Nach Safe Harbor: Datenschützer verhängen Bußgelder

Nachdem der EuGH SafeHarbor für unwirksam erklärt hat, mussten viele Unternehmen ihre Prozesse in der Datenverarbeitung ändern und anpassen. Unternehmen, die das noch nicht gemacht haben, sollten sich beeilen. Datenschützer verhängen mittlerweile Bußgelder wegen Verstoßes gegen das Datenschutzrecht.

Der Hamburgerische Beauftragte für Datenschutz und Informationsfreiheit hat in einer Pressemitteilung vom 6. Juni 2016 folgendes bekannt gegeben:

Erste Bußgelder rechtskräftig, weitere Verfahren noch offen

(hmbbfdi, 6.6.2016) Der EuGH hat die Safe Harbor-Entscheidung im Oktober 2015 aufgehoben und damit einen  wesentlichen Pfeiler für eine rechtmäßige Datenübermittlung an US-Unternehmen für unwirksam erklärt. Daraufhin wurden durch den Hamburgischen Datenschutzbeauftragten Prüfungen bei 35 international agierenden Hamburger Unternehmen durchgeführt.

Die Prüfungen haben ergeben, dass die überwiegende Mehrheit der Unternehmen den Datentransfer im Rahmen einer mehrmonatigen Umsetzungsfrist rechtzeitig auf sogenannte Standardvertragsklauseln umgestellt hat. Einige wenige Unternehmen hatten aber auch ein halbes Jahr nach Wegfall der Safe Harbor-Entscheidung keine zulässige Alternative geschaffen. Die Datenübermittlungen dieser Unternehmen in die USA erfolgten damit ohne rechtliche Grundlage und waren rechtswidrig.

Während einige der eingeleiteten Verfahren noch nicht abgeschlossen werden konnten und andere Prüfungen noch laufen, sind mittlerweile drei Bußgeldbescheide wegen der unzulässigen Übermittlung von Mitarbeiter- und Kundendaten in die USA rechtskräftig geworden. Die betroffenen Unternehmen haben nach Einleitung des Bußgeldverfahrens ihre Übermittlungen rechtlich auf Standardvertragsklauseln umgestellt.

Dazu Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit:

„Dass die Unternehmen schließlich doch noch eine rechtliche Grundlage für die Übermittlung geschaffen haben, war bei der Bemessung der Bußgelder positiv zu berücksichtigen. Für künftig festgestellte Verstöße wird sicherlich ein schärferer Maßstab anzulegen sein.

Im weiteren Verlauf bleibt nun abzuwarten, ob die Nachfolgeregelung zu Safe Harbor, der Privacy Shield, den die EU-Kommission Ende Februar vorgelegt hat, ein angemessenes Datenschutzniveau herstellt. Daran waren nicht zuletzt seitens der Art. 29-Datenschutzgruppe, dem gemeinsamen Gremium der Datenschutzbehörden der EU-Mitgliedstaaten und des Europäischen Datenschutzbeauftragten,  erhebliche Zweifel geäußert worden. EU-Kommission und US-Regierung sind hier aufgefordert, den Entwurf in wesentlichen Punkten nachzubessern. Vor diesem Hintergrund wird auch über die Zulässigkeit der derzeit nicht beanstandeten alternativen Übermittlungsinstrumente, insbesondere sogenannter Standardvertragsklauseln, zu entscheiden sein.”

Hohe Bußgelder drohen

Das Bundesdatenschutzgesetz sieht für die unberechtigte Datenerhebung und -verarbeitung (wozu auch eine Übermittlung in ein Drittland ohne Herstellung eines angemessenen Datenschutzniveaus zählt) hohe Bußgelder vor. Denn dabei handelt es sich um eine Ordnungswidrigkeit.

Es droht ein Bußgeld von bis zu 300.000 Euro. Allerdings ist auch das keine absolute Obergrenze. Denn es heißt weiter im Gesetz:

“Die Geldbuße soll den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen. Reichen die in Satz 1 genannten Beträge hierfür nicht aus, so können sie überschritten werden.”

In den aktuellen Fällen wurden Bußgelder von 8.000, 9.000 und 11.000 Euro verhängt.

Was ist zu tun?

Aus der PM der Datenschützer geht hervor, dass mehrere der geprüften Unternehmen ihre Datenverarbeitungsprozesse auf Standardvertragsklauseln umgestellt hätten.

Aus der Meldung lässt sich ableiten, dass zumindest der Hamburgerische Datenschutzbeauftragte diese Standardvertragsklauseln für zulässige Rechtsgrundlage für die Datenübermittlung in die USA hält.

Standardvertragsklauseln

Die EU-Kommission hatte schon im Jahr 2001 ein Instrument zur rechtmäßigen Übermittlung von Daten an Drittstaaten entwickelt, die sog. EU-Standardverträge. Diese erwiesen anfangs als wenig praxisgerecht, weil die Auftragsdatenverarbeitung fehlte. Im Jahr 2010 wurden diese dann überarbeitet, sodass ab diesem Zeitpunkt sowohl die Datenübertragung wie auch die Auftragsdatenverarbeitung geregelt sind.

Die Standardvertragsklauseln findet man auf der Website der EU-Kommission.

Fazit

Die Datenschützer machen Ernst. Unternehmen, die noch nicht auf die Safe Harbor-Entscheidung des EuGH reagiert haben, sollten dies schnell tun, um keine Bußgelder zu riskieren. Mit Dienstleistern, die ihren Sitz z.B. in der USA haben, sollten die Standardvertragsklauseln vereinbart werden. (mr)