Erste Bußgelder wegen Datenübertragung in die USA

EU-USA-Flagge (Bild: Shutterstock.com/meshmerize)

Der Hamburgische Datenschutzbeauftragte hat bei mehreren Firmen bemängelt, dass sie sich nach dem Aus für das Safe-Harbor-Abkommen mit der Umstellung auf Standardvertragsklauseln zu viel Zeit gelassen haben. Drei davon haben nun Bußgeldbescheide erhalten, einige weitere Verfahren und Prüfungen laufen noch.

Der Hamburgische Datenschutzbeauftragte hat die ersten Bußgeldbescheide wegen Übermittlung von Daten in die USA verhängt. Nach dem Ende des Safe-Harbor-Abkommens sind international handelnde Unternehmen nach Ablauf der Umsetzungsfrist inzwischen verpflichtet, sofern sie Daten in die Vereinigten Staaten übertragen, sogenannte Standardvertragsklauseln anzuwenden. Kontrollen bei 35 Hamburger Unternehmen ergaben jedoch, dass die Mehrheit dies nicht rechtzeitig umgesetzt hat.

“Einige wenige Unternehmen hatten aber auch ein halbes Jahr nach Wegfall der Safe-Harbor-Entscheidung keine zulässige Alternative geschaffen”, heißt es in einer Pressemitteilung des Hamburgischen Datenschutzbeauftragten. “Die Datenübermittlungen dieser Unternehmen in die USA erfolgten damit ohne rechtliche Grundlage und waren rechtswidrig.”

In drei Fällen wurden daher inzwischen Bußgeldbescheide verschickt. Bei der Festlegung der Höhe der Bußgelder sei berücksichtig worden, dass alle drei Firmen die Standardvertragsklauseln inzwischen nachgereicht haben. Laut Johannes Caspar, Beauftragter für Datenschutz und Informationsfreiheit des Landes Hamburg, wird “für künftig festgestellte Verstöße sicherlich ein schärferer Maßstab anzulegen sein.” Der Behörde zufolge sind weitere Verfahren noch nicht abgeschlossen und laufen auch einige Prüfungen noch.

Caspar weist darauf hin, dass die Privacy Shield genannte Nachfolgeregelung zu Safe Harbor noch nicht rechtsgültig ist. Es bleibe zudem abzuwarten, ob sie überhaupt ein angemessenes Datenschutzniveau bieten wird. “Die EU-Kommission und US-Regierung sind hier aufgefordert, den Entwurf in wesentlichen Punkten nachzubessern. Vor diesem Hintergrund wird auch über die Zulässigkeit der derzeit nicht beanstandeten alternativen Übertragungsinstrumente, insbesondere sogenannter Standardvertragsklauseln, zu entscheiden sein”, so Caspar.

Der Gerichtshof der Europäischen Union hatte im Oktober 2015 festgestellt, dass die “Vereinigten Staaten von Amerika kein angemessenes Schutzniveau übermittelter personenbezogener Daten gewährleisten”. Der Nachfolger Privacy Shield entspricht zwar nach Ansicht der EU-Kommission der Anforderung, dass auf Datenschutzbestimmungen geachtet wird und US-Geheimdienste keine Daten unterschiedslos oder massenhaft überwachen, aber sie steht mit dieser Meinung derzeit ziemlich alleine da.

[mit Material von Stefan Beiersmann, ZDNet.de]