Safe-Harbor-Sünder zahlen Strafen

Deutsche Datenschutzbehörde verhängt hohe Bußgeld-Zahlungen über Unternehmen, welche die Safe-Harbor-Entscheidung der EU ignorierten. Trotz der neuen Rechtslage und einer mehrmonatigen Übergangsfrist, übermittelten die Unternehmen immer noch auf Basis der alten Safe-Harbor-Regelungen ihre Daten in die USA. Die bereits bezahlten Bußgelder reichen von 9.000 bis 11.000 Euro.

Strafzahlungen bis zu 300.000 Euro möglich

Theoretisch wären Strafzahlungen bis zu 300.000 Euro möglich gesehen. Doch die betroffenen Unternehmen arbeiteten bereits an Anpassungen ihrer Übermittlungen, deshalb viel das Bußgeld deutlich geringer aus. Andere Firmen müssen laut dem Hamburger Datenschutzbeauftragten Caspar aber mit empfindlicheren Strafen rechnen: „Wenn jetzt noch Unternehmen die Safe-Harbor-Entscheidung ignorieren, dann ist das schon ein deutlich gravierenderer Verstoß.“

Safe-Harbor Regelung obsolet

Der Europäische Gerichtshof hatte im Oktober 2015 die Safe-Harbor-Entscheidung der Europäischen Kommission für ungültig erklärt. Im Februar 2016 verkündete die EU-Kommission, dass man nach langwierigen Verhandlungen mit dem Privatsphäre-Schild eine Nachfolgeregelung für Safe Harbor gefunden hätte. In der Übergangsphase nutzten viele Unternehmen von der EU-Kommission beschlossene Standardvertragsklauseln und verbindliche unternehmensinterne Vorschriften, um den Datenaustausch in die USA rechtlich zu regeln. Diese Regelungen hatten die verurteilten Firmen jedoch verabsäumt.

Konsequenzen für österreichische Unternehmen

Wie die österreichische Datenschutzbehörde mitteilt, sind Datentransfers in die USA, die bisher ausschließlich auf Grund von Safe Harbor genehmigungsfrei waren, nicht mehr geboten. Dies betrifft primär Datentransfers durch und an Unternehmen.

Falls österreichische Unternehmen personenbezogene Daten in die USA transferieren, die Mitglieder im Safe Harbor sind, haben Sie folgende Möglichkeiten:

  • Sie können die Daten aus den USA „zurückholen“ und lokal bzw. auf einem Server in einem EU-Mitgliedstaat oder einem anderen Staat mit angemessenem Datenschutzniveau verarbeiten.
  • Andere Möglichkeiten personenbezogene Daten legal in die USA zu senden, finden sich im DSG 2000 selbst und beziehen sich in der Praxis häufig auf Daten zur Erfüllung von eindeutig im Interesse des Betroffenen abgeschlossenen Verträgen sowie die Weitergabe der personenbezogenen Daten mit Zustimmung des Betroffenen.

Die Europäische Kommission hat zudem festgehalten, dass ein Transfer personenbezogener Daten in die USA auch über Standardvertragsklauseln und verbindliche unternehmensinterne Vorschriften gestützt werden kann. Die Datenschutzbehörde behält sich im Rahmen des Genehmigungsverfahrens aber die Beurteilung des im Empfängerstaat geltenden angemessenen Datenschutzniveaus im Einzelfall vor.

Datenverkehr mit den USA genehmigungspflichtig

Für den Datenverkehr mit den USA ist bei Genehmigungspflicht ein entsprechender Antrag an die Datenschutzbehörde zu stellen, die darüber bescheidmäßig innerhalb von maximal 6 Monaten zu entscheiden hat. Dem Antrag sind die Begründung für die Genehmigungspflicht sowie die erforderlichen Unterlagen, wie

  • Angabe, ob die Meldepflicht beim Datenverarbeitungsregister erfüllt wurde,
  • vertragliche Zusicherung des Empfängers in Form von Standardvertragsklauseln, dass schutzwürdige Geheimhaltungsinteressen vom Empfänger gewahrt werden;
  • einseitige Zusagen im Zusammenhang mit verbindlichen unternehmensinternen Vorschriften, sogenannten Binding Corporate Rules (BCR´S)

beizulegen.

Die Eingabe selbst ist gebührenpflichtig.

Datenschutzbehörde und Internationalen Datenverkehr

Dem letzten Bericht der österreichischen Datenschutzbehörde zufolge stieg die  Anzahl der eingegangenen Genehmigungen im Internationalen Datenverkehr in den vergangenen Jahren von 48 (2013) auf 128 (2015). Sie stammen ausschließlich von Konzernunternehmen
in Österreich. Auch der Inhalt der Anträge (Personalverwaltung und Kunden- bzw. Lieferantenverwaltung) ist gleichartig. Hauptsächlich wurden Standardvertragsklauseln als rechtliche Instrumente eingesetzt, aber auch verbindliche unternehmensinterne Vorschriften scheinen sich als Alternative etabliert zu haben.

Links