Privacy Shield
Datenschützer machen ernst
Bis Januar hatten Unternehmen Zeit, bei ihrem transnationalen Datentransfer nachzubessern. Wer dies nicht tat, muss nun mit Bußgeldern rechnen – erste Bescheide wurden bereits verschickt. Wo liegt eigentlich genau das Problem? Und warum kann in diesem Fall "Made in Germany" entscheidend sein?
Niemand, der sich ernsthaft mit Datenschutz beschäftigt, kam in den letzten Monaten an der Geschichte vorbei: Der Europäische Gerichtshof (EuGH) kippte im Herbst 2015 das Safe-Harbor-Abkommen, welches bis dato die transatlantische Übertragung und Verarbeitung personenbezogener Daten zwischen Unternehmen regelte. Der EuGH kritisierte, dass die Vereinbarung keine ausreichende rechtliche Grundlage für derartige Datentransfers sei und den europäischen Datenschutzbestimmungen nicht genüge.
Das Urteil glich einem Paukenschlag. Unternehmen, die mit einem Cloud-Dienstleister mit Hauptsitz in den USA zusammenarbeiteten, bewegten sich daraufhin monatelang praktisch im rechtsfreien Raum – Ende Januar lief die Übergangsfrist, in der Unternehmen entsprechend nachbessern sollten, dann ab. Eilig wurde das Nachfolge-Abkommen EU-US Privacy Shield aus der Taufe gehoben.
Von Beginn an hagelte es Kritik: Die Verbesserungen seien bestenfalls kosmetische Korrekturen und deshalb völlig unzureichend, monierten Datenschützer europaweit. Und sogar von offizieller Seite gab es erhebliche Bedenken bezüglich der Rechtssicherheit des Abkommens. Bereits im April hatten die EU-Datenschutzbehörden Zweifel geäußert, nun schloss sich das EU-Parlament an. Der Hauptkritikpunkt ist von zentraler Bedeutung für das Wesen des ganzen Abkommens: Kern des Privacy Shield ist, dass die staatlichen Institutionen der USA lediglich eine Selbstverpflichtung eingegangen sind, nicht willkürlich oder selektiv diskriminierend auf Daten von EU-Bürgern zuzugreifen. Dank des Patriot Acts sind die amerikanischen Behörden jedoch praktisch in der Lage, diese jederzeit auszuhebeln.
Erste Bußgelder als Warnschüsse
Das letzte Wort scheint noch nicht gesprochen – ob Privacy Shield seinerseits einer Prüfung durch den EuGH standhalten wird, bezweifeln inzwischen viele Experten. Indes hat das Abkommen für die Unternehmen, die mit amerikanischen Dienstleistern zusammenarbeiten, ganz praktische Auswirkungen. Weder Privacy Shield noch Safe Harbor sind derzeit geltendes Recht; wer sich darauf beruft, muss mit Bußgeldern rechnen. Tatsächlich hat die Mehrzahl der Unternehmen ihre Datenverarbeitung über Grenzen hinweg beziehungsweise unter Zuhilfenahme von US-Dienstleistern noch nicht der neuen Situation angepasst.
Der Hamburgische Beauftragte für Datenschutz machte nun ernst und verhängte erste Bußgelder. Die betroffenen Unternehmen hatten Glück: So rechnete ihnen die Datenschutzbehörde strafmildernd an, dass sie noch während des laufenden Verfahrens Anpassungen hinsichtlich des Datenschutzniveaus vornahmen. So belief sich der höchste der drei Bescheide auf 11.000 Euro – theoretisch wären bis zu 300.000 Euro möglich. Mit Sicherheit wollen die Datenschützer dies als ernst zu nehmenden Warnschuss verstanden wissen.
- Datenschützer machen ernst
- Datenverarbeitung grundsätzlich überdenken
- Hintergrund: Privacy Shield reicht für gesetzeskonforme Datenverarbeitung nicht aus
Lesen Sie mehr zum Thema
