Safe Harbour-Urteil - Hamburger Datenschutzaufsichtsbehörde verhängt erste Bußgelder wegen Datentransfer in die USA

Die Hamburgische Datenschutzaufsichtsbehörde (Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit) hat Bußgelder gegen die Unternehmen Adobe, Punica und Unilever verhängt mit der Begründung, dass sie entgegen den Vorgaben des Safe-Harbor-Urteils weiterhin personenbezogene Daten in die USA transferiert haben.

1. Mit dem Safe-Harbor-Urteil des EuGH vom 6.10.2015 (Rechtssache C-362/14) ist klar, dass personenbezogene Daten von europäischen Unternehmen nicht mehr ohne Weiteres in die USA - als einem „nicht-sicheren Drittstaat“ - transferiert werden dürfen.  Seit dem bestehen bei Unternehmen erhebliche Unsicherheiten darüber, wie mit personenbezogenen Daten im Rahmen des täglichen Geschäftsverkehrs mit den USA zu verfahren ist.

2. Die Europäische Kommission hat zwischenzeitlich das Privacy-Shield-Abkommen mit den USA ausgehandelt, das das Safe-Harbor-Abkommen als rechtskonforme Nachfolgeregelung ersetzen soll. Noch ist aber unklar, ob dieses neue Abkommen den strengen Anforderungen des EuGH an den Datenschutz genügt. Selbst aus der Europäischen Kommission ist zu hören, dass noch erhebliche Nachbesserungen erforderlich sind.

3. Die (meisten) deutschen Datenschutzaufsichtsbehörden sind der Auffassung, dass ein Datentransfer in die USA derzeit zwar weiterhin möglich ist, aber nur wenn die betreffenden Unternehmen hierfür die EU-Standardvertragsklauseln oder verbindliche Unternehmensregelungen („Binding Corporate Rules (BCR)“) verwenden. Sollten diese Klauseln oder BCR keine Verwendung finden, so gehen die Behörden von sanktionierbaren Datenschutzverstößen aus.

4. Die Hamburgische Datenschutzaufsichtsbehörde hat dem nun Taten folgen lassen und in drei konkreten Fällen tatsächlich Bußgelder verhängt. Diese sind im konkreten Fall mit bis zu € 11.000 relativ niedrig ausgefallen, insbesondere weil die betroffenen Unternehmen ihren Datentransfer sofort nach Verfahrenseinleitung umgestellt haben. Für weitere Verfahren muss allerdings damit gerechnet werden, dass - nach Ablauf der Umstellungsphase - der derzeitige Bußgeldrahmen von bis zu € 300.000 stärker ausgereizt wird. Nach Inkrafttreten der EU-Datenschutzgrundverordnung am 24.5.2016 und Ablauf der 2-jährigen Übergangsfrist am 25.5.2018 werden dann sogar Bußgelder von bis zu 4% des gesamten Unternehmensgruppenumsatzes fällig.

5. Unternehmen sollten deshalb schon derzeit ihre Praxis beim Datentransfer an Drittunternehmen und insbesondere ins Ausland prüfen und gegebenenfalls umstellen. Es muss damit gerechnet werden, dass neben der Hamburgischen Datenschutzaufsichtsbehörde auch andere Landesdatenschutzbehörden ihre Verfolgungspraxis intensivieren.