Interview: Bei einer unzulässigen Datenübermittlung drohen Bußgelder bis zu 300.000 Euro

PrintMailRate-it

​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​Safe Harbor & Privacy Shield: Worauf müssen Unternehmen achten?Stichwort Datenschutz: Deutsche Unternehmen, die bis Ende 2015 personenbezogene Daten (zum Beispiel ihrer Kunden oder Mitarbeiter) auf US-Servern speicherten, konnten sich auf das Safe-Harbor-Abkommen berufen. Im Mittelstand war dies gängige Praxis: Ob CRM- und ERP-Softwar​e in der Cloud oder Fernwartung – wer Software-Lösungen von US-Anbietern nutzte, speicherte personenbezogene Daten ebenfalls dort.

Im Oktober 2015 erklärte der Europäische Gerichtshof dies für datenschutzrechtlich unzulässig und kippte das Safe-Harbor-Abkommen. Erste Bußgelder wurden bereits verhängt.


Im Februar dieses Jahres einigte sich die Europäische Kommission mit der US-Regierung auf eine Nachfolgeregelung namens Privacy Shield – welche jedoch auf Kritik der Datenschutzaufsichtsbehörden auf nationaler und vor allem europäischer Ebene durch die Art. 29 Gruppe nachgebessert werden musste. Diese Regelung bzw. der sogenannte Angemessenheitsbeschluss der EU-Kommission trat am 12. Juli 2016 in Kraft. Worauf müssen mittelständische Unternehmen jetzt achten?​

Dr. Christiane Bierekoven ist Fachanwältin für IT-Recht und Associate Partner bei Rödl & Partner. In diesem Interview erklärt sie den aktuellen datenschutzrechtlichen Stand.

Frau Dr. Bierekoven, warum wurde die Safe-Harbor-Regelung im Oktober 2015 gekippt?​

Die Safe Harbor Principles trafen keine Aussagen zu hinreichenden Garantien, um ein angemessenes Datenschutzniveau sicherstellen zu können. Es fehlten ein effektiver Rechtsschutz sowie Ansprüche der betroffenen Personen darauf, ihre Daten bei einer Datenverarbeitung durch nationale Sicherheitsbehörden löschen lassen zu können. Die Nachrichtendienste konnten zu weitgehend auf personenbezogene Daten zugreifen. Dadurch wurden die Grundrechte der betroffenen Personen nach Art. 7 und 8 der EU-Charter verletzt, ohne dass für derartige Eingriffe Garantien verfügbar waren, um sich dagegen zu wehren.

Wie ist der momentane Stand des Privacy-Shield-Abkommens und inwieweit wird es dem europäischen Datenschutzrecht eher gerecht?​

Der Privacy Shield Angemessenheitsbeschluss der EU-Kommission ist am 12. Juli 2016 in Kraft getreten. Die Datenschutzaufsichtsbehörden – insbesondere auch die Art. 29 Gruppe auf EU-Ebene – hatten bereits im Vorfeld die Privacy Shield Principles stark kritisiert: Man hatte darauf hingewiesen, dass diese die Anforderungen der Datenschutzrichtlinie und der Art. 8, 9 der EU-Charter nicht erfüllen. 


​Wie kann ein mittelständisches Unternehmen feststellen, ob es angesichts von Safe Harbor und Privacy Shield jetzt handeln muss? Wann liegt eine datenschutzrechtlich unzulässige Übermittlung personenbezogener Daten vor?​

Unternehmen müssen die Datenarten und -kategorien, die im Unternehmen verarbeitet werden, die Datenverarbeitungszwecke und die Einbindung externer Dienstleister analysieren. Anschließend sind die Rechtsgrundlagen für diese Datenverarbeitungen und Datenübermittlungen festzustellen. Stellt sich heraus, dass solche fehlen, ist die Datenverarbeitung unzulässig. Stellt sich heraus, dass Daten an US-Anbieter auf der Grundlage von Safe Harbor übermittelt werden, ist als alternative Rechtsgrundlage entweder auf die Standardvertragsklauseln abzustellen – oder auf eine Zertifizierung des Anbieters nach dem neuen Privacy Shield.  


Welche Sanktionen drohen, wenn Unternehmen weiterhin personenbezogene Daten datenschutzrechtlich unzulässig übermitteln?​

Bei einer unzulässigen Datenübermittlung sind nach derzeitiger Rechtslage Bußgelder bis zu 300.000 Euro möglich. Daneben kann die Datenschutzaufsichtsbehörde ein aufsichtsrechtliches Verfahren zur Überprüfung der Datenverarbeitungsvorgänge einleiten und diese je nach Schwere des Verstoßes auch gänzlich untersagen. Nach der neuen, ab dem 25. Mai 2018 gültigen Datenschutzgrundverordnung können Bußgelder in Höhe von 20.000.000 Euro oder 4 Prozent des weltweiten Jahresumsatzes des vorausgegangenen Geschäftsjahres verhängt werden. Daneben können Betroffene Schadensersatz geltend machen, auch – und dies ist neu im Verhältnis zur noch geltenden Rechtslage – bezogen auf den immateriellen Schaden. Zudem können die Aufsichtsbehörden aufsichtsrechtliche Verfahren gegen die Unternehmen einleiten und Datenverarbeitungsprozesse gänzlich untersagen.


Was raten Sie Unternehmen, die aktuell vor der Entscheidung stehen, Lösungen einzusetzen, die personenbezogene Daten übermitteln? Was wäre ein datenschutzrechtlich empfehlenswertes Vorgehen?​

Zunächst sollten Unternehmen prüfen, ob ein US-Anbieter die geeignete Wahl ist. Falls ja, sollte vor Abschluss von Dienstleistungsverträgen mit dem US-Anbieter abgeklärt werden, ob dieser sich nach dem Privacy Shield zertifizieren lässt. Falls nicht, sollten Standardvertragsklauseln mit dem US-Anbieter abgeschlossen werden. Prinzipiell sollten Unternehmen bei all dem vertragliche und praktische Exit-Szenarien berücksichtigen sowie Anonymisierungsverfahren erwägen.
 

Sie haben Fragen zu den datenschutzrechtlich sicheren IT-Services von Rödl & Partner? Kontaktieren Sie Markus Merk (Tel. +49 (711) 78 19 14 – 430 oder per E-Mail​) – er ist gerne für Sie da.
 
zuletzt aktualisiert​ am 03.08.2016​
 

Kontakt

Contact Person Picture

Markus Merk

Geschäftsführer Rödl IT Operation GmbH, Geschäftsführer cloudgermany.de GmbH

Partner

+49 711 7819 144 30

Anfrage senden

Wir beraten Sie gern!

Was macht uns so einzigartig?

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu