Unzulässige Datenübermittlung in die USA

0

Nach Safe Harbor Urteil: Erste Bußgelder sind rechtskräftig

Unzulässige Datenübermittlung in die USA – das kann teuer werden. Das zeigt der Hamburgische Datenschutzbeauftragte, der nun erstmals aus diesem Grund Bußgelder wegen der nicht erlaubten Übermittlung von personenbezogenen Daten in die USA verhängt hat.

Hintergrund ist der Wegfall des Safe-Harbor-Abkommens, das der Europäische Gerichtshof (EuGH) im Oktober 2015 für ungültig erklärte. International agierende Unternehmen sind nach Ablauf einer mehrmonatigen Umsetzungsfrist inzwischen verpflichtet, sogenannte Standardvertrags-Klauseln bei der Übertragung von Daten in die Vereinigten Staaten anzuwenden.

Kontrollen bei insgesamt 35 Hamburger Unternehmen ergaben, dass die Mehrheit rechtzeitig auf die Standardvertrags-Klauseln umgestellt hat. „Einige wenige Unternehmen hatten aber auch ein halbes Jahr nach Wegfall der Safe-Harbor-Entscheidung keine zulässige Alternative geschaffen“, heißt es in der Pressemitteilung des Datenschutzbeauftragten. „Die Datenübermittlungen dieser Unternehmen in die USA erfolgten damit ohne rechtliche Grundlage und waren rechtswidrig.“

Der Behörde zufolge sind einige der eingeleiteten Verfahren noch nicht abgeschlossen. Auch einige Prüfungen liefen noch. In drei Fällen seien jedoch Bußgeldbescheide verschickt worden. Bei der Festlegung der Bußgelder sei berücksichtigt worden, dass alle drei Firmen ihre Übermittlungen inzwischen auf Standardvertragsklauseln umgestellt hätten.

So ist es sicher: Über den Tisch statt über die USA via GIPHY

 Handlungsempfehlungen und Alternativen

  • Einwilligung durch den User anbieten (sog. „Cookie-Opt-In“)
  • EU-Standardvertragsklauseln in Dienstleistervertägen übernehmen (Beispiel)
  • Unternehmensinterne „binding corporate rules“ zum Datenschutz einführen (Beispiel)

 

Unzulässige Datenübermittlung in die USA – Unsere Einschätzung

Keine der oben genannten Punkte ist für die Praxis wirklich tauglich um endgültige Rechtssicherheit herzustellen. Zum jetzigen Zeitpunkt ist dringend empfohlen sämtliche eigene Aktivitäten daraufhin zu überprüfen, ob diese die Übermittlung personenbezogener Daten an US-Unternehmen beinhalten (z. B. der Einsatz von Facebook custom audiences) und diese bis zur Herstellung der rechtssicheren Verarbeitung zu pausieren.

Ausblick

Es bleibt abzuwarten, ob Privacy Shield – die Nachfolgeregelung zu Safe Harbor – ein angemessenes Datenschutz-Niveau schaffen kann. Daran gab es zuletzt erhebliche Zweifel – etwa seitens der Art. 29-Datenschutzgruppe (Quelle), dem gemeinsamen Gremium der Datenschutzbehörden der EU-Mitgliedstaaten und des Europäischen Datenschutzbeauftragten.

„EU-Kommission und US-Regierung sind hier aufgefordert, den Entwurf in wesentlichen Punkten nachzubessern. Vor diesem Hintergrund wird auch über die Zulässigkeit der derzeit nicht beanstandeten alternativen Übermittlungsinstrumente, insbesondere sogenannter Standardvertragsklauseln, zu entscheiden sein“, so Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit.

Bildnachweis: Das Beitragsbild Dosentelefon ist ein Screenshot des Youtube-Clips The Rig. ‘How to Guides’ – Tin Can Telephone by Becky Dell.

Teilen

Über den Autor

Hinterlass eine Antwort