Safe Harbor, das war der Grundstein, der Unternehmen jahrelang erlaubte, Daten in die USA zu übermitteln. Mit dem Urteil des Europäischen Gerichtshofs aus dem Oktober letzten Jahres wurde das Safe Harbor Abkommen für ungültig erklärt und den USA bescheinigt, über kein angemessenes Datenschutzniveau zu verfügen. Datenübermittlungen auf Grundlage von Safe Harbor waren mit einem Schlag rechtswidrig.
Die nationalen Aufsichtsbehörden, denen sich u.a. auch die deutschen Aufsichtsbehörden anschlossen, räumten den Unternehmen eine Übergangsfrist bis zum 31. Januar 2016 ein. Erst danach sollte gegen Datentransfers auf der Grundlage von Safe Harbor vorgegangen werden. Die EU-Kommission kündigte an, bis zu diesem Zeitpunkt werde auch ein „Safe-Harbor II-Abkommen“ verhandelt. Ende Februar wurde bekannt, dass der Hamburgische Datenschutzbeauftragte, Johannes Caspar, die ersten drei Bußgeldverfahren gegen Unternehmen einleitete, die nach wie vor Daten auf Grundlage des Safe Harbor Abkommens in die USA übermittelten. Im Vorfeld hatte die Behörde ihr Vorgehen schriftlich erläutert. Demnach sei es der Behörde „daran gelegen, den Unternehmen in der aktuellen Situation ausreichende Informationen zur Verfügung zu stellen und genügend Zeit für eine möglicherweise erforderliche Umstellung ihrer Prozesse zu gewähren.“ Zunächst sollten die hamburgischen Unternehmen im November 2015 über das Urteil und seine Folgen aus Sicht der Behörde informiert werden. Ab Dezember 2015 schrieb die Behörde Unternehmen an und bat um Auskunft, ob und auf welcher Grundlage diese Daten in die USA transferierten. Ab Februar 2016 sollten rechtliche Maßnahmen zur Umsetzung des Urteils ergriffen werden.
Vorgestern nun erhielt einer unserer Mandanten Post von der Aufsichtsbehörde: Anhörung im Rahmen eines Bußgeldverfahrens.
Zum Hintergrund
Das Unternehmen beschrieb der Aufsichtsbehörde im Januar transatlantische Datenübermittlungen, auch solche, die in der Vergangenheit auf Grundlage von Safe Harbor erfolgten und teilte mit, dass der Abschluss von Standardverträgen angestrebt werde. Rückfragen wurden Anfang April ausführlich beantwortet und es wurde Anfang April ebenfalls mitgeteilt, dass nach langwierigen Verhandlungen nunmehr EU-Standardverträge wirksam geschlossen worden seien. Etwaige Freude oder Genugtuung über den erfolgreichen Abschluss – immerhin gilt der Grundsatz der Vertragsfreiheit und zusätzlich kehren die Forderungen deutscher Töchter die wirtschaftlichen Kräfteverhältnisse in Unternehmensgruppen mitunter auf den Kopf – ließ sich die Behörde nicht anmerken. Stattdessen eröffnete sie wie oben beschrieben ein Bußgeldverfahren, in dem dem Unternehmen vorgeworfen wird „seit Oktober 2016 [Anmerkung der Redaktion: 2015 dürfte gemeint sein] für einen Zeitraum von einem halben Jahr unzulässige Datenübermittlungen in die USA vorgenommen [zu] haben“. Dafür sehe das Gesetz ein hohes sechsstelliges Bußgeld vor.
Nun lässt sich sicherlich darüber streiten, was unter „ genügend Zeit für eine möglicherweise erforderliche Umstellung der Prozesse“ zu verstehen ist. Aber jeder, der schon einmal versucht hat, EU-Standardverträge mit US-amerikanischen Firmen abzuschließen, weiß, dass die Reaktion in der Regel kein lautes „Hurra“ ist. Hinzu kommt: Auch die Diskussion um ein Safe Harbor Folgeabkommen wurde in den ersten Monaten dieses Jahres heftig geführt und vielen Unternehmen wurde durch die EU-Kommission Hoffnung gemacht, dass ein solches Abkommen bis Ende Februar zustande kommen könne. Heute sind wir schlauer: das EU-US-Privacy Shield ist nach wie vor nicht in Kraft und ob es einer möglicherweise erneuten Prüfung durch den EuGH standhält ist offen.
Zurück zu unserem Mandanten: Was wäre die Alternative zu den Verhandlungen gewesen? Aussetzung der Datenlieferungen? Innerhalb verbundener Unternehmen, sind regelmäßig beide Seiten voneinander abhängig. Es ist zweifelhaft, ob in diesem Fall für die Bearbeitung von Aufträgen erforderliche Daten aus den USA weiterhin geliefert worden wären. Zu den Schadensersatzrisiken gegenüber dem US-Unternehmen, kämen dann noch Schadensersatzrisiken und Vertragsstrafen der deutschen Kunden. Abgesehen davon ist eine Verhandlungslösung wohl auch für die weitere Zusammenarbeit der vorzugswürdige Weg.
Erstaunlich für uns ist die zeitliche Auslegung der Aufsichtsbehörde: Zwar hält sie sich an die im November bekanntgegebene zeitliche Linie, erst ab Februar 2016 gegen unzulässige Datenübertragungen vorzugehen, bestraft die Unternehmen jedoch schon für die Zeit ab Oktober 2015. Womit wir wieder bei der Frage wären, was eine angemessene Zeit für die Umstellung der Datenlieferungen auf eine rechtssichere Weise ist. Nach Ansicht der Behörde ist diese wohl doch eher sehr kurz.