Safe Harbour: Erste Bußgelder verhängt

Nach dem „Untergang“ des Safe Harbour-Abkommens standen (bzw. stehen noch immer) Unternehmen vor dem Problem, dass sie durch die Nutzung diverser Dienste zwar Daten auf Serversysteme in Übersee transferieren (müssen), hierfür aber vielfach keine zulässige rechtliche Basis mehr bestand bzw. besteht. Während einige Dienstleister reagierten und relativ schnell Alternativen zum nicht mehr ausreichenden/gültigen „Safe Harbour“ anboten, versuchten andere, das Problem schlicht auszusitzen – vor allem auch, weil zunächst ja keine „flächendeckende Alternative“ vorhanden war. Offenbar war (und ist) es einigen Unternehmen zu mühsam gewesen, Standardvertragsklauseln auszuhandeln.

Doch „aussitzen“ ist oft eine schlechte Strategie und so gab es bereits vor einiger Zeit die Meldung, dass der Hamburger Datenschutzbeauftragte Johannes Caspar Verfahren gegen drei große Unternehmen eingeleitet habe. Laut Pressemitteilung liegen hier nun die ersten Bußgeldbescheide vor:

Diese fielen für die betroffenen Unternehmen – Adobe, Punika und Unilever – allerdings ausgesprochen milde aus, nur zwischen 8.000,- und 11.000,- Euro Strafe wurden verhängt. Zum Vergleich: Bis zu 300.000,- Euro hätten die Strafen betragen können, doch da alle drei Unternehmen ihre Datenschutzerklärungen noch während der laufenden Verfahren angepasst hatten, wurde der mögliche Strafrahmen nicht ausgeschöpft.

Das könnte jedoch bei weiteren noch laufenden, vor allem aber bei noch kommenden Verfahren durchaus geschehen, lässt Caspers durchblicken: „Dass die Unternehmen schließlich doch noch eine rechtliche Grundlage für die Übermittlung geschaffen haben, war bei der Bemessung der Bußgelder positiv zu berücksichtigen. Für künftig festgestellte Verstöße wird sicherlich ein schärferer Maßstab anzulegen sein.“ Tatsächlich laufen derzeit noch weitere Bußgeldverfahren, gegen wen sich diese richten, wird allerdings nicht mitgeteilt.

Händler, die Datentransfers auf Server in den USA vornehmen, sollten daher lieber noch einmal genau prüfen, ob ihre Datenschutzerklärungen bzw. ihre vertraglichen Grundlagen mit den Diensteanbietern auf eine derzeit akzeptierte rechtliche Basis abstellen, z.B. die sogenannten „Standardvertragsklauseln“. „Safe Habour“ sollte auf jeden Fall aus allen Verträgen und Belehrungen getilgt worden sein mittlerweile. Inwieweit das neue „Privacy Shield“ von EU und US-Regierung als neue Standardregelung zulässig sein wird, ist derzeit leider auch noch unklar. Denn, so Caspars in seiner Pressemitteilung:

„Im weiteren Verlauf bleibt nun abzuwarten, ob die Nachfolgeregelung zu Safe Harbor, der Privacy Shield, den die EU-Kommission Ende Februar vorgelegt hat, ein angemessenes Datenschutzniveau herstellt. Daran waren nicht zuletzt seitens der Art. 29-Datenschutzgruppe, dem gemeinsamen Gremium der Datenschutzbehörden der EU-Mitgliedstaaten und des Europäischen Datenschutzbeauftragten, erhebliche Zweifel geäußert worden. EU-Kommission und US-Regierung sind hier aufgefordert, den Entwurf in wesentlichen Punkten nachzubessern. Vor diesem Hintergrund wird auch über die Zulässigkeit der derzeit nicht beanstandeten alternativen Übermittlungsinstrumente, insbesondere sogenannter Standardvertragsklauseln, zu entscheiden sein.“

Es herrscht also auch weiterhin eine steife Brise über den Wogen des Datentransfers. Bequem in die Koje legen kann sich aktuell wohl nur, wer schlicht alle Daten im Inland oder zumindest innerhalb der EU hält.

Herzlich aus Hürth
Nicola Straub

Bildnachweis: Jonny Lindner via Pixabay