Zum Inhalt springen Zur Navigation springen
Schonfrist vorbei – Bußgelder nach Safe Harbor-Urteil verhängt

Schonfrist vorbei – Bußgelder nach Safe Harbor-Urteil verhängt

Seit dem EuGH Urteil vom Oktober 2015 ist klar, dass sich Unternehmen beim Datentransfer in die USA nicht mehr auf das Safe-Harbor Abkommen berufen können. Dennoch haben viele Unternehmen ihre gängige Praxis beim Datentransfer in die USA noch nicht umgestellt. Nun hat der Hamburgische Beauftragte für Datenschutz, Johannes Caspar, erste Bußgelder verhängt. Gleichzeitig ist eine längerfristige Lösung des Problems noch nicht in Aussicht.

Wer nicht hören will muss zahlen

Nachdem bereits im Januar angekündigt wurde, nach Ablauf der mehrmonatigen Umsetzungsfrist Bußgelder bis zu 300.000 Euro zu verhängen, hat der Hamburgische Beauftragte für Datenschutz nun zumindest ansatzweise durchgegriffen und laut Spiegel-Online die Unternehmen Adobe, Punica und Unilever wegen Beibehaltung der Safe-Harbor-Praxis zur Zahlung von bis zu 11.000 Euro verpflichtet. Der verhältnismäßig geringe Betrag rechtfertige sich laut Caspar damit, dass die betroffenen Unternehmen noch während des Verfahrens ihre Praxis beim Datentransfer umgestellt haben. Bei der Umstellung auf Unternehmensseite bestehen anscheinend noch große Unsicherheiten, da trotz vorheriger Ankündigung weiterhin nach Safe-Harbour verfahren wurde.

Das Problem mit dem internationalen Datentransfer

Die meisten Unternehmen sind international aufgestellt und der Datentransfer in die USA ist alltägliche Praxis. Jedoch liegen die USA mit ihren datenschutzrechtlichen Standards hinter den europäischen zurück, gelten also als „unsicherer Drittstaat“. Bisher erfolgte eine Lösung hier über das Safe-Harbor Abkommen: Das datenempfangende Unternehmen konnte, die geforderten Standards einzuhalten und galt damit als „sicherer Drittstaat“. Dieser Praxis wurde nun durch das EuGH Urteil ein Riegel vorgeschoben.

Umstellung ja – aber wie?

Das eine Umstellung unumgänglich ist sicher. Die momentan diskutierten Möglichkeiten sind:

Allerdings häufen sich auch hierzu die kritischen Stimmen. Das Privacy Shield steht bereits seit längerem in der Kritik. Jüngst hat sich nun auch der Europäische Beauftragte für Datenschutz, Giovanni Buttarelli, in seiner offiziellen Stellungnahme gegen eine baldige Umsetzung ausgesprochen. Es seien noch „signifikante Verbesserungen“ notwendig, um einen ausreichenden Datenschutzstandard zu erreichen.

Die Datenschutzbehörden verweisen auf die Verwendung von EU-Standardvertragsklauseln. Aber auch hier wird die Datenschutzkonformität angezweifelt. Damit dominiert aktuell weiterhin die Frage: Wie organisiere ich den Datentransfer rechtskonform?

Lösung weiterhin über EU Standardvertragsklauseln und Binding Corporate Rules

Der Hamburgische Beauftragte für Datenschutz verweist in seiner Stellungnahme zum Safe-Harbor Urteil ausdrücklich auf die Verwendung von EU Standardvertragsklauseln und Binding Cooperate Rules.

„Solange keine Entscheidung über die Auswirkungen des Urteils auf alternative Übermittlungsinstrumente getroffen wurde, können bestehende Instrumente wie Standardvertragsklauseln und BCR (verbindliche Unternehmensregelungen) zunächst weiter als Rechtsgrundlage für den Datenexport genutzt werden.“

Bis weitere Stellungnahmen der Datenschutzbehörden ausbleiben und die Rechtslage ungeklärt ist, bleibt weiterhin nur der Rückgriff auf die Standardvertragsklauseln als einzige rechtskonforme Möglichkeit zur Datenübermittlung in die USA.

Bußgelder in Kauf nehmen ist keine langfristige Lösung – Umstellung gefordert!

Auch wenn die verhängten Bußgelde noch verhältnismäßig gering ausgefallen sind und sich die wirtschaftlichen Konsequenzen in Grenzen halten, ist das Vorgehen des Datenschutzbeauftragten doch ein deutlicher Weckruf. Sollten in Zukunft weiterer Verstöße festgestellt werden, sei nach dem nun deutlichen Ende der Umstellungszeit ein Verstoß als noch gravierender zu beurteilen und es könne dann auch der volle Strafrahmen von bis zu 300.000 ausgeschöpft werden. Spürbar höhere Bußgelder werden mit Inkrafttreten der Datenschutzgrundverordnung erwartet: Bei Missachtung können Zahlungen bis zu 4% des Umsatzes anfallen. Die Schonfrist ist demnach vorbei und Unternehmen, die sich heute noch auf Safe Harbor berufen, sollten ihre Praxis schnellst möglich umstellen.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.