Schmerzensgeld für Nutzer?
Dabei verweist die Berliner Datenschutzbeauftragte auf Randnummer 143 des EuGH-Urteils, wonach bei Verstößen gegen die Standarddatenschutzklauseln den Betroffenen ein Anspruch auf Schadenersatz zusteht. "Dieser dürfte insbesondere den immateriellen Schaden ('Schmerzensgeld') umfassen und muss nach dem europäischen Recht eine abschreckende Höhe aufweisen", sagt Smoltczyk laut Pressemitteilung (PDF). Die EU-Datenschutz-Grundverordnung (DSGVO) sieht zudem Bußgelder in Höhe von bis zu vier Prozent des Jahresumsatzes vor.
Ihr Resümee: "Der EuGH hat in erfreulicher Deutlichkeit ausgeführt, dass es bei Datenexporten nicht nur um die Wirtschaft gehen kann, sondern die Grundrechte der Menschen im Vordergrund stehen müssen. Die Zeiten, in denen personenbezogene Daten aus Bequemlichkeit oder wegen Kostenersparnissen in die USA übermittelt werden konnten, sind nach diesem Urteil vorbei. Jetzt ist die Stunde der digitalen Eigenständigkeit Europas gekommen."
Ermessensspielraum der Datenschützer
Doch nicht jede Datenschutzbehörde in Deutschland geht so weit wie Berlin. Zwar ist auch der Hamburger Datenschutzbeauftragte Johannes Caspar der Ansicht, dass nun die Datenschutzbehörden am Zug sind. Sie seien verpflichtet, jeder Beschwerde in der Sache nachzugehen, ohne dass es eine Übergangsphase gebe. Auch ohne individuelle Beschwerde können die Aufsichtsbehörden tätig werden. "Dabei liegt es jedoch in ihrem Ermessen, zunächst auf Änderungen hinzuwirken, ohne Anordnungen oder Bußgelder zu erlassen, wenn Unternehmen nachvollziehbar darlegen, aus welchen Gründen sie noch einige Zeit benötigen, um die Gerichtsentscheidung umzusetzen", sagte Caspar auf Anfrage von Golem.de.
Problematisch sei, dass die Standardvertragsklauseln nach dem Aus des Privacy Shields nun selbst mit einer großen Rechtsunsicherheit behaftet seien. Das EuGH-Urteil lasse leider offen, unter welchen Bedingungen der Datenschutz gegenüber Zugriffen der US-Regierung hergestellt werden könne.
Keine einfache Antwort zu erwarten
Wäre es daher nicht sinnvoll, wenn wichtige Gremien wie die deutsche Datenschutzkonferenz (DSK) oder der Europäische Datenschutzausschuss (EDSA) sich darauf einigen könnten, wie das Urteil konkret umzusetzen ist?
Caspar muss diese Hoffnung leider enttäuschen: "Diese Frage wird in apodiktischer Kürze weder durch die DSK noch durch den EDSA zu entscheiden sein - mit negativen Konsequenzen für die so lange fehlende Rechtssicherheit." Neben den Extrempositionen, wonach Standardvertragsklauseln in gar keinem Fall mehr relevant sein können, bis hin zu der Auffassung, dass Standardvertragsklauseln weiterhin wie bisher eingesetzt werden können, gebe es aber auch viele vermittelnde Standpunkte. Daher bleibe ein "konsolidiertes Vorgehen der europäischen und deutschen Datenschutzaufsicht besonders wichtig".
Wie soll das anhand der divergierenden Positionen aussehen?
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
Aus für Privacy Shield: Keine Schonfrist mehr beim Datenschutz | Schwerfälliges Vorgehen auf EU-Ebene |
Wie viel ist die E2E Verschlüsselung letzten Endes noch wert, wenn ein Abgreifen der zu...
Der Anbieter hat Mega-Server und voll ausgelastete, gut bezahlte IT-Fachangestellte und...
Ist halt ähnlich wie es auch bei Händlern ist. Wenn die Ware defekt ist. Der Kunde...
Meinen Dank an Herr Greis.
Gibt es bereits ernsthafte Klage gegen die Standardvertragsklauseln, die Rechtssicherheit...