Unternehmen müssen spätestens jetzt handeln Safe-Harbor-Schonfrist vorbei - erste Bußgeldverfahren
Es drohen Bußgelder bis 300.000 Euro. Denn seit knapp fünf Monaten heißt es: Safe Harbor adé. Es gab zwar eine Schonfrist der Datenschutzaufsichtsbehörden, do die ist jetzt vorbei: Erste Bußgeldverfahren wurden gegen mehrere Unternehmen in Hamburg eingeleitet
Anbieter zum Thema

Für viel Aufsehen hat die Entscheidung des Gerichtshofs der Europäischen Union (EuGH) gesorgt, der mit dem Urteil vom 06.10.2015 Safe-Harbor-Vereinbarungen für unwirksam erklärte. Seit diesem Tag, ohne Übergangsfrist, ist es europäischen Unternehmen nicht mehr gestattet, auf Safe-Harbor-Basis personenbezogene Daten in die USA zu transferieren, sie dort zu speichern oder zu verarbeiten.
Unternehmen, die Daten auf der Grundlage des Safe-Harbor-Abkommens übermittelt hatten, mussten nach der EuGH-Entscheidung schnellstens reagieren. Denn bei einer unzulässigen Datenübertragung in Drittstaaten drohten Bußgelder und sogar die Untersagung der Datenverarbeitung.
Außerdem konnte Nichtstun zu Haftungsfallen führen, wenn etwa Dienstleister ihre Kunden nicht rechtzeitig angemessen informierten. „Trotz all dieser Gefahren haben viele Unternehmen nach wie vor nicht reagiert. Dabei gibt es rechtskonforme Alternativen – insbesondere EU-Standard-Verträge“, sagt Rechtsanwalt Jens Eckhardt, Vorstand des Eurocloud Deutschland Eco e. V.
Doch noch immer haben viele von der Entscheidung des Europäischen Gerichtshofs betroffene Unternehmen ihre Regelungen für den internationalen Datentransfer nicht an die neue Rechtslage angepasst. Zwar haben sich am 2. Februar 2016 sich die EU-Kommission und die USA als Nachfolgeregelung zum Safe-Harbor-Abkommen auf das so genannte EU-US Privacy Shield verständigt. Es ist jedoch noch nicht in Kraft und damit noch keine tragfähige Rechtsgrundlage für den Datentransfer.
EU-Standardvertrag beste Alternative, aber nicht optimal
Somit sind bis zur tragfähigen Umsetzung des Nachfolgeabkommens EU-US Privacy Shield die EU-Standardverträge derzeit die beste datenschutzkonforme Alternative, Allerdings gibt es auch hier Bedenken.
Ein EU-Standardvertrag zwischen dem datenübermittelnden und dem -empfangenden Unternehmen schafft ein datenschutzrechtlich angemessenes Schutzniveau bei dem Datenempfänger. Die Vertragsklauseln sind relativ schnell und einfach implementierbar. Die Inhalte sind, wie der Name schon sagt, standardisiert: Die Unternehmen müssen keine aufwändige Prüfung vornehmen, sondern sind darauf beschränkt, die Freifelder mit sachlichen Beschreibungen der Zusammenarbeit auszufüllen.
Doch die Datenschutzbehörden halten weiterhin jeglichen Transfer von personenbezogenen Daten in die USA – auch auf Basis von EU-Standardverträgen – für rechtlich problematisch und behalten sich vor, Einzelfälle zu prüfen. „Gerade für Cloud Services ist der EU-Standardvertrag ist in der Praxis aufgrund des individuellen Abschlusses und der Gefahr von Kollisionen mit vertraglichen Regelungen keine optimale Lösung; nichts tun ist aber gleichwohl keine Option“, so Eckhardt.
(ID:43898868)