Wir hatten in unseren vorangegangenen Artikeln bereits über das Safe-Harbor-Urteil des EuGH, das fortan den Transfer von personenbezogenen Daten in die USA verbietet, und die weiteren Entwicklungen im Hinblick auf das neue EU-Privacy-Shield als Ersatz für das Safe-Harbor-Abkommen berichtet. Nun sind seitens einer Landesdatenschutzbehörde die ersten Bußgelder gegen Unternehmen in Hamburg verhängt worden.
Sachverhalt
Der Hamburgische Datenschutzbeauftragte Johannes Caspar hat Androhungen nun Taten folgen lassen.
Er verhängte gegen das Unternehmen Punica ein Bußgeld in Höhe von 8.000 EUR, gegen das Unternehmen Adobe ein Bußgeld in Höhe von 9.000 EUR und gegen das Unternehmen Unilever Bußgeld in Höhe von 11.000 EUR.
Grund für die Bußgeldverhängung war, dass diese Unternehmen seit dem Safe-Harbor-Urteil weiterhin personenbezogene Daten in die USA transferiert hatten.
Allerdings waren die Bußgelder noch sehr moderat ausgefallen, da nach Angaben von Herrn Caspar die Unternehmen im Rahmen des Bußgeldverfahrens die Datentransfers umgestellt hätten.
Johannes Caspar betonte jedoch auch, dass Unternehmen, die nunmehr immer noch nicht die Rechtsgrundlage für diese Datentransfers umgestellt hätten, mit einem sehr viel höheren Bußgeld rechnen müssten. Laut Gesetz gem. § 43 Abs. 2, 3 BDSG ist ein Bußgeld bis zu 300.000 EUR möglich.
Unternehmen, die bisher weiterhin an einem Datentransfer in die USA aufgrund des Safe-Harbor-Abkommens festhalten, müssen nun schnellstmöglich handeln.
Lösung
Allerdings stellt sich hier weiterhin die Frage, wie derzeit eine rechtskonforme Lösung aussieht. Zwischenzeitlich waren mögliche Rechtsgrundlagen über die EU-Standardvertragsklauseln oder die Binding Corporate Rules diskutiert worden.
Nachdem diese beiden Alternativen bislang auch nicht als rechtskonform diskutiert wurden, hat Johannes Caspar nunmehr dazu Stellung genommen, indem er diese Mittel, insbesondere die EU-Standardvertragsklauseln für eine zulässige Rechtsgrundlage für Datentransfers in die USA ansieht.
Die EU-Standardvertragsklauseln finden Sie hier: http://ec.europa.eu/justice/data-protection/international-transfers/transfer/index_en.htm
Allerdings gibt es aktuell ein Bestreben Irlands, die Rechtmäßigkeit der EU-Standardvertragsklauseln vom EuGH überprüfen zu lassen, da hieran erhebliche Zweifel bestünden.
Fazit
Nachdem bislang die Tendenz vertreten worden war, erst einmal die weiteren Entwicklungen abzuwarten, gilt nun die Devise für Unternehmen, die weiterhin personenbezogene Daten in die USA transferieren, indem sie mit Anbietern arbeiten, deren Server in den USA stehen, schnellstmöglich tätig zu werden und die EU-Standardvertragsklauseln abzuschließen. Ansonsten drohen nun in allen Bundesländern empfindliche Bußgelder.
Falls Sie Fragen zum Datenschutzrecht haben, können Sie uns gerne kontaktieren.
Wir helfen Ihnen schnell und kompetent.
Ihr Ansprechpartner für weitere Fragen ist:
Rechtsanwältin Daniela Wagner-Schneider LL.M.
Fachanwältin für Gewerblichen Rechtsschutz
WAGNER Rechtsanwälte webvocat® - Small.Different.Better
