Cloud und Datenschutz in Einklang bringen

Mangelndes Problembewusstsein der Unternehmen

von - 12.02.2016
Welche Sprengkraft im Urteil des EuGH liegt, scheint vielen Unternehmen nicht klar zu sein, wie eine Untersuchung des Landesamts für Datenschutz und Informationsfreiheit (LfDI) Rheinland Pfalz ergab. Das Amt wollte im Dezember – also zwei Monate nach dem Urteil – von den 122 größten Unternehmen des Landes im Rahmen eines Auskunftsverfahrens wissen, auf welcher Rechtsgrundlage sie personenbezogene Daten in die USA übermitteln und welche Konsequenzen sie aus dem EuGH-Urteil gezogen haben.
Was bedeutete Safe Harbor?
Mit der Entscheidung 2000/520/EG vom 26. Juli 2000 stimmte die Kommission der Europäischen Union den sogenannten Safe-Harbor-Grundsätzen des US-Handelsministeriums zu. Sie erkannte damit pauschal die Angemessenheit des Datenschutzes bei US-Unternehmen an, die sich nach diesen Grundsätzen selbst zertifiziert haben. Die Selbstverpflichtung der US-Unternehmen bei Safe Harbor hatte folgenden Inhalt:
  • Die Unternehmen haben gegenüber den Betroffenen eine Informationspflicht über die Datenverarbeitung und müssen eine Beschwerdemöglichkeit einräumen.
     
  • Die Betroffenen erhalten eine Wahlmöglichkeit, die Daten herzugeben oder nicht – durch ein Widerspruchsrecht (Opt-out) generell und eine Einwilligungspflicht (Opt-in) bei sensiblen Daten.
     
  • Die Weitergabe von Daten ist nur zulässig, wenn die Emp­fänger sich ebenfalls verpflichten, sich an die Regeln zu „Informationspflicht“ und „Wahlmöglichkeit“ zu halten.
     
  • Die Unternehmen müssen für die Sicherheit der Daten sorgen und sie vor Verlust, Missbrauch, unbe­fugtem Zugriff, Weitergabe, Änderung und Zerstörung schützen.
     
  • Die Zweckbindung der Daten wird beachtet, Stichwort Datenintegrität.
     
  • Die Betroffenen haben ein Auskunftsrecht.
     
  • Die Unternehmen implementieren Mechanismen für die effek­tive Durchsetzung der Rechte der Betroffenen.
Fast die Hälfte (47 Prozent) der 105 Unternehmen, die ihrer Auskunftspflicht nachkamen, offenbarten erhebliche, teils gravierende Defizite im Umgang mit personenbezogenen Daten von Kunden, Geschäftspartnern und Beschäftigten. 15 Prozent waren nicht in der Lage, die zehn einfachen Fragen des LfDI, die stichwortartig beziehungsweise mit Ja oder Nein beantwortet werden konnten, innerhalb der gesetzten Monatsfrist vollständig zu bearbeiten.
17 Prozent gaben zwar an, keine Datentransfers in die USA vorzunehmen, verstrickten sich jedoch in Widersprüche. „Diesen Unternehmen ist offensichtlich nicht klar, dass bei der Nutzung von Cloud-Diensten, von Google Analytics, Microsoft Office 365 oder Facebook regelmäßig personenbezogene Daten in die USA übermittelt werden“, heißt es vonseiten des LfDI. Weitere 15 Prozent hatten offensichtlich die Tragweite des Urteils nicht verstanden, denn sie gingen immer noch von einem „angemessenen Datenschutzniveau“ in den USA beziehungsweise bei ihren US-Partnerfirmen aus.
Seite
  1. Teil: Cloud und Datenschutz in Einklang bringen
  2. Teil: Das EuGH-Urteil hat weitreichende Folgen
  3. Teil: Mangelndes Problembewusstsein der Unternehmen
  4. Teil: Rechtssichere Alternativen zu Safe Harbor
  5. Teil: Personenbezogene Daten raus aus den USA?
  6. Teil: Die Reaktion der großen US-Anbieter
  7. Teil: Die neuen Regeln der Europäischen Union
  8. Teil: „Ich hoffe, dass wir nicht baden gehen“
Verwandte Themen

Mehr zum Thema