Schlagwort: Eu-Standardvertragsklauseln

Erste Bußgelder wegen fehlerhafter Datenübermittlung in die USA

8. Juni 2016

Nachdem der Europäische Gerichtshof Ende vergangenen Jahres das Safe-Harbor-Abkommen , auf dessen Rechtsgrundlage bis dahin der Datenaustauch zwischen den USA und Staaten der EU fußte, für ungültig erklärt hatte, waren deutsche Unternehmen dazu angehalten, eine alternative Rechtsgrundlage zu finden oder de facto den Datentransfer in die USA einstellen. Die meisten Unternehmen sind dazu übergegangen, ihren Datenaustausch auf die (freilich nicht unumstrittenen) EU-Standardvertragsklauseln zu stützen.

Dass dem Erfordernis einer alternativen Rechtsgrundlage nach dem Fall von Safe-Harbor nicht alle betroffenen Unternehmen nachgekommen sind, kommt nun den ersten teuer zu stehen. Drei Hamburger Firmen wurden zu Bußgeldzahlungen in (verhältnismäßig glimpflicher) Höhe zwischen 8.000 € und 11.000 € belangt, weil sie noch nicht auf eine rechtssichere Alternative umgestellt hatten, wie heise online mitteilt.

Laut Spiegel Online handelt es sich bei den drei Firmen um Adobe, Punica und Unilever. Die Bußgelder fielen vor allem deshalb verhältnismäßig gering aus, weil alle drei Unternehmen noch während des Bußgeldverfahrens das gerügte Versäumnis nachgeholt und die rechtliche Grundlage ausgebessert hatten. Zudem kam ihnen zu Gute, dass sie die Ersten waren, die von der Datenschutzbehörde negativ geprüft wurden. Unternehmen, die jetzt noch nicht auf eine rechtssichere Alternative umgestellt haben, werden mit deutlich höheren Bußgeldern rechnen müssen, sagt Prof. Dr. Johannes Caspar, Landesdatenschutzbeauftragter in Hamburg. Laut Gesetz sind sogar bis zu 300.000 € möglich; weitere Verfahren wurden bereits eröffnet.

Artikel-29-Datenschutzgruppe: Beurteilung internationaler Datenübermittlungen

4. Februar 2016

Nach einer am gestrigen Tag veröffentlichten Stellungnahme der Artikel-29-Datenschutzgruppe sind Übermittlungen personenbezogener Daten in die USA auf Grundlage von EU-Standardvertragsklauseln (Standard Contractual Clauses, SCC) oder Binding Corporate Rules (BCR)  bis zu einer weiteren Benachrichtigung – jedenfalls aber bis Ende April dieses Jahres – als zulässig anzusehen.

Die Artikel-29-Datenschutzgruppe hat die EU Kommission aufgerufen, alle Dokumente, die das neue EU-US Privacy Shield betreffen, bis Ende Februar vorzulegen. Nur dann sei man in der Lage, eine abschließende rechtliche Würdigung und verbindliche Entscheidung zum Umgang mit Datenübermittlungen in die USA – im Speziellen auf Grundlage von EU-Standardvertragsklauseln und Binding Corporate Rules – zu tätigen.

Praktische Konsequenzen:

1) Datenübermittlungen in die USA auf Basis von EU-Standardvertragsklauseln oder Binding Corporate Rules gelten noch immer als zulässig.
2) Jede Intervention von einzelnen Aufsichtsbehörden bezüglich einer Datenübermittlung in die USA ist nicht zu erwarten.
3) Beschwerden oder Rechtsstreitigkeiten wegen Datenübermittlungen in die USA auf Grundlage von EU-Standardvertragsklauseln oder Binding Corporate Rules sollten bis zu einer abschließenden Beurteilung der Artikel-29-Datenschutzgruppe zurückgestellt werden.
4) Die derzeit bestehende Rechtsunsicherheit im Hinblick auf die Zulässigkeit von Datenübermittlungen in die USA besteht fort. Die nächste Prüfung wird voraussichtlich März dieses Jahres erfolgen. Bis Ende April soll entschieden werden, wie der internationale Datenumgang insgesamt zu beurteilen ist – sei es im Hinblick auf das EU-US Privacy Shield, im Hinblick auf EU-Standardvertragsklauseln oder im Hinblick auf Binding Corporate Rules.

Wenn Sie regelmäßig über aktuelle Entwicklungen im Datenschutzrecht auf dem Laufenden gehalten werden möchten, abonnieren Sie einen unserer Newsletter:

  • Deutsches / Europäisches Datenschutzrecht: http://www.datenschutzticker.de/newsletter/ (deutsch)
  • Internationales Datenschutzrecht http://www.privacy-ticker.com/newsletter/ (englisch)

Bei Fragen, wie mit internen Policies zum Datenschutz umzugehen ist, wie Datenübermittlungen in Drittländer zu bewerten sind oder wie man sich schon jetzt als Unternehmen auf die Neuregelungen der EU-Datenschutzgrundverordnung vorbereitet, kontaktieren Sie uns jederzeit gern für eine individuelle Beratung!

EU-Standardvertragsklauseln für die Microsoft Cloud

30. Mai 2012

Nach einer Meldung von heise.de hat Microsoft angekündigt, dass künftig die EU-Standardvertragsklauseln auch für den Cloud-Dienst „CRM-Online“ verfügbar seien. Neben Office 365 ist dies der zweite Cloud-Dienst von Microsoft, für den die Vertragsklauseln aus der Feder der EU-Kommission herangezogen werden können. Unternehmen in Europa ist auf ihrer Grundlage gestattet, Daten in Länder ohne angemessenes Datenschutzniveau zu transferieren, wenn sich der Vertragspartner zur Einhaltung der Standardvertragsklauseln verpflichtet hat. Sie stellen nach einer Orientierungshilfe zum Cloud-Computing der Konferenz der Datenschutzbeauftragten von Bund Ländern vom Septemer 2011 die Mindestanforderungen für internationales Cloud-Computing dar, wenn die Anbieter keine Safe-Harbor-Zertifizierung vorweisen können.