Datentransfer unter "Safe Harbor" - Erste Bußgelder verhängt

Wie der Hamburgische Datenschutzbeauftragte Johannes Caspar nicht ohne Stolz vermeldet, sind erste Bußgelder gegen Unternehmen verhängt worden, die personenbezogene Daten auf Basis der sog. "Safe Harbor"-Regeln in die USA übermitteln.

Ursprünglich hatte die EU-Kommission beschlossen, dass Unternehmen in den USA, die sich den Safe-Habor-Regeln unterwerfen, ein zur Europäischen Union äquivalentes Datenschutzniveau gewährleisten. Dieser Beschluss hatte jedoch der EuGH im vergangenen Jahr für nichtig erklärt. Daraufhin hatten die Datenschutzbehörden - allen voran die Artikel-29-Gruppe - Unternehmen aufgefordert, die sich bisher auf die Safe-Harbor-Regeln gestützt hatten, eine neue Rechtsgrundlage für solche Datentransfers zu schaffen. Dabei galt eine Art Moratorium bis Ende Januar 2016.

Bußgelder bis zu 11.000 EUR verhängt

Nunmehr gehen die Datenschutzbehörden offenbar gezielt gegen Unternehmen vor, die dem Urteil des EuGH keine Rechnung tragen. Laut Spiegel Online soll es sich bei den betroffenen Unternehmen um Adobe, Punica und Unilever handeln. Die Bußgelder sollen sich im Bereich zwischen 8.000 und 11.000 EUR bewegen. Der Bußgeldrahmen reicht bis zu 300.000 EUR (§ 43 BDSG), wobei eine Vorteilsabschöpfung sogar über den Höchstbetrag hinaus möglich wäre.

Standardvertragsklauseln akzeptiert

Laut der Berichterstattung soll bei der Bußgeldbemessung eine Rolle gespielt haben, dass die Unternehmen noch während des Verfahrens die Rechtsgrundlage der Übermittlung auf die sogenannten Standardvertragsklauseln umgestellt haben. Diese sollen auf vertraglichem Wege zwischen Datenexporteur und Datenimporteur ein äquivalentes Datenschutzniveau herstellen. Freilich ist zu den Standardvertragsklauseln anzumerken, dass auch diese möglicherweise den gleichen rechtlichen Bedenken begegnen, die bereits die Safe-Harbor-Regeln zu Fall gebracht haben. Denn auch ein Vertrag zwischen zwei privaten Stellen kann - natürlich - nicht verhindern, dass beispielsweise Ermittlungsbehörden in den USA oder anderswo in einer Weise Zugriff auf personenbezogene Daten nehmen, die nach europäischen Maßstäben als nicht rechtsstaatlich eingeordnet wird.

Büchse der Pandora

Anscheinend haben die Hamburger Datenschützer die Standardvertragsklauseln im vorliegenden Fall jedoch als taugliche Alternative akzeptiert, was die These stützt, dass selbst eingefleischte Datenschutzfans die Büchse der Pandora an dieser Stelle lieber doch nicht ganz öffnen mögen. Denn auf die Frage nach einer praxistauglichen rechtlichen Alternative müssten die Datenschutzbehörden mutmaßlich "passen", worauf ich bereits in einem Interview unmittelbar nach dem Safe-Harbor-Urteil gegenüber dem Handelsblatt hingewiesen hatte.

Weitere Artikel zum Thema