Seit dem EuGH Urteil vom Oktober 2015 ist klar, dass sich Unternehmen beim Datentransfer in die USA nicht mehr auf das Safe-Harbor Abkommen berufen können. Dennoch haben viele Unternehmen ihre gängige Praxis beim Datentransfer in die USA noch nicht umgestellt. Nun hat der Hamburgische Beauftragte für Datenschutz, Johannes Caspar, erste Bußgelder verhängt. Gleichzeitig ist eine längerfristige Lösung des Problems noch nicht in Aussicht.
Der Inhalt im Überblick
Wer nicht hören will muss zahlen
Nachdem bereits im Januar angekündigt wurde, nach Ablauf der mehrmonatigen Umsetzungsfrist Bußgelder bis zu 300.000 Euro zu verhängen, hat der Hamburgische Beauftragte für Datenschutz nun zumindest ansatzweise durchgegriffen und laut Spiegel-Online die Unternehmen Adobe, Punica und Unilever wegen Beibehaltung der Safe-Harbor-Praxis zur Zahlung von bis zu 11.000 Euro verpflichtet. Der verhältnismäßig geringe Betrag rechtfertige sich laut Caspar damit, dass die betroffenen Unternehmen noch während des Verfahrens ihre Praxis beim Datentransfer umgestellt haben. Bei der Umstellung auf Unternehmensseite bestehen anscheinend noch große Unsicherheiten, da trotz vorheriger Ankündigung weiterhin nach Safe-Harbour verfahren wurde.
Das Problem mit dem internationalen Datentransfer
Die meisten Unternehmen sind international aufgestellt und der Datentransfer in die USA ist alltägliche Praxis. Jedoch liegen die USA mit ihren datenschutzrechtlichen Standards hinter den europäischen zurück, gelten also als „unsicherer Drittstaat“. Bisher erfolgte eine Lösung hier über das Safe-Harbor Abkommen: Das datenempfangende Unternehmen konnte, die geforderten Standards einzuhalten und galt damit als „sicherer Drittstaat“. Dieser Praxis wurde nun durch das EuGH Urteil ein Riegel vorgeschoben.
Umstellung ja – aber wie?
Das eine Umstellung unumgänglich ist sicher. Die momentan diskutierten Möglichkeiten sind:
- ein Rückgriff auf das EU-US Privacy Shield und
- die EU Standardvertragsklauseln.
Allerdings häufen sich auch hierzu die kritischen Stimmen. Das Privacy Shield steht bereits seit längerem in der Kritik. Jüngst hat sich nun auch der Europäische Beauftragte für Datenschutz, Giovanni Buttarelli, in seiner offiziellen Stellungnahme gegen eine baldige Umsetzung ausgesprochen. Es seien noch „signifikante Verbesserungen“ notwendig, um einen ausreichenden Datenschutzstandard zu erreichen.
Die Datenschutzbehörden verweisen auf die Verwendung von EU-Standardvertragsklauseln. Aber auch hier wird die Datenschutzkonformität angezweifelt. Damit dominiert aktuell weiterhin die Frage: Wie organisiere ich den Datentransfer rechtskonform?
Lösung weiterhin über EU Standardvertragsklauseln und Binding Corporate Rules
Der Hamburgische Beauftragte für Datenschutz verweist in seiner Stellungnahme zum Safe-Harbor Urteil ausdrücklich auf die Verwendung von EU Standardvertragsklauseln und Binding Cooperate Rules.
„Solange keine Entscheidung über die Auswirkungen des Urteils auf alternative Übermittlungsinstrumente getroffen wurde, können bestehende Instrumente wie Standardvertragsklauseln und BCR (verbindliche Unternehmensregelungen) zunächst weiter als Rechtsgrundlage für den Datenexport genutzt werden.“
Bis weitere Stellungnahmen der Datenschutzbehörden ausbleiben und die Rechtslage ungeklärt ist, bleibt weiterhin nur der Rückgriff auf die Standardvertragsklauseln als einzige rechtskonforme Möglichkeit zur Datenübermittlung in die USA.
Bußgelder in Kauf nehmen ist keine langfristige Lösung – Umstellung gefordert!
Auch wenn die verhängten Bußgelde noch verhältnismäßig gering ausgefallen sind und sich die wirtschaftlichen Konsequenzen in Grenzen halten, ist das Vorgehen des Datenschutzbeauftragten doch ein deutlicher Weckruf. Sollten in Zukunft weiterer Verstöße festgestellt werden, sei nach dem nun deutlichen Ende der Umstellungszeit ein Verstoß als noch gravierender zu beurteilen und es könne dann auch der volle Strafrahmen von bis zu 300.000 ausgeschöpft werden. Spürbar höhere Bußgelder werden mit Inkrafttreten der Datenschutzgrundverordnung erwartet: Bei Missachtung können Zahlungen bis zu 4% des Umsatzes anfallen. Die Schonfrist ist demnach vorbei und Unternehmen, die sich heute noch auf Safe Harbor berufen, sollten ihre Praxis schnellst möglich umstellen.
Endlich schreiben Sie darüber! War schon sehr erstaunt, dass Sie über die ersten verhängten Strafen in Sachen Safe Harbor nicht berichtet haben. Gerade dies gibt Unternehmen ein Zeichen, dass Sie sich darauf nicht mehr ausruhen können.
Sehr guter Artikel!
Dr. Datenschutz! Ich bin es gar nicht gewöhnt, dass Sie so ein wichtiges Thema so spät aufnehmen. Die ersten Bußgelder nach der Safe Harbor Entscheidung ist doch gerade eine wichtige Nachricht! Aus sonstigen Ländern hat man doch bis dato noch nichts gehört, weswegen es um so wichtiger ist, dass größere Unternehmen informiert sind. Normaler Weise sind Sie da besser auf Zack! Sehr schade; hoffe auf Besserung!
Der Artikel ist genau das was notwendig ist, um Unternehmen nochmal daran zu erinnern. Sehr gut geschrieben!
Es freut uns, dass Ihnen der Artikel gefallen hat. Leider waren wir hier etwas spät, wollten so ein bedeutendes Thema aber auch nicht unkommentiert lassen.
Tja und wie löst man das jetzt mit Microsoft 365? Angeblich sind die EU Standardvertragsklauseln irgend wo für alle schon integriert. Konnte diese aber nicht finden, auch nicht im Admin Panel. Ein Mitarbeiter von MS sicherte zu, das die Speicherung ausschließlich in Irland erfolgt.
Auch Microsoft verwendet EU-Standardvertragsklauseln. Weitere Informationen dazu finden Sie hier: http://www.microsoftvolumelicensing.com/userights/DocumentSearch.aspx?Mode=3&DocumentTypeId=46
Es wäre interessant, wenn Sie diese überall erwähnten Standardvertragsklauseln etwas beleuchten würden. Ansonsten ein prima Artikel!
Vielen Dank. Weitere Informationen zum Thema EU-Standardvertragsklauseln können in unserem Artikel „Auftragsdatenverarbeitung – Was sind EU-Standardvertragsklauseln?“ nachgelesen werden.