Strafen wegen unzulässiger Datenübermittlung in die USA verhängt

Der Hamburgische Datenschutzbeauftragte hat erstmals Strafen wegen unzulässiger Übermittlung von Daten in die USA verhängt. Hintergrund ist der Wegfall des Safe-Harbor-Abkommens, das der Europäische Gerichtshof im Oktober 2015 einkassiert hatte. International agierende Unternehmen sind nach Ablauf einer mehrmonatigen Umsetzungsfrist inzwischen verpflichtet, sogenannte Standardvertragsklauseln bei der Übertragung von Daten in die Vereinigten Staaten anzuwenden – und nicht mehr das Safe-Harbor-Abkommen.

Kontrollen bei insgesamt 35 Hamburger Unternehmen ergaben, dass die Mehrheit rechtzeitig auf die Standardvertragsklauseln umgestellt hat. „Einige wenige Unternehmen hatten aber auch ein halbes Jahr nach Wegfall der Safe-Harbor-Entscheidung keine zulässige Alternative geschaffen“, heißt es in einer Pressemitteilung des Datenschutzbeauftragten. „Die Datenübermittlungen dieser Unternehmen in die USA erfolgten damit ohne rechtliche Grundlage und waren rechtswidrig.“

Der Behörde zufolge sind einige der eingeleiteten Verfahren noch nicht abgeschlossen. Auch einige Prüfungen liefen noch. In drei Fällen seien jedoch Bußgeldbescheide verschickt worden. Bei der Festlegung der Bußgelder sei berücksichtig worden, dass alle drei Firmen ihre Übermittlungen inzwischen auf Standardvertragsklauseln umgestellt hätten.

„Dass die Unternehmen schließlich doch noch eine rechtliche Grundlage für die Übermittlung geschaffen haben, war bei der Bemessung der Bußgelder positiv zu berücksichtigen“, erklärte Johannes Caspar, Beauftragter für Datenschutz und Informationsfreiheit des Landes Hamburg. „Für künftig festgestellte Verstöße wird sicherlich ein schärferer Maßstab anzulegen sein.“

Caspar weist darauf hin, dass die Privacy Shield genannte Nachfolgeregelung zu Safe Harbor noch nicht rechtsgültig ist. Es bleibe abzuwarten, ob sie überhaupt ein angemessenes Datenschutzniveau herstelle. Zweifel daran hätten zuletzt die Artikel 29 Datenschutzgruppe und auch der Europäische Datenschutzbeauftrage geäußert. „Die EU-Kommission und US-Regierung sind hier aufgefordert, den Entwurf in wesentlichen Punkten nachzubessern. Vor diesem Hintergrund wird auch über die Zulässigkeit der derzeit nicht beanstandeten alternativen Übertragungsinstrumente, insbesondere sogenannter Standardvertragsklauseln, zu entscheiden sein.“

Im Oktober 2015 hatte der Gerichtshof der Europäischen Union festgestellt, dass die „Vereinigten Staaten von Amerika kein angemessenes Schutzniveau übermittelter personenbezogener Daten gewährleisten“. Der Nachfolger Privacy Shield enthält nach Ansicht der EU-Kommission nun die geforderten Zusicherungen der US-Regierung, dass auf strenge Einhaltung von Datenschutzbestimmungen geachtet wird und US-Geheimdienste keine Daten unterschiedslos oder massenhaft überwachen.

In Frankreich hatte die Datenschutzbehörde CNIL Facebook bereits im Februar eine Frist von drei Monaten gesetzt, um bestimmte Übertragungen von Daten in die USA zu stoppen. Ob das Social Network den Forderungen der Behörde nachgekommen ist, ist nicht bekannt. Klagen gegen Firmen, die sich in Frankreich noch auf Safe Harbor beziehen, sind allerdings auch noch nicht öffentlich geworden.