Datenübermittlung in die USA
07.06.2016, 13:15 Uhr
Nach Safe-Harbor-Urteil: Erste Bussgelder für Adobe, Punica und Unilever
Adobe, Punica und Unilever sind offenbar die ersten, die es trifft: Rund acht Monate nachdem der Europäische Gerichtshof das Safe-Harbor-Abkommen für ungültig erklärt hat, werden nun Bussgelder fällig.
Im Oktober 2015 hatte der Europäische Gerichtshof (EuGH) die Safe-Harbor-Entscheidung - ein elementarer Pfeiler für die rechtmässige Datenübermittlung an US-Firmen - für ungültig erklärt. Auch wenn die Europäische Kommission und die US-Regierung einen Nachfolger aushandelten, mussten Unternehmen reagieren - das heisst, ihre rechtliche Grundlage bei der Übermittlung von personenbezogenen Daten anpassen. Geschieht das nicht, drohen Bussgelder - wie es nun drei erste Fälle in Hamburg zeigen.
Mit blauem Auge davon gekommen
Die Schuldigen scheinen die deutschen Unternehmen Adobe, Punica und Unilever zu sein, wie Datenschützer laut Spiegel Online erklärten. Sie bekamen Bussgeldbescheide aufgrund der unzulässigen Übermittlung von Mitarbeiter- und Kundendaten in die USA. Der Bescheid ist rechtskräftig.
Die Strafe selbst fiel aber verhältnismässig glimpflich aus: Adobe bezahlte offenbar 8.000 Euro, Punica 9.000 Euro und Unilever 11.000 Euro. Die drei Unternehmen haben zudem nach Einleitung des Bussgeldverfahrens ihre Übermittlungen rechtlich auf Standardvertragsklauseln umgestellt.
"Dass die Unternehmen schliesslich doch noch eine rechtliche Grundlage für die Übermittlung geschaffen haben, war bei der Bemessung der Bussgelder positiv zu berücksichtigen. Für künftig festgestellte Verstösse wird sicherlich ein schärferer Massstab anzulegen sein", so Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit.
Es hätte auch ein Bussgeld von bis zu 300.000 Euro drohen können. Auch das ist aber keine absolute Obergrenze. Denn es heisst im Gesetz: "Die Geldbusse soll den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen. Reichen die in Satz 1 genannten Beträge hierfür nicht aus, so können sie überschritten werden."
Zweifel an Privacy Shields
Nun bleibt abzuwarten, ob Privacy Shield - die Nachfolgeregelung zu Safe Harbor, den die EU-Kommission Ende Februar vorgelegt hatte - ein angemessenes Datenschutzniveau schaffen kann. Daran gab es zuletzt erhebliche Zweifel - etwa seitens der Art. 29-Datenschutzgruppe, dem gemeinsamen Gremium der Datenschutzbehörden der EU-Mitgliedstaaten und des Europäischen Datenschutzbeauftragten.
"EU-Kommission und US-Regierung sind hier aufgefordert, den Entwurf in wesentlichen Punkten nachzubessern. Vor diesem Hintergrund wird auch über die Zulässigkeit der derzeit nicht beanstandeten alternativen Übermittlungsinstrumente, insbesondere sogenannter Standardvertragsklauseln, zu entscheiden sein", so Caspar.
Mit dem Urteil im Oktober 2015 erklärte der Gerichtshof das 2000 geschlossene "Safe Harbor"-Abkommen - eine Vereinbarung zur einfachen Datenübermittlung in die USA - für ungültig. Die Übermittlung von User-Daten in die USA sei nicht sicher. Diese Entscheidung der Kommission ermöglichte es in Europa tätigen Unternehmen, personenbezogene Daten legal in die USA zu übermitteln und dort zu speichern.