07
Jun
2016

Datenschutz und IT-Recht

Safe Harbor: Erste Bußgelder rechtskräftig!

Dr. Frank Bongers

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat die Übermittlung von personenbezogenen Daten in die Vereinigten Staaten auf Basis des Safe-Harbor-Abkommens mit Bußgeldern geahndet.

Wer personenbezogene Daten in die Vereinigten Staaten übermittelt, muss sicherstellen, dass die Daten bei dem Empfänger unter Berücksichtigung angemessener Datenschutzstandards verarbeitet werden. Bis zu einer Entscheidung des Europäischen Gerichtshofs im Oktober 2015 galt eine Selbstzertifizierung des Empfängers in den U.S.A. nach dem sogenannten „Safe-Harbor-Abkommen“ als ein geeignetes Instrument, ein ausreichendes Datenschutzniveau sicherzustellen. Wie zuvor im Blog- Beitrag vom 06.10.2015 berichtet, müssen Unternehmen inzwischen andere Wege finden, um die Übermittlung personenbezogener Daten in die Vereinigten Staaten zu legitimieren oder auf die Datenverarbeitung in den Vereinigten Staaten verzichten.

Der Hamburgische Beauftragte für Datenschutz und Informationssicherheit hatte als Reaktion auf das Urteil des EUGH konkret angekündigt, ab wann Datenübermittlungen, die sich nach wie vor ausschließlich auf das Safe-Harbor-Abkommen stützen, sanktioniert werden (Blog-Beitrag vom 13.11.2015). Laut Informationen von Spiegel Online haben die Unternehmen Adobe, Punica und Unilever Bußgeldbescheide erhalten und bereits Bußgelder gezahlt. Das US Software Unternehmen Adobe zahlte – so berichtet Spiegel Online – EUR 8.000,00, der Getränkehersteller Punica EUR 9.000,00 sowie der Unilever-Konzern EUR 11.000,00. Theoretisch wären Bußgelder i.H.v. bis zu EUR 300.000,00 möglich gewesen. Da aber – so der Hamburgische Datenschutzbeauftragte – alle drei Unternehmen noch während des Bußgeldverfahrens ihre Übermittlungsgrundlagen angepasst hatten, fiel das Bußgeld deutlich geringer aus. Nach der Pressemitteilung der Behörde wird für künftig festgestellte Verstöße ein schärferer Maßstab anzulegen sein.

Unternehmen, die nach wie vor eine Datenübermittlung in die Vereinigten Staaten ausschließlich auf Basis einer Safe-Harbor-Zertifizierung vornehmen, sollten somit schnellstmöglich Alternativen prüfen. Noch ist nicht abzusehen, wann die Nachfolgeregelung zu Safe Harbor, der sogenannte „Privacy Shield“ zur Verfügung stehen wird. Zuletzt hatten die Europäischen Datenschutzbeauftragten auf Basis der vorliegenden Entwürfe erhebliche Zweifel daran geäußert, dass das Privacy-Shield-Abkommen ein angemessenes Datenschutzniveau herstellen könne.

Siehe auch:

» zur Übersicht