Interview: Bei einer unzulässigen Datenübermittlung drohen Bußgelder bis zu 300.000 Euro

​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​Stichwort Datenschutz: Deutsche Unternehmen, die bis Ende 2015 personenbezogene Daten (zum Beispiel ihrer Kunden oder Mitarbeiter) auf US-Servern speicherten, konnten sich auf das Safe-Harbor-Abkommen berufen. Im Mittelstand war dies gängige Praxis: Ob CRM- und ERP-Softwar​e in der Cloud oder Fernwartung – wer Software-Lösungen von US-Anbietern nutzte, speicherte personenbezogene Daten ebenfalls dort.

Im Oktober 2015 erklärte der Europäische Gerichtshof dies für datenschutzrechtlich unzulässig und kippte das Safe-Harbor-Abkommen. Erste Bußgelder wurden bereits verhängt.

Frau Dr. Bierekoven, warum wurde die Safe-Harbor-Regelung im Oktober 2015 gekippt?​

Wie ist der momentane Stand des Privacy-Shield-Abkommens und inwieweit wird es dem europäischen Datenschutzrecht eher gerecht?​

Der Privacy Shield Angemessenheitsbeschluss der EU-Kommission ist am 12. Juli 2016 in Kraft getreten. Die Datenschutzaufsichtsbehörden – insbesondere auch die Art. 29 Gruppe auf EU-Ebene – hatten bereits im Vorfeld die Privacy Shield Principles stark kritisiert: Man hatte darauf hingewiesen, dass diese die Anforderungen der Datenschutzrichtlinie und der Art. 8, 9 der EU-Charter nicht erfüllen. 

​Wie kann ein mittelständisches Unternehmen feststellen, ob es angesichts von Safe Harbor und Privacy Shield jetzt handeln muss? Wann liegt eine datenschutzrechtlich unzulässige Übermittlung personenbezogener Daten vor?​

Unternehmen müssen die Datenarten und -kategorien, die im Unternehmen verarbeitet werden, die Datenverarbeitungszwecke und die Einbindung externer Dienstleister analysieren. Anschließend sind die Rechtsgrundlagen für diese Datenverarbeitungen und Datenübermittlungen festzustellen. Stellt sich heraus, dass solche fehlen, ist die Datenverarbeitung unzulässig. Stellt sich heraus, dass Daten an US-Anbieter auf der Grundlage von Safe Harbor übermittelt werden, ist als alternative Rechtsgrundlage entweder auf die Standardvertragsklauseln abzustellen – oder auf eine Zertifizierung des Anbieters nach dem neuen Privacy Shield.  

Welche Sanktionen drohen, wenn Unternehmen weiterhin personenbezogene Daten datenschutzrechtlich unzulässig übermitteln?​

Bei einer unzulässigen Datenübermittlung sind nach derzeitiger Rechtslage Bußgelder bis zu 300.000 Euro möglich. Daneben kann die Datenschutzaufsichtsbehörde ein aufsichtsrechtliches Verfahren zur Überprüfung der Datenverarbeitungsvorgänge einleiten und diese je nach Schwere des Verstoßes auch gänzlich untersagen. Nach der neuen, ab dem 25. Mai 2018 gültigen Datenschutzgrundverordnung können Bußgelder in Höhe von 20.000.000 Euro oder 4 Prozent des weltweiten Jahresumsatzes des vorausgegangenen Geschäftsjahres verhängt werden. Daneben können Betroffene Schadensersatz geltend machen, auch – und dies ist neu im Verhältnis zur noch geltenden Rechtslage – bezogen auf den immateriellen Schaden. Zudem können die Aufsichtsbehörden aufsichtsrechtliche Verfahren gegen die Unternehmen einleiten und Datenverarbeitungsprozesse gänzlich untersagen.

Was raten Sie Unternehmen, die aktuell vor der Entscheidung stehen, Lösungen einzusetzen, die personenbezogene Daten übermitteln? Was wäre ein datenschutzrechtlich empfehlenswertes Vorgehen?​

Zunächst sollten Unternehmen prüfen, ob ein US-Anbieter die geeignete Wahl ist. Falls ja, sollte vor Abschluss von Dienstleistungsverträgen mit dem US-Anbieter abgeklärt werden, ob dieser sich nach dem Privacy Shield zertifizieren lässt. Falls nicht, sollten Standardvertragsklauseln mit dem US-Anbieter abgeschlossen werden. Prinzipiell sollten Unternehmen bei all dem vertragliche und praktische Exit-Szenarien berücksichtigen sowie Anonymisierungsverfahren erwägen.