Safe Harbor-Urteil des Europäischen Gerichtshofs
Nach dem Urteil des EuGH zum Safe Harbor-Abkommen dürfen personenbezogene Daten nicht mehr auf der Grundlage des Safe Harbor-Abkommens in die USA übermittelt werden. Unternehmen sollten daher überdenken, ob ein Datenexport in die USA zwingend notwendig bzw. vermeidbar ist (z.B. durch Wahl anderer Cloud-Dienste oder Tools, welche eine Datenübermittlung in die USA erfordern).
Ist eine Übermittlung personenbezogener Daten in die USA unabdingbar, z.B. weil das Mutter- oder Tochterunternehmen dort seinen Sitz hat oder Vertragsbeziehungen mit einem US-Unternehmen bestehen oder es sonst keine notwendigen alternativen Dienste gibt), sollte das Unternehmen die Datenübermittlung auf eine alternative Rechtsgrundlage stellen.
Sofern Daten weiterhin auf Grundlage von Safe Harbor übermittelt werden, droht ein Bußgeld von bis zu 300.000 EUR.
Der Landesdatenschutzbeauftragte Rheinland-Pfalz wird tätig
Der Landesdatenschutzbeauftragte in Rheinland-Pfalz hat laut Medienberichten nun die Initiative ergriffen und die größten 120 Unternehmen und Institutionen des Landes Rheinland-Pfalz angeschrieben und um Auskunft gebeten, ob und auf welcher Rechtsgrundlage personenbezogene Daten in die USA übermittelt werden. Bei den adressierten Unternehmen handelt es sich laut Medienberichten unter anderem um die BASF, Opel, Boehringer Ingelheim, Bitburger, ZDF, SWR aber auch diverse Kliniken und Banken usw.
Dringender Handlungsbedarf
Sofern noch nicht geschehen, sollte jedes Unternehmen, das personenbezogene Daten in die USA übermittelt, spätestens seit Verkündung des EuGH-Urteils zu Safe Harbor unbedingt die einem Datenexport zugrundeliegenden datenschutzrechtlichen Rechtsgrundlagen zu prüfen.
RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe
