Bei der Prüfung verschiedener hamburger Unternehmen durch den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) wurde festgestellt, dass auch ein gutes halbes Jahr nach Wegfall des Safe Harbor verschiedene Firmen noch nicht auf EU-Standarvertragsklauseln umgesattelt haben. Die Folge: empfindliche Bußgelder!
35 UNTERNEHMEN IM FOKUS
Im Fokus der Prüfung standen 35 international agierenden Hamburger Unternehmen. Dabei zeigte sich zwar, dass die überwiegende Mehrheit der Unternehmen den Datentransfer im Rahmen einer mehrmonatigen Umsetzungsfrist rechtzeitig auf die EU-Standardvertragsklauseln umgestellt hat, einige wenige andere aber auch bis heute keine zulässige Alternative geschaffen. Die Datenübermittlungen dieser Unternehmen in die USA erfolgten somit ohne rechtliche Grundlage und ist rechtswidrig.
EINIGE BUSSGELDER SCHON VERHÄNGT
Einige der eingeleiteten Verfahren sind bisher noch nicht abgeschlossen und einige Prüfungen laufen aktuell noch. Drei Bußgeldbescheide wegen der unzulässigen Übermittlung von Mitarbeiter- und Kundendaten in die USA sind aber schon rechtskräftig geworden. Die betroffenen Unternehmen haben nach Einleitung des Bußgeldverfahrens ihre Übermittlungen dann doch mal rechtlich auf die EU-Standardvertragsklauseln umgestellt. Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, dazu: „Dass die Unternehmen schließlich doch noch eine rechtliche Grundlage für die Übermittlung geschaffen haben, war bei der Bemessung der Bußgelder positiv zu berücksichtigen. Für künftig festgestellte Verstöße wird sicherlich ein schärferer Maßstab anzulegen sein.“
ZUKÜNFTIGE ENTSCHEIDUNGEN
Für die Zukunft bleibt nun abzuwarten, ob die Nachfolgeregelung zu Safe Harbor, der EU-US Privacy Shield, ein angemessenes Datenschutzniveau herstellen kann. Dazu Johannes Caspar: „Daran waren nicht zuletzt seitens der Art. 29-Datenschutzgruppe, dem gemeinsamen Gremium der Datenschutzbehörden der EU-Mitgliedstaaten und des Europäischen Datenschutzbeauftragten, erhebliche Zweifel geäußert worden. EU-Kommission und US-Regierung sind hier aufgefordert, den Entwurf in wesentlichen Punkten nachzubessern. Vor diesem Hintergrund wird auch über die Zulässigkeit der derzeit nicht beanstandeten alternativen Übermittlungsinstrumente, insbesondere sogenannter Standardvertragsklauseln, zu entscheiden sein.“ Nach dem Brexit bleibt nun auch abzuwarten, ob zugunsten Großbritanniens eine Angemessenheitsentscheidung gefällt wird. Denn falls nicht, gelten hier zukünftig dieselben Regelungen wie für eine Datenübermittlung in die USA.