Safe Harbor: Erste Bußgelder rechtskräftig
Im Oktober des letzten Jahres entschied der Europäische Gerichtshof, dass die bisherige Regelung zur Übermittlung personenbezogener Daten von Europa in die USA, das sogenannte Safe Harbor Abkommen, ungültig ist. Die Begründung lautete, die persönlichen Daten der Europäer seien in den USA nicht ausreichend vor dem Zugriff der dortigen Behörden geschützt. Nach langen Diskussionen meldete die EU-Kommission im Februar 2016, man sei sich nunmehr mit den USA über eine neue Regelung einig, die das Safe Harbor Abkommen ablösen würde. Diese neue Vereinbarung wurde „Privacy Shield“ („Privatsphäre Schutzschild“) genannt und war höchst umstritten. Für die Unternehmen, die auf den Austausch personenbezogener Daten mit den USA angewiesen sind, blieb das Problem, dass sie für die Übergangsphase zwischen Safe Harbor und Privacy Shield eine Lösung erarbeiten mussten, die den Datentransfer in die USA auf rechtssichere Füße stellte.
Hamburgischer Datenschutzbeauftragter verhängt Bußgelder
Der Hamburgische Datenschutzbeauftragte hat nunmehr gegen mehrere Unternehmen, die ihre Verfahren nicht rechtzeitig umstellten, Bußgelder wegen der Übermittlung personenbezogener Daten ohne Rechtsgrundlage verhängt. Laut einem Bericht in spiegel online hat Adobe 8.000 Euro bezahlt, der Getränkehersteller Punica 9.000 und Unilever 11.000 Euro.
Insgesamt wurden durch den Hamburgischen Datenschutzbeauftragten 35 Prüfungen bei international agierenden Hamburger Unternehmen durchgeführt, von denen die meisten aber rechtzeitig auf die Standardvertragsklauseln umgestiegen waren, um bezüglich der Datenübermittlung in die USA auf der rechtlich sicheren Seite zu sein. Den Abschluss von Standardvertragsklauseln als Rechtsgrundlage für die Datenübermittlung in die USA wird auch von der Hamburger Datenschutzbehörde akzeptiert. Hinsichtlich der Höhe der Bußgelder wurde „strafmildernd“ berücksichtigt, dass die betroffenen Unternehmen im Rahmen des laufenden Verfahrens auf Standardvertragsklauseln umstellten. Bei zukünftigen Prüfungen jedoch, so der Hamburgische Datenschutzbeauftragte in einer Pressemitteilung von gestern, sei mit höheren Summen zu rechnen.
Privacy Shield als Alternative?
Auch bleibe laut Prof. Caspar abzuwarten, ob der Privacy Shield, den die EU-Kommission Ende Februar als Alternative zu Safe Harbor vorgelegt hat, in den USA ein angemessenes, den europäischen Regelungen vergleichbares, Datenschutzniveau herstellt. Daran waren von verschiedenen europäischen Datenschutzinstitutionen erhebliche Zweifel geäußert worden.
Was können betroffene Unternehmen tun?
Unternehmen, die auf Datentransfer in die USA angewiesen sind, sollten – sofern noch nicht geschehen – schnellstmöglich mit ihren US-amerikanischen Vertragspartnern Standardvertragsklauseln abschließen, um Bußgelder zu vermeiden. Damit sind sie bis auf Weiteres vor Beanstandungen der Datenschutzaufsichtsbehörden geschützt. Die Gestaltung dieser Klauseln ist einerseits recht einfach, da es vorgefertigte Vertragsmuster sind, die nur noch an einigen Stellen auf das individuelle Unternehmen angepasst werden müssen. Genau darin kann aber die Tücke des Details stecken. Empfehlenswert ist, den betrieblichen Datenschutzbeauftragten oder spezialisierte Berater hinzuzuziehen.
Weitere Entwicklung offen
Die weitere Entwicklung in dem Streit über eine sichere Datenverarbeitung in von personenbezogenen Daten ist jedoch weiterhin offen: Möglicherweise stehen auch die Standardvertragsklauseln bald auf dem Index nicht mehr akzeptierter Verfahren. Die betroffenen Unternehmen sollten daher die Diskussion verfolgen um bei Veränderungen zeitnah reagieren zu können.