Zum Hauptinhalt springen

Bußgelder nach dem Ende von Safe Harbor

Montag, 13.06.2016

Der Europäische Gerichtshof hat in einem Urteil im vergangenen Oktober das Safe-Harbor-Abkommen für ungültig erklärt. Mit diesem Abkommen wurde der Datenexport in die USA geregelt.

Für US-Amerikanische Cloud-Anbieter und deren Kunden hat das Urteil weitreichende Folgen. Denn die USA bieten kein angemessenes Schutzniveau für personenbezogene Daten. So lautet es in der Begründung für die Entscheidung des EuGH vom 6. Oktober 2015. Damit reicht es nicht mehr, dass die Daten der Bürger Europas durch das Safe-Harbor-Abkommen aus dem Jahr 2000 einfach für sicher erklärt worden sind.

Im Februar hat die EU-Kommission verkündet, dass man sich nach langem Hin und Her mit den USA einig sei über eine Nachfolgeregelung für Safe Harbor und einen neuen, "Privatsphäre-Schild" vorgestellt.

Die unabhängigen Datenschutzbehörden des Bundes und der Länder rufen seit dem Ende von Safe Harbor die Unternehmen auf, ihre Verfahren zum Datentransfer unverzüglich datenschutzgerecht zu gestalten. Unternehmen, die weiterhin das Safe-Harbor-Abkommen als rechtliche Basis für Datentransfers in die USA nutzen, können mit Bußgeldern von bis zu 300.000 Euro belangt werden.

 

Ich frage den Senat:

1. Wurden seit dem Aus für Safe Harbor Bußgelder an in Hamburg ansässige Unternehmen ausgeprochen. Wenn ja, bitte mit der Höhe des Bußgeldes auflisten.

2. Wie werden die Bußgelder begründet?

3. Sind die betroffenen Unternehmen vorgewarnt worden?

4. Sind weitere Bußgeldverfahren anhängig?

5. In ihrem Positionspapier stellt die Datenschutzkonferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder fest, dass derzeit keine neuen Genehmigungen für Datenübermittlungen in die USA auf Grundlage von verbindlichen Unternehmensregelungen (BCR) oder Datenexportverträgen erteilt würden. Eine Einwilligung zum Transfer personenbezogener Daten könne zwar unter engen Bedingungen eine tragfähige Grundlage sein, dies dürfe jedoch nicht wiederholt, massenhaft oder routinemäßig erfolgen. Ebenfalls dürfen beim Export von Beschäftigtendaten, oder wenn gleichzeitig auch Daten Dritter betroffen sind, die Einwilligung nur in Ausnahmefällen eine zulässige Grundlage für eine Datenübermittlung in die USA sein.

Die Einholung einer Einwilligung von Interessenten zum Datenexport in die USA dürfte beispielsweise bei der Kundengewinnung nicht praktikabel sein. Wie können Unternehmen, die keine Einwilligung der betroffenen Personen vorliegen haben, rechtssicher Daten in die USA exportieren?

6. Die Nachfolge des gescheiterten Safe Harbor-Abkommens tritt der EU-US Privacy Shield an. Welche Veränderungen in Bezug auf den Datenexport ergeben sich hierdurch für die Unternehmen?