Schonfrist vorbei – Bußgelder nach Safe Harbor-Urteil verhängt

europa 12
News

Seit dem EuGH Urteil vom Oktober 2015 ist klar, dass sich Unternehmen beim Datentransfer in die USA nicht mehr auf das Safe-Harbor Abkommen berufen können. Dennoch haben viele Unternehmen ihre gängige Praxis beim Datentransfer in die USA noch nicht umgestellt. Nun hat der Hamburgische Beauftragte für Datenschutz, Johannes Caspar, erste Bußgelder verhängt. Gleichzeitig ist eine längerfristige Lösung des Problems noch nicht in Aussicht.

Wer nicht hören will muss zahlen

Nachdem bereits im Januar angekündigt wurde, nach Ablauf der mehrmonatigen Umsetzungsfrist Bußgelder bis zu 300.000 Euro zu verhängen, hat der Hamburgische Beauftragte für Datenschutz nun zumindest ansatzweise durchgegriffen und laut Spiegel-Online die Unternehmen Adobe, Punica und Unilever wegen Beibehaltung der Safe-Harbor-Praxis zur Zahlung von bis zu 11.000 Euro verpflichtet. Der verhältnismäßig geringe Betrag rechtfertige sich laut Caspar damit, dass die betroffenen Unternehmen noch während des Verfahrens ihre Praxis beim Datentransfer umgestellt haben. Bei der Umstellung auf Unternehmensseite bestehen anscheinend noch große Unsicherheiten, da trotz vorheriger Ankündigung weiterhin nach Safe-Harbour verfahren wurde.

Das Problem mit dem internationalen Datentransfer

Die meisten Unternehmen sind international aufgestellt und der Datentransfer in die USA ist alltägliche Praxis. Jedoch liegen die USA mit ihren datenschutzrechtlichen Standards hinter den europäischen zurück, gelten also als „unsicherer Drittstaat“. Bisher erfolgte eine Lösung hier über das Safe-Harbor Abkommen: Das datenempfangende Unternehmen konnte, die geforderten Standards einzuhalten und galt damit als „sicherer Drittstaat“. Dieser Praxis wurde nun durch das EuGH Urteil ein Riegel vorgeschoben.

Umstellung ja – aber wie?

Das eine Umstellung unumgänglich ist sicher. Die momentan diskutierten Möglichkeiten sind:

Allerdings häufen sich auch hierzu die kritischen Stimmen. Das Privacy Shield steht bereits seit längerem in der Kritik. Jüngst hat sich nun auch der Europäische Beauftragte für Datenschutz, Giovanni Buttarelli, in seiner offiziellen Stellungnahme gegen eine baldige Umsetzung ausgesprochen. Es seien noch „signifikante Verbesserungen“ notwendig, um einen ausreichenden Datenschutzstandard zu erreichen.

Die Datenschutzbehörden verweisen auf die Verwendung von EU-Standardvertragsklauseln. Aber auch hier wird die Datenschutzkonformität angezweifelt. Damit dominiert aktuell weiterhin die Frage: Wie organisiere ich den Datentransfer rechtskonform?

Lösung weiterhin über EU Standardvertragsklauseln und Binding Corporate Rules

Der Hamburgische Beauftragte für Datenschutz verweist in seiner Stellungnahme zum Safe-Harbor Urteil ausdrücklich auf die Verwendung von EU Standardvertragsklauseln und Binding Cooperate Rules.

„Solange keine Entscheidung über die Auswirkungen des Urteils auf alternative Übermittlungsinstrumente getroffen wurde, können bestehende Instrumente wie Standardvertragsklauseln und BCR (verbindliche Unternehmensregelungen) zunächst weiter als Rechtsgrundlage für den Datenexport genutzt werden.“

Bis weitere Stellungnahmen der Datenschutzbehörden ausbleiben und die Rechtslage ungeklärt ist, bleibt weiterhin nur der Rückgriff auf die Standardvertragsklauseln als einzige rechtskonforme Möglichkeit zur Datenübermittlung in die USA.

Bußgelder in Kauf nehmen ist keine langfristige Lösung – Umstellung gefordert!

Auch wenn die verhängten Bußgelde noch verhältnismäßig gering ausgefallen sind und sich die wirtschaftlichen Konsequenzen in Grenzen halten, ist das Vorgehen des Datenschutzbeauftragten doch ein deutlicher Weckruf. Sollten in Zukunft weiterer Verstöße festgestellt werden, sei nach dem nun deutlichen Ende der Umstellungszeit ein Verstoß als noch gravierender zu beurteilen und es könne dann auch der volle Strafrahmen von bis zu 300.000 ausgeschöpft werden. Spürbar höhere Bußgelder werden mit Inkrafttreten der Datenschutzgrundverordnung erwartet: Bei Missachtung können Zahlungen bis zu 4% des Umsatzes anfallen. Die Schonfrist ist demnach vorbei und Unternehmen, die sich heute noch auf Safe Harbor berufen, sollten ihre Praxis schnellst möglich umstellen.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Rechtskonforme Datentransfers von Unternehmen in das Ausland
  • Wie geht es weiter nach dem Wegfall von Safe Harbor?
  • Einsatzmöglichkeiten von EU-Standardvertragsklauseln und Binding Corporate Rules

Informieren Sie sich hier über unser Leistungsspektrum: Internationaler Datenschutz

7 Kommentare zu diesem Beitrag

  1. Endlich schreiben Sie darüber! War schon sehr erstaunt, dass Sie über die ersten verhängten Strafen in Sachen Safe Harbor nicht berichtet haben. Gerade dies gibt Unternehmen ein Zeichen, dass Sie sich darauf nicht mehr ausruhen können.
    Sehr guter Artikel!

  2. Dr. Datenschutz! Ich bin es gar nicht gewöhnt, dass Sie so ein wichtiges Thema so spät aufnehmen. Die ersten Bußgelder nach der Safe Harbor Entscheidung ist doch gerade eine wichtige Nachricht! Aus sonstigen Ländern hat man doch bis dato noch nichts gehört, weswegen es um so wichtiger ist, dass größere Unternehmen informiert sind. Normaler Weise sind Sie da besser auf Zack! Sehr schade; hoffe auf Besserung!
    Der Artikel ist genau das was notwendig ist, um Unternehmen nochmal daran zu erinnern. Sehr gut geschrieben!

  3. Tja und wie löst man das jetzt mit Microsoft 365? Angeblich sind die EU Standardvertragsklauseln irgend wo für alle schon integriert. Konnte diese aber nicht finden, auch nicht im Admin Panel. Ein Mitarbeiter von MS sicherte zu, das die Speicherung ausschließlich in Irland erfolgt.

  4. Es wäre interessant, wenn Sie diese überall erwähnten Standardvertragsklauseln etwas beleuchten würden. Ansonsten ein prima Artikel!

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.