Safe Harbor: Aufsichtsbehörden verhängen erste Bußgelder

activeMind AG - Safe Harbor Bußgelder werden verhängt

Nach dem Ende des Safe-Harbor-Abkommens im Oktober 2015 haben die Datenschutz-Aufsichtsbhörden auf die neue Rechtslage reagiert und Bußgelder gegen mehrere Unternehmen verhängt. Die Übergangsfrist für ungültig gewordene Datenübertragungen in die USA endete bereits am 31. Januar 2016. Die betroffenen Unternehmen hätten allerdings erheblich härter bestraft werden können.

Was regelte das Safe-Harbor-Abkommen?

Wenn personenbezogene Daten aus Deutschland in ein Land außerhalb der EU bzw. des Europäischen Wirtschaftsraums (EWR) übermittelt werden, wird dies immer dann problematisch, wenn das Empfängerland kein Datenschutzniveau hat, welches dem hiesigen entspricht. Die USA haben kein solch angemessenes Datenschutzniveau, weshalb der Transfer der Daten anderweitig legitimiert werden muss.

Bis Oktober 2015 konnten sich US-Unternehmen in eine Liste des US-Handelsministeriums eintragen und versichern, dass ihr Datenschutzniveau gewissen Mindestanforderungen (den Safe-Harbor-Priniciples) entspricht. Übertragungen an solche Unternehmen waren bis Oktober 2015 zulässig, sofern außerdem eine Rechtsgrundlage dafür bestand.

Nach der Entscheidung des Europäischen Gerichtshofs (EuGH) zur Ungültigkeit von Safe Harbor muss für diese Übertragungen nun eine neue Vereinbarung getroffen werden. Als Nachfolgeregelung wird derzeit über das sogenannte EU-U.S. Privacy Shield verhandelt.

Welche Alternativen haben betroffene Unternehmen zu Safe Harbor?

Als Alternative zu Safe Harbor können Unternehmen derzeit die sogenannten EU-Standardvertragsklauseln oder (sofern ein Konzern vorliegt) Binding Corporate Rules verwenden, um eine rechtskonforme Datenübermittlung zu gewährleisten. Die große Mehrzahl der Unternehmen mit Auslandsbezug in die USA haben sich für die erste Variante entschieden und so eine legitime Nachfolgeregelung für Safe Harbor eingeführt.

Welche Sanktionen drohen bei Datenübermittlung ohne Rechtsgrundlage?

Einige Firmen wie z. B. Adobe, Punica und Unilever haben dies jedoch trotz entsprechender Hinweise der Datenschutz-Aufsichtsbehörden nicht rechtzeitig getan und damit Daten rechtswidrig in die USA übermittelt. Gegen die drei Unternehmen wurden deshalb Bußgelder zwischen 8.000 und 11.000 Euro verhängt.

Das Bundesdatenschutzgesetz (BDSG) sieht allerdings einen Bußgeldrahmen von bis zu 300.000 € vor. Die relativ geringen Strafen kamen dadurch zustande, dass noch während des Bußgeldverfahrens von den drei Unternehmen an rechtmäßigen Lösungen gearbeitet wurde. Mit Anwendbarkeit der EU-Datenschutz-Grundverordnung ab Mai 2018 wird der Maximalbetrag für ein Bußgeld auf 4 % des weltweiten Jahresumsatzes des Unternehmens angehoben.

Bitte bewerten Sie diese Inhalte!
[6 Bewertung(en)/ratings]
0 Kommentare

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.