich nur wenigen österreichischen Unternehmen bekannt, dass sie nach der heute geltenden Rechtslage grundsätzlich erst nach Einholung einer Vorab-Genehmigung durch die Datenschutzbehörde rechtmäßig Daten in die USA überlassen können.

Dies kann sich zwar in Zukunft möglicherweise wieder ändern. Aktuell wird nämlich ein neues Abkommen zwischen der EU und den USA verhandelt – das „EU-US-Privacy Shield“ (E&H hat berichtet). Dieses Abkommen verfolgt das Ziel, den rechtssicheren genehmigungslosen transatlantischen Datenverkehr wiederherzustellen. Allerdings ist derzeit noch nicht absehbar, wann dieses Abkommen in Kraft treten wird. Vor diesem Hintergrund kann jedem datenverarbeitenden Unternehmen nur empfohlen werden, in der Zwischenzeit seinen eigenen „sicheren Hafen“ zu errichten.

Autor: Mag. Igor Matejuk