Strafen bis zu 300.000 Euro: Erste Bußgeldverfahren wegen Safe Harbor

Datenschützer haben erste Bußgeldverfahren gegen ITK-Anbieter angekündigt, die bei der Datenspeicherung weiterhin nach den alten Vorgaben arbeiten. Ihnen drohen Strafen von bis zu 300.000 Euro.

Als der Europäische Gerichtshof (EuGH) im Oktober vergangenen Jahres das Safe Harbor-Abkommen zwischen Europa und den USA kippte, räumten die Richter der Politik und den betroffenen Unternehmen eine Übergangfrist bis Ende Januar 2016 ein, um die Datenübermittlung an die USA entsprechend anzupassen oder ein neues Datenschutzabkommen umzusetzen. Inzwischen ist diese Frist seit über einem Monat abgelaufen und das von der EU-Kommission angekündigte neue Abkommen »EU-US Privacy Shield« braucht noch mindestens drei Monate, bis es verabschiedet werden kann. Dennoch haben sich offenbar einige ITK-Firmen blind darauf verlassen, dass die Politik schneller handeln und es keine Klagen gegen die alte Safe Harbor-Praxis geben würde. Das könnte sich nun allerdings als teurer Fehler herausstellen.

Derzeit prüfen mehrere Datenschutzbehörden die Einleitung von Bußgeldverfahren gegen Anbieter, die noch immer unverändert mit den Safe Harbor-Kriterien arbeiten. So hat etwa der Hamburger Datenschutzbeauftragte Johannes Caspar bereits drei international tätige Anbieter konkret anvisiert, weitere Fälle werden derzeit geprüft. Auch die Datenschützer in Rheinland-Pfalz untersuchen nach eigenen Angaben aktuell mehrere entsprechende Verstöße eingehend, die von den zuständigen Landesbehörden mit Bußgeldern von bis zu 300.000 Euro geahndet werden können. Da die Entscheidung des EuGH allen betroffenen Unternehmen hinlänglich bekannt war, gehen die Hüter des Datenschutzes bei den Verstößen eher von dreister Absicht als bloßer Unkenntnis aus. »Dass nun einige Unternehmen mehrere Monate später immer noch Safe Harbor nutzen, verwundert schon. Ein bewusstes Fehlverhalten gerade von derart großen international aufgestellten Unternehmen kann insoweit nicht folgenlos bleiben«, erklärt Caspar.

Auch wenn sich selbst die Experten uneinig sind, ob und wie Datenübermittlungen nach Amerika ohne Safe Harbor überhaupt rechtssicher vorgenommen werden können, ist ein Verharren in den klar als rechtswidrig eingestuften Strukturen von Safe Harbor damit auf jeden Fall die schlechteste Lösung. Die meisten Anbieter behelfen sich seit dem Urteil mit Standardvertragsklauseln als Übergangslösung. Selbst diese können jedoch nach dem Urteil des EuGH unwirksam sein, wenn die Anwender darin beispielsweise nicht einzeln und explizit der Übermittlung ihrer Daten zustimmen. Trotz einer Art verlängerter Schonfrist bis Ende April, in der die europäischen Datenschutzexerten der Art. 29-Gruppe die Rechtsgültigkeit verschiedener Ersatzverfahren untersuchen will, der werden einige solcher Verträge deshalb ebenfalls von den Datenschutzbehörden in Einzelfallprüfungen unter die Lupe genommen.