​Unzu­läs­si­ge Daten­über­mitt­lun­gen in die USA

(hmbb­fdi, 6.6.2016) Der EuGH hat die Safe Har­bor-Ent­schei­dung im Okto­ber 2015 auf­ge­ho­ben und damit einen  wesent­li­chen Pfei­ler für eine recht­mä­ßi­ge Daten­über­mitt­lung an US-Unter­neh­men für unwirk­sam erklärt. Dar­auf­hin wur­den durch den Ham­bur­gi­schen Daten­schutz­be­auf­trag­ten Prü­fun­gen bei 35 inter­na­tio­nal agie­ren­den Ham­bur­ger Unter­neh­men durch­ge­führt.

Die Prü­fun­gen haben erge­ben, dass die über­wie­gen­de Mehr­heit der Unter­neh­men den Daten­trans­fer im Rah­men einer mehr­mo­na­ti­gen Umset­zungs­frist recht­zei­tig auf soge­nann­te Stan­dard­ver­trags­klau­seln umge­stellt hat. Eini­ge weni­ge Unter­neh­men hat­ten aber auch ein hal­bes Jahr nach Weg­fall der Safe Har­bor-Ent­schei­dung kei­ne zuläs­si­ge Alter­na­ti­ve geschaf­fen. Die Daten­über­mitt­lun­gen die­ser Unter­neh­men in die USA erfolg­ten damit ohne recht­li­che Grund­la­ge und waren rechts­wid­rig.

Wäh­rend eini­ge der ein­ge­lei­te­ten Ver­fah­ren noch nicht abge­schlos­sen wer­den konn­ten und ande­re Prü­fun­gen noch lau­fen, sind mitt­ler­wei­le drei Buß­geld­be­schei­de wegen der unzu­läs­si­gen Über­mitt­lung von Mit­ar­bei­ter- und Kun­den­da­ten in die USA rechts­kräf­tig gewor­den. Die betrof­fe­nen Unter­neh­men haben nach Ein­lei­tung des Buß­geld­ver­fah­rens ihre Über­mitt­lun­gen recht­lich auf Stan­dard­ver­trags­klau­seln umge­stellt.

Dazu Johan­nes Cas­par, der Ham­bur­gi­sche Beauf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit: „Dass die Unter­neh­men schließ­lich doch noch eine recht­li­che Grund­la­ge für die Über­mitt­lung geschaf­fen haben, war bei der Bemes­sung der Buß­gel­der posi­tiv zu berück­sich­ti­gen. Für künf­tig fest­ge­stell­te Ver­stö­ße wird sicher­lich ein schär­fe­rer Maß­stab anzu­le­gen sein.

Im wei­te­ren Ver­lauf bleibt nun abzu­war­ten, ob die Nach­fol­ge­re­ge­lung zu Safe Har­bor, der Pri­va­cy Shield, den die EU-Kom­mis­si­on Ende Febru­ar vor­ge­legt hat, ein ange­mes­se­nes Daten­schutz­ni­veau her­stellt. Dar­an waren nicht zuletzt sei­tens der Art. 29-Daten­schutz­grup­pe, dem gemein­sa­men Gre­mi­um der Daten­schutz­be­hör­den der EU-Mit­glied­staa­ten und des Euro­päi­schen Daten­schutz­be­auf­trag­ten,  erheb­li­che Zwei­fel geäu­ßert wor­den. EU-Kom­mis­si­on und US-Regie­rung sind hier auf­ge­for­dert, den Ent­wurf in wesent­li­chen Punk­ten nach­zu­bes­sern. Vor die­sem Hin­ter­grund wird auch über die Zuläs­sig­keit der der­zeit nicht bean­stan­de­ten alter­na­ti­ven Über­mitt­lungs­in­stru­men­te, ins­be­son­de­re soge­nann­ter Stan­dard­ver­trags­klau­seln, zu ent­schei­den sein.”

https://​www​.daten​schutz​-ham​burg​.de/​n​e​w​s​/​d​e​t​a​i​l​/​a​r​t​i​c​l​e​/​u​n​z​u​l​a​e​s​s​i​g​e​-​d​a​t​e​n​u​e​b​e​r​m​i​t​t​l​u​n​g​e​n​-​i​n​-​d​i​e​-​u​s​a​.​h​tml