Erste Bußgelder für Adobe, Punica und Unilever

Verstöße gegen Datenschutz: Im Oktober 2015 hatte der Europäische Gerichtshof (EuGH) die Safe-Harbor-Entscheidung - ein elementarer Pfeiler für die rechtmäßige Datenübermittlung an US-Firmen - für ungültig erklärt. Auch wenn die Europäische Kommission und die US-Regierung einen Nachfolger aushandelten, mussten Unternehmen reagieren - das heißt, ihre rechtliche Grundlage bei der Übermittlung von personenbezogenen Daten anpassen. Geschieht das nicht, drohen Bußgelder - wie es nun drei erste Fälle in Hamburg zeigen.

Die Schuldigen scheinen die deutschen Unternehmen Adobe, Punica und Unilever zu sein, wie Datenschützer laut Spiegel Online erklärten. Sie bekamen Bußgeldbescheide aufgrund der unzulässigen Übermittlung von Mitarbeiter- und Kundendaten in die USA. Der Bescheid ist rechtskräftig.

Die Strafe selbst fiel aber verhältnismäßig glimpflich aus: Adobe bezahlte offenbar 8.000 Euro, Punica 9.000 Euro und Unilever 11.000 Euro. Die drei Unternehmen haben zudem nach Einleitung des Bußgeldverfahrens ihre Übermittlungen rechtlich auf Standardvertragsklauseln umgestellt.

"Dass die Unternehmen schließlich doch noch eine rechtliche Grundlage für die Übermittlung geschaffen haben, war bei der Bemessung der Bußgelder positiv zu berücksichtigen. Für künftig festgestellte Verstöße wird sicherlich ein schärferer Maßstab anzulegen sein", so Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit.

Es hätte auch ein Bußgeld von bis zu 300.000 Euro drohen können. Auch das ist aber keine absolute Obergrenze. Denn es heißt im Gesetz: "Die Geldbuße soll den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen. Reichen die in Satz 1 genannten Beträge hierfür nicht aus, so können sie überschritten werden."

Nun bleibt abzuwarten, ob Privacy Shield - die Nachfolgeregelung zu Safe Harbor, den die EU-Kommission Ende Februar vorgelegt hatte - ein angemessenes Datenschutzniveau schaffen kann. Daran gab es zuletzt erhebliche Zweifel - etwa seitens der Art. 29-Datenschutzgruppe, dem gemeinsamen Gremium der Datenschutzbehörden der EU-Mitgliedstaaten und des Europäischen Datenschutzbeauftragten.

"EU-Kommission und US-Regierung sind hier aufgefordert, den Entwurf in wesentlichen Punkten nachzubessern. Vor diesem Hintergrund wird auch über die Zulässigkeit der derzeit nicht beanstandeten alternativen Übermittlungsinstrumente, insbesondere sogenannter Standardvertragsklauseln, zu entscheiden sein", so Caspar.

Mit dem Urteil im Oktober 2015 erklärte der Gerichtshof das 2000 geschlossene "Safe Harbor"-Abkommen - eine Vereinbarung zur einfachen Datenübermittlung in die USA - für ungültig. Die Übermittlung von User-Daten in die USA sei nicht sicher. Diese Entscheidung der Kommission ermöglichte es in Europa tätigen Unternehmen, personenbezogene Daten legal in die USA zu übermitteln und dort zu speichern.