Seit den ersten Enthüllungen von Edward Snowden über massenhafte anlasslose Überwachungsmaßnahmen US-amerikanischer Nachrichtendienste Anfang Juni 2013 ist die Rechtmäßigkeit der Übermittlung von personenbezogenen Daten in die USA mit einem großen Fragezeichen versehen. Hierauf haben die deutschen Datenschutzbehörden die Unternehmen schon im Juli 2013 hingewiesen (Pressemitteilung: "Geheimdienste gefährden massiv den Datenverkehr zwischen Deutschland und außereuropäischen Staaten". Sie finden diese unter (www.senatspressestelle.bremen.de/detail.php?gsid=bremen146.c.71856.de&asl=bremen02.c.732.de).
Im Oktober 2015, also etwa vor einem Jahr, hat der Europäische Gerichtshof unter Berufung auf diese Situation in den USA die "Safe-Harbor-Entscheidung" der Europäischen Kommission für ungültig erklärt. Seitdem können Datenübermittlungen in die USA nicht mehr damit gerechtfertigt werden, dass die Datenempfänger sich selbst zu einem "sicheren Hafen" erklären.
Die weiterhin ungeklärte Situation für den Schutz personenbezogener Daten in den USA nimmt die Bremische Landesbeauftragte für Datenschutz und Informationsfreiheit zum Anlass, sich als eine von zehn deutschen Datenschutzbehörden an einer koordinierten Aktion zu beteiligen, in der grenzüberschreitende Datenübermittlungen deutscher Unternehmen auf den Prüfstand kommen. Es handelt sich um rund 500 nach dem Zufallsprinzip ausgewählte Unternehmen unterschiedlicher Größenordnungen und Branchen. Im ersten Schritt werden Fragebögen versendet, die von den datenschutzrechtlichen Aufsichtsbehörden ausgewertet werden. Dort, wo sich dies als notwendig erweist, werden die Aufsichtsbehörden in eine tiefere Prüfung einsteigen.
In Bremen sollen 16 Unternehmen die Fragen zu grenzüberschreitenden Datenübermittlungen von Kunden- und Beschäftigtendaten beantworten. Bei der Prüfaktion ist den Datenschutzbehörden besonders wichtig, bei den Unternehmen auch dafür ein Bewusstsein zu schaffen, dass grenzüberschreitende Datenübermittlungen möglicherweise auch beim Cloud Computing und bei anderen Nutzungen von Servern externer Dienstleister stattfinden. Dasselbe gilt, wenn Office-Produkte US-amerikanischer Unternehmen eingesetzt werden, die über das Internet genutzt werden können. Diese Anwendungen setzen meist die Übermittlung personenbezogener Daten in die USA voraus.
Die Bremische Landesbeauftragte für Datenschutz und Informationsfreiheit Dr. Imke Sommer sagte zur Prüfaktion: "Wir hatten im letzten Jahr den Eindruck, dass die bremischen Unternehmen sofort auf die EuGH-Entscheidung reagiert und Datenübermittlungen in die USA nicht mehr auf die Safe-Harbor-Entscheidung gestützt haben. Deshalb rechne ich damit, dass die Prüfaktion ergibt, dass die bremischen Unternehmen seitdem für grenzüberschreitende Datenübermittlungen andere Rechtsgrundlagen nutzen und sich über wirksame technisch-organisatorische Maßnahmen des Datenschutzes Gedanken gemacht haben. Technische Datenschutzmaßnahmen sind deshalb besonders wichtig, weil noch nicht ausgemacht ist, dass Rechtsgrundlagen wie Standardvertragsklauseln oder das sogenannte "Privacy Shield" vor dem Europäischen Gerichtshof überhaupt Bestand haben werden. Es könnte sogar sein, dass diese Rechtsgrundlagen das Schicksal der Safe-Harbor-Entscheidung teilen werden."