Der EuGH hat die für den transatlantischen Datentransfer höchst relevante Safe Harbor-Entscheidung bekanntermaßen im Oktober 2015 aufgehoben und damit eine wesentliche Grundlage für eine rechtmäßige Datenübermittlung an US-Unternehmen „kassiert“. Im Nachgang zu Unternehmensprüfungen durch den Hamburgischen Datenschutzbeauftragten wurden zwischenzeitlich erste Bußgelder ausgesprochen und Verfahren abgeschlossen.
Hintergrund
Die Prüfungen haben ergeben, dass die überwiegende Mehrheit der geprüften Unternehmen den Datentransfer im Rahmen einer mehrmonatigen Umsetzungsfrist rechtzeitig auf EU- Standardvertragsklauseln umgestellt hat. Einige wenige Unternehmen hatten aber auch ein halbes Jahr nach Wegfall der Safe Harbor-Entscheidung keine gangbare Alternative geschaffen. Die Datenübermittlungen dieser Unternehmen in die USA erfolgten damit nach Ansicht des Hamburgischen Datenschutzbeauftragten ohne rechtliche Grundlage und damit rechtswidrig.
Während einige der eingeleiteten Verfahren noch nicht abgeschlossen werden konnten und andere Prüfungen noch laufen, sind mittlerweile drei Bußgeldbescheide wegen der unzulässigen Übermittlung von Mitarbeiter- und Kundendaten in die USA rechtskräftig geworden. Die betroffenen Unternehmen haben nach Einleitung des Bußgeldverfahrens ihre Übermittlungen rechtlich auf Standardvertragsklauseln umgestellt. Im Fokus standen hier nach Angaben von Spiegel Online die Unternehmen Adobe, Punica und Unilever.
Im Hinblick auf das derzeit verhandelte Nachfolgeabkommen zu Safe-Harbor und den aktuell als wesentliches Alternativkonzept zur Absicherung eines Datentransfers in die USA unternehmensseitig herangezogenen EU-Standardvertragsklauseln äußerte sich der Hamburgische Beauftragte für den Datenschutz und Informationsfreiheit wie folgt:
„Im weiteren Verlauf bleibt nun abzuwarten, ob die Nachfolgeregelung zu Safe Harbor, der Privacy Shield, den die EU-Kommission Ende Februar vorgelegt hat, ein angemessenes Datenschutzniveau herstellt. Daran waren nicht zuletzt seitens der Art. 29-Datenschutzgruppe, dem gemeinsamen Gremium der Datenschutzbehörden der EU-Mitgliedstaaten und des Europäischen Datenschutzbeauftragten, erhebliche Zweifel geäußert worden. EU-Kommission und US-Regierung sind hier aufgefordert, den Entwurf in wesentlichen Punkten nachzubessern. Vor diesem Hintergrund wird auch über die Zulässigkeit der derzeit nicht beanstandeten alternativen Übermittlungsinstrumente, insbesondere sogenannter Standardvertragsklauseln, zu entscheiden sein.„
Anmerkung
Die vom Hamburgischen Datenschutzbeauftragten eingeleiteten Bußgeldverfahren zeigen deutlich die dringende Notwendigkeit, etwaig erfolgenden Datentransfer in die USA nach Wegfall des Safe-Harbor-Abkommens auf eine sonstige rechtliche Grundlage zu stellen. Ob der derzeit weit überwiegend verfolgte Ansatz über EU-Standardvertragsklauseln auch mittelfristig eine Lösung darstellen wird, bleibt mit Blick auf ein laufendes Verfahren zur Prüfung der EU-Standardvertragsklauseln abzuwarten. Bestenfalls wird zeitnah eine Einigung über das derzeit diskutierte Nachfolgeabkommen zu Safe-Harbor erzielt, um betroffenen Unternehmen für den wirtschaftlich höchst bedeutsamen Datentransfer in die USA eine verlässliche und pragmatische Lösung zu ermöglichen.
Quelle und Hintergrundinformationen: Pressemitteilung des Hamburgischen Datenschutzbeauftragten vom 06.06.2016
