In der letzten Woche hat eine Pressemitteilung der LfDI Hamburg für Aufsehen gesorgt. Drei Unternehmen zahlten Bußgelder um 10.000 € wegen der Übermittlung personenbezogener Daten in die USA, ohne entsprechende Standardverträge abzuschließen.

Von den beiden in der Pressemitteilung genannten verbleibenden offenen Verfahren dürfte nun nur noch maximal eines offen sein: Einer unserer Mandanten erhielt heute einen Zweizeiler mit der Mitteilung, dass das Verfahren eingestellt wurde. Gute Nachrichten, klar! Aber warum?

Im Kern wiesen wir darauf hin, dass nach unserer Auffassung kein Anlass für die Verhängung eines Bußgeldes besteht, dabei stellten wir drei Aspekte in den Vordergrund:

  • Zum einen stellten wir sämtliche Szenarien, in denen Daten in Nicht-EU-Länder fließen können dar. Betroffen waren im Ergebnis nur wenige und wenig sensible Daten (etwa dienstliche Kontaktdaten). Z.T. lagen Einwilligungen vor, für die Übermittlung von Expatriate-Daten beriefen wir uns auf die Ausnahmevorschrift § 4c Abs. 1 Nr. 2 BDSG. Sensible Kundendaten wurden im fraglichen Zeitraum nicht übermittelt, bzw. dienten gesetzlich geforderten Zwecken.
  • Zum Zweiten wiesen wir die Aufsichtsbehörde, die für den Zeitraum ab dem 06.10.2015 von einer rechtswidrigen Übermittlung ausging, darauf hin, dass die Aufsichtsbehörden selbst in einem Positionspapier vom 26.10.2015 von einer Übergangsfrist bis zum 31.01.2016, die noch einmal verlängert wurde, ausgegangen seien. Besonders verwirrend war das Positionspapier insofern, als es unter Ziff. 2 die Zulässigkeit von Datentransfers auf Grundlage von Standardverträgen zunächst in Frage stellte (womit es sich in guter Gesellschaft befindet), unter Ziff.8 jedoch aufforderte, Datentransfers generell datenschutzgerecht zu gestalten. Das Papier bleibt eine Antwort, wie rechtskonforme Verhältnisse herzustellen sind, schuldig. Vor diesem Hintergrund Bußgelder in Höhe von bis zu 300.000 € anzukündigen erscheint doch recht forsch.
  • Zum Dritten erläuterten wir detailliert und möglichst plastisch die praktischen Schwierigkeiten, die der Abschluss von Standardverträgen mit US-Firmen, insbesondere ‚Müttern‘, so mit sich bringt. Dabei wiesen wir auf die Anzahl von Mails und Telefonkonferenzen, Einbindung von US-Kanzleien in den Prozess, Vorbehalte gegen Haftungsklauseln (für eigenes Verschulden) etc. hin, die zum Abschluss des Vertrages mit der Konzernmutter erforderlich waren.

Schlussendlich mag bei der Abwägung, ob die Verhängung eines Bußgeldes den Datenschutz weiterbringt, sicher geholfen haben, dass der Abschluss der Standardverträge im April dann endlich gelang und wir die zuständige Aufsichtsbehörde in den Prozess und die Schwierigkeiten bereits Anfang April eingebunden haben.

Ob die US-Behörden sich durch Standardverträge bemüßigt fühlen werden, tatsächlich europäische Datenschutzprinzipien einzuhalten sei einmal dahingestellt. Die spannendere Frage dürfte sein, ob die Standardverträge das nächste zu erwartende Urteil des EuGH überleben werden.